Schriftliche Stellungnahme zum Referentenentwurf der C5-Äquivalenz-Verordnung

Das Referat 512 – Cybersicherheit und Interoperabilität vom Bundesministerium für Gesundheit (BMG) hat die AG KRITIS um Stellungnahme zum Referentenentwurf der C5-Äquivalenzverordnung (Verordnung nach § 393 Absatz 4 Satz 4 des Fünften Buches Sozialgesetzbuch) gebeten.

Im Gesundheitswesen werden besonders schützenswerte Daten verarbeitet. Um den dafür angemessenen Schutz auch beim Einsatz cloudbasierter Informationssysteme sicherzustellen, in denen Gesundheits- oder Sozialdaten verarbeitet werden, wurde durch das Digital-Gesetz der § 393 des Fünften Buches Sozialgesetzbuch (SGB V) neu eingeführt. Damit wurde ein verpflichtend einzuhaltender Mindeststandard eingeführt: der durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte „Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue)“. Durch die Anforderung einer C5 Zertifizierung der informationstechnischen Systeme soll die Resilienz der Einrichtungen im Gesundheitswesen gesteigert werden.

Aus unserer Sicht ist nicht nachvollziehbar, dass ein C5-Testat ausschließlich durch Wirtschaftsprüfer erstellt werden darf und dass nicht auf das bewährte Verfahren der Erteilung von Zertifikaten zurückgegriffen wird.

Mit der Äquivalenzverordnung soll Rechtssicherheit bezüglich eines vergleichbaren Sicherheitsniveaus hergestellt werden. Dies ist zu begrüßen.

Unsere Stellungnahme ging dem BMG fristgemäß am 23.01.2025 zu. Wir haben die Stellungnahme hier im Volltext bereitgestellt.

Titelbild wurde von akitada31 angefertigt und via pixabay Inhaltslizenz veröffentlicht.

Offener Brief „Fünf Schritte zu mehr Vertrauen in die ePA“​​​​​​​

Die AG KRITIS unterstützt den offenen Brief „Fünf Schritte zu mehr Vertrauen in die ePA“​​​​​​​.

Die jüngsten Einlassungen des Bundesministeriums zu Änderungen an der ePA, nachdem in einem Vortrag auf dem 38. Chaos Communication Congress Sicherheitslücken präsentiert wurden, erscheinen lediglich während der Testphase begrenzt tragfähig und bieten nur einen überschaubaren Sicherheitsgewinn. Es darf nicht sein, dass das Sicherheitsniveau der ePA vom Schutzgrad einzelner Arztpraxen abhängt.

Die Architektur der ePA muss der Realität Rechnung tragen, dass Arztpraxen weder über ausreichende Budgets noch über die notwendige Fachkompetenz verfügen, um IT-Sicherheit auf hohem Niveau zu gewährleisten. Eine patientenindividuelle Ende-zu-Ende-Verschlüsselung würde es hingegen ermöglichen, das Sicherheitsniveau der Arztpraxen und Leistungserbringer in der Risikoabschätzung geringer zu gewichten.

Besonders kritisch bewerten wir, dass ein „Sicherheitsgutachten“ des Fraunhofer SIT jegliche Angriffe durch Regierungsorganisationen explizit ausgeklammert hat. Ob solche Angriffe möglich sind, wurde daher nicht einmal geprüft. Dies offenbart ein alarmierendes Verständnis von Sicherheitsanforderungen und wirft zusätzliche Fragen zur Resilienz der ePA gegen gezielte Angriffe auf.

In der Stellungnahme der Gematik zum 38C3-Vortrag hieß es, auf die Daten der ePA zuzugreifen sei illegal und somit strafbar. Die IT-Sicherheit muss jedoch so robust sein, dass auch Akteure mit hoher krimineller Energie technisch effektiv daran gehindert werden, an Gesundheitsdaten zu gelangen.

Dass Angriffe von Regierungsorganisationen im Sicherheitsgutachten ausgeklammert wurden, ist nicht akzeptabel. Die Bundesregierung hat den Auftrag, Bürger auch vor fremden Geheimdiensten oder Regierungen zu schützen. In Zeiten hybrider Bedrohungen ist es unabdingbar, auch dieses Szenario zu berücksichtigen. Viele Bürger haben aus dienstlichen Gründen Kenntnis von Staatsgeheimnissen. Nur wenn auch deren Gesundheitsdaten ausreichend geschützt werden, können wir diese Bürger vor Erpressung bewahren.

Schlecht geschützte Gesundheitsdaten sind daher direkt ein Thema der nationalen Sicherheit. Es reicht nicht aus, lediglich Bundesminister und den Bundeskanzler von der ePA auszuklammern, denn Berufsgeheimnisse existieren in nahezu jeder Gehaltsstufe.

Da auch die weiteren Prüfsteine aus dem letzten offenen Brief „Vertrauen lässt sich nicht verordnen“ bislang nicht umgesetzt wurden, empfiehlt die AG KRITIS der Bundesregierung, das Projekt ePA zu stoppen, und rät den Bürgerinnen und Bürgern, der Nutzung der ePA zu widersprechen.

Foto von Chris Liverani auf Unsplash