Lauterbach-Projekt
Extreme Sicherheitslücke bei digitaler Patientenakte – hunderttausende Datensätze ungeschützt einsehbar
Ab 2025 wird die elektronische Patientenakte automatisch für alle gesetzlich Versicherten angelegt – es sei denn, sie widersprechen. Es zeigt sich jetzt jedoch, wie leicht durch Designfehler auf Akten zugegriffen werden kann.
Von
Mit dem Wechsel zum sogenannten Opt-out-Verfahren ab Januar 2025 wird es in Zukunft deutlich schwerer, sich der elektronischen Patientenakte (ePA) zu entziehen. Bürger mussten in der Vergangenheit aktiv einer ePA-Anlage zustimmen. Erst 2021 eingeführt, wird die ePA hier bislang kaum genutzt. Im Sommer 2024 zeigte eine Abfrage des MDR, dass lediglich 0,1 Prozent der AOK-Versicherten eine ePA hatten, bei der Barmer Ersatzkasse waren es 1,7 Prozent – ein Spitzenwert unter den gesetzlichen Krankenkassen.
Mit dem Digital-Gesetz hat die ehemalige Ampelkoalition nun einen Systemwechsel eingeleitet: Ab Januar 2025 wird die ePA automatisch für alle gesetzlich Versicherten angelegt, es sei denn, sie widersprechen ausdrücklich. Dieser Wechsel soll die Nutzung deutlich steigern. Ab dem 15. Januar 2025 startet das System in Modellregionen wie Hamburg, Franken und Teilen Nordrhein-Westfalens. Einen Monat später soll die ePA allen gesetzlich Versicherten zur Verfügung stehen. Allerdings bleibt die Akte zunächst leer. Ärzte sind dann verpflichtet, aktuelle Behandlungsunterlagen dort einzustellen. Ältere Dokumente können Versicherte bei Bedarf selbst hochladen.
Werbung
Trotz der ständigen Betonung der Sicherheit der elektronischen Patientenakte präsentierten die Sicherheitsexperten Martin Tschirsich und Bianca Kastl auf dem 38. Chaos Communication Congress in Hamburg gravierende Schwachstellen in der neuen „ePA für alle“. Es gelang ihnen, Zugriff auf beliebige Patientenakten zu erhalten – ohne die elektronische Gesundheitskarte nutzen zu müssen. Ursache seien Mängel in den Spezifikationen. So konnten Tschirsich und Kastl Zugriffstoken für die ePA generieren und Sicherheitsmechanismen umgehen. Auch ohne physische Gesundheitskarte oder PIN lässt sich auf die neue Version ePA 3.0 zugreifen.
Die Sicherheitslücken beschränken sich nicht nur auf die Software. Die Forscher demonstrierten, wie einfach sich elektronische Gesundheitskarten durch falsche Angaben bei Krankenkassen bestellen lassen – innerhalb weniger Minuten. Überdies eröffneten gekaufte Kartenterminals und SQL-Injection-Angriffe weitere Angriffswege. Durch einen kompromittierten Praxiszugang sei der Zugriff auf bis zu 1.500 Patientenakten möglich. Viele der Schwachstellen sind nicht neu. Bereits vor Jahren hatte der Sicherheitsforscher André Zilch gezeigt, wie leicht sich elektronische Heilberufsausweise beschaffen lassen. „Es handelt sich um Designfehler, die längst hätten behoben werden müssen“, kritisiert der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber.
Die Experten fordern mehr Transparenz und eine unabhängige Bewertung der Sicherheitsrisiken. Versicherten müsse klar kommuniziert werden, welche Gefahren die ePA birgt. „Es braucht sinnvolle, digitale Lösungen, die als öffentliche Infrastruktur funktionieren“, so Kastl. Bislang reagiere die Gematik, die Firma, die für die ePA verantwortlich ist, nur unzureichend auf die Kritik.
Sie haben brisante Insider-Informationen oder Leaks? Hier können Sie uns anonyme Hinweise schicken.
Wenn Lauterbach betont, WIE sicher etwas ist, müßten heute bei Allen ALLE Alarmglocken schrillen!
Merkt denn keiner das hier alle verApple ´t werden, und die legitimen Bedenken werden, wie heute modern, einfach „weggewischt“.
Am Ende steht der gläserne Bürger, mit dem totalitären Überwachungsstaat.
Ich habe jeden, der es hören wollte, vor GENAU DIESEM Szenario gewarnt, auch hier: Dass diese Datenbank Hacker magisch anziehen und geknackt werden wird.
Ich bin fest davon ausgegangen, dass dieser Schrott-Staat bei allem, was er tut, Schrott abliefert – auch bei der IT-Sicherheit. Dass diese Annahme zweifelsfrei bestätigt wird, noch BEVOR die Datenbank offiziell startet, überrascht mich trotzdem …
Wer hätte denn ernsthaft etwas anderes erwartet. Avanti Dilettanti.
Nichts funktioniert mehr in Deutschland!
Allein schon, dass es mitunter lange Jahre braucht, um eine richtige Diagnose gestellt zu bekommen, ergibt es keinen Sinn, die Historie der zuvor falsch erhobenen Befunde mit all ihren Irrungen und Wirrungen in einer ePA zu dokumentieren. Aber auch selbst dann, wenn endlich klar ist, mit welchem Krankheitsbild es ein Patient zu tun hat, harrt die alles entscheidende Frage des Therapieansatzes dann immer noch einer Antwort. Offen bleibt daher auch weiterhin, worin die von den Krankenkassen vielgepriesenen Vorteile einer digitalen Erfassung liegen sollen. Ein wirklicher Nutzen angesichts solcher Anforderungen ist jedenfalls kaum zu erkennen.
Die Fachkompetenz in vielen Bereichen der Wirtschaft harmoniert optimal mit der Fachkompetenz der Politiker. So passt doch alles bestens zusammen und die Ergebnisse werden auch wieder sichtbar.