Sicherheitskonzept
Fraunhofer SIT bestätigt: ePA für alle ist sicher
Anfang 2025 kommt die ePA für alle. Eine moderne Sicherheitsarchitektur soll ermöglichen, dass die Informationen in der ePA mit den höchsten Sicherheitsstandards geschützt werden. Ein Forschungsteam des Fraunhofer-Instituts für Sichere Informationstechnologie SIT hat das Sicherheitskonzept jetzt überprüft und für angemessen befunden.
Veröffentlicht:
Das Sicherheitskonzept der ePA soll gut sein, wie das Frauenhofer SIT geprüft hat.
© HNFOTO / stock.adobe.com
Berlin/Darmstadt. Die gematik hat das Fraunhofer-Institut für Sichere Informationstechnologie SIT damit beauftragt, die festgelegten Anforderungen im Sicherheitskonzept der ePA für alle zu prüfen. Die Beauftragung eines externen Gutachtens sei nicht verpflichtend, sondern erfolge auf freiwilliger Basis, wie es in einer Pressemitteilung der gematik heißt. Ein Forschungsteam des Fraunhofer SIT hat das Sicherheitskonzept der ePA für alle jetzt überprüft und für angemessen befunden.
So ist der Sicherheitscheck abgelaufen
Für die Überprüfung haben die Forschenden des Fraunhofer SIT zunächst sämtliche Texte der Sicherheitsanforderungen aus dem Konzept in eine eigens dafür aufgesetzte Künstliche Intelligenz überführt und so ein gematik-GPT auf Open-Source-Basis entwickelt, wie es in einer Mitteilung des Frauenhofer SIT heißt. Diese KI funktioniere wie eine spezielle Suchmaschine und erlaube es den Forschenden, alle Inhalte des umfangreichen Konzepts schnell durchsuchen und abrufen zu können. In einem zweiten Schritt entwickelten die Forschenden verschiedene Angriffsszenarien und -methoden und prüften jedes Szenario mithilfe des gematik-GPT gegen das Sicherheitskonzept: Hat das Sicherheitskonzept ein mögliches Angriffsszenario berücksichtigt und Gegenmaßnahmen vorgesehen, zeigt das die KI automatisch an, heißt es weiter.
Alle Ergebnisse der KI nachgeprüft
Das KI-Ergebnis musste noch einem Gegencheck durch die Fraunhofer-Experten standhalten. „Wir wollten hier nicht blind der KI vertrauen, sondern haben alle Ergebnisse der KI nachgeprüft. Das geht immer noch schneller, als alles manuell zu erledigen“, sagt Dr. Steven Arzt, Experte für Secure Software Engineering. „Die KI ist hier ein Werkzeug für die Datenverarbeitung, führt aber nicht die eigentliche Sicherheitsbewertung durch, das haben wir gemacht. Die KI hat uns jedoch dabei unterstützt, durch die riesige Menge an Maßnahmen zu navigieren.“ So haben die Forschenden das Sicherheitskonzept Schritt für Schritt gegen alle möglichen Angriffe durchgeprüft. Das Gesamtergebnis der Sicherheitsbetrachtung laut der Fraunhofer-Experten: Die Systemarchitektur ist insgesamt angemessen, lässt sich jedoch noch verbessern. Zu den zusätzlichen Empfehlungen der Prüfer zählen etwa einige ergänzende Maßnahmen, die zum Beispiel vor Innentätern schützen. Ebenso wurden Verbesserungen an den Schnittstellen zu Krankenkassen und Leistungserbringern vorgeschlagen. (mn)
Zum Abschlussbericht und einem ergänzendes Begleitschreiben der gematik
