Zugängliche Daten
Lauterbach gesteht Schwachstellen ein: Elektronische Patientenakte soll erst kommen, wenn „Hackerangriffe unmöglich“ sind
Karl Lauterbach hatte in der Vergangenheit immer wieder die hohen Sicherheitsstandards der elektronischen Patientenakte hervorgehoben. Jetzt musste der Gesundheitsminister zurückrudern: Die ePA soll erst kommen, wenn Hackerangriffe „technisch unmöglich“ sind. Auch das wirft Fragen auf.
Lange Zeit versprach Gesundheitsminister Karl Lauterbach, die elektronische Patientenakte sei sicher. Spätestens nach dem Ende Dezember stattgefundenen Kongress des Chaos Computer Clubs (CCC) ist jedoch klar: Die Akte hat erhebliche Sicherheitsmängel. Das musste nun auch Karl Lauterbach eingestehen und verkündete auf X: „Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind.“ Damit steht auch eine Verschiebung der bundesweiten Einführung im Raum.
Am 15. Januar soll die ePA automatisch für alle in Deutschland versicherten Personen eingerichtet werden, ab dem 15. Februar sollen die Akten dann aktiv sein. Bislang mussten Versicherte die Erstellung konkret anfordern – jetzt ist es genau andersherum. Damit die Digitalakte nicht angelegt wird, ist im sogenannten Opt-Out-Verfahren ein Widerspruch vonnöten. Bis Oktober haben jedoch gerade einmal ein Prozent der Versicherten bei den großen Kassen AOK, Techniker, Barmer und DAK Einspruch eingelegt, wie eine Anfrage der Deutschen Presse-Agentur (dpa) ergab.
Damit ist die Sicherheit der ePA bundesweit umstritten. So haben der CCC als auch der Bundesverband der Verbraucherzentralen (VZBV) bereits im Dezember 2023 gemeinsam mit zwölf weiteren Vereinen und Einrichtungen vor der noch nicht ausgereiften Technologie gewarnt. Auf dem 38. Computer Communication Congress vom 27. bis 30. Dezember wiederholten die IT-Experten des CCC ihre Warnung und zeigten eindrucksvoll, wie einfach der Zugriff auf fremde Daten in der ePA ist.
Durch verschiedene Methoden gelang der Zugriff auf fremde Akten – gebraucht gekaufte Kartenterminals ermöglichten sogar großflächige Angriffe auf das digitale System hinter der ePA, die sogenannte Telematikinfrastruktur. Durch einen solchen Praxiszugang sei der Zugriff auf bis zu 1.500 Patientenakten möglich gewesen, so der CCC (Apollo News berichtete).
Werbung
„Wir hatten alles zusammen, um auf beliebige individuelle Patientenakten zuzugreifen, auf alle für eine Praxis freigegebenen Akten zuzugreifen, um auf alle 70 Millionen Akten zuzugreifen“, betonte der CCC-Experte Martin Tschirsich. Das Bundesgesundheitsministerium wies die Bedrohung zurück: „Das theoretische Problem, das der CCC beschreibt, betrifft ältere Versionen der ePA und wird vor Einführung der ePA für alle erledigt sein“, teilte die Behörde gegenüber dem Spiegel mit.
Lesen Sie auch:
Neben Bundestagstätigkeit
„Folgen für die Gesundheit“: Karl Lauterbach wird Mitglied einer WHO-Expertenkommission zum Klimawandel
Karl Lauterbach wird Mitglied einer WHO-Expertenkommission zum Thema Gesundheit und Klimawandel. In der Vergangenheit fiel der SPD-Politiker bereits mit Panikaussagen zum Klimawandel auf.
Persönliche Daten
Elektronische Patientenakte: Versicherte können Zugriff auf Gesundheitsdokumente nicht mehr einschränken
Nutzer der elektronischen Patientenakte sollten selbst entscheiden können, welche Praxen Zugriff auf ihre Dokumente haben – doch das ist vorbei. Das Gesundheitsministerium will sogar noch mehr Einschränkungen abschaffen.
Gegenüber der Nachrichtenseite Heise erklärte eine Sprecherin, die Pilotphase in den Modellregionen Franken, Hamburg und Nordrhein-Westfalen werde wie vorgesehen am 15. Januar starten. „Die ePA für alle wird zum Start allen hohen Sicherheitsstandards genügen, die auch vom BSI (Bundesamt für Sicherheit in der Informationstechnik, Anm. d. Red.) und BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Anm. d. Red.) mitgetragen werden.“
Bianca Kastl, die gemeinsam mit Tschirsich die Infrastruktur der ePA unter die Lupe genommen hat, zeigte sich in einem Beitrag auf der Plattform Mastodon verwirrt: „Hat Lauterbach damit gerade die ePA 4.0 angekündigt? Oder wann wird das in der ePA 3.0 gefixt sein? Fragen über Fragen…“
Werbung
Auch die Reaktionen der zuständigen Ämter werfen ein schlechtes Licht auf die ePA: Die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Louisa Specht-Riemenschneider, betonte gegenüber Heise, das Bundesgesundheitsministerium sowie die Gematik als zuständige Stellen „frühzeitig“ auf die Probleme hingewiesen zu haben. Das BSI teilte dem Onlinemedium mit, gemeinsam mit der Gematik „umgehend zusätzliche Schutzmaßnahmen entwickelt und deren Umsetzung veranlasst“ zu haben.
Lauterbach selbst erklärte in seinem Beitrag auf X, „daran wird schon länger gearbeitet“. Zur bundesweiten Einführung der ePA am 15. Februar – wenn der Termin aufgrund der neuen Kritik an den Sicherheitsrisiken überhaupt gehalten werden kann – soll das System dann aktualisiert und gegen die geschilderte Bedrohung gewappnet sein.
Zur Wahrheit gehört aber auch, dass die ePA bereits seit vier Jahren von gesetzlich Versicherten beantragt werden kann – zu Beginn des vergangenen Jahres nutzte etwas weniger als ein Prozent der 74 Millionen gesetzlich Versicherten das Angebot. So waren also immerhin einige zehntausend Akten nicht gegen derartige Angriffe geschützt und hätten rein theoretisch eingesehen werden können.
Werbung
In den Akten sind tendenziell alle medizinischen Dokumente hinterlegt. In welchem Volumen dies stattfindet, kann der Nutzer selbst entscheiden. Gegen einzelne Teile oder gegen die ganze ePA kann widersprochen werden, wie das Angebot genutzt wird, soll vorerst dem Patienten überlassen werden. Allerdings gab es schon im Vorlauf nicht nur um die Sicherheit der ePA viel Ärger: Der VZBV analysierte die Informationsschreiben von 14 Krankenkassen und kam zu dem Schluss: Über die Risiken, die Funktionsweise, aber auch die Sicherheit der ePA wurde nicht genügend oder nicht transparent aufgeklärt (Apollo News berichtete).
In den Augen der CCC-Experten, die seit Langem vor der ePA warnen und die Akte gleichzeitig als eine Möglichkeit sehen, muss das Projekt jetzt auf Eis gelegt werden. Sie fordern „Ende der ePA-Experimente am lebenden Bürger“. Weiterhin solle eine ePA eingerichtet werden, die aber „den individuellen Sicherheitsbedarf berücksichtigt“. Denn: „Vertrauenswürdige digitale Infrastrukturen können nur entstehen, wenn der Entstehungsprozess selbst Vertrauen ermöglicht.“
„…wenn Hackerangriffe technisch unmöglich geworden sind.“ Also nie.
„wenn „Hackerangriffe unmöglich“ sind“
Ein Träumer!! Seit wann sind die unmöglich?
Ich habe schon letztes Jahr widersprochen, sollte jeder machen. Aber es gibt diese Idioten, die sagen: „Ich hab ja nix zu verbergen“. Haben sie plötzlich z.B. AIDS, sieht die Sache ganz anders aus.
Wehret den Anfängen der Überwachung, sage ich nur.
Ja, er versprach lange, dass die Akte sicher sei, er versprach, die Impfung ist sicher, ja, er versprach, es wird keine Einschränkungen geben. Sie versprechen, und versprechen, oh Gähn, ich werde echt müde von den gesabbel.
Ich erinnere mich gerade an einen ganz berühmten Satz:
Wir haben nicht die Absicht eine Mauer zu bauen!
Die scheinen alle in die gleiche Lehre gegangen zu sein.
„EPa soll erst kommen, wenn Hackerangriffe unmöglich sind.“ -also nie. Das wird nie gelingen!
…… Dann käme die ePA NIE.
Ich hab eh widersprochen und die
schriftliche Bestätigung. Fertig. 🤷♂️
um einen Politiker zu zitieren :
Ich will das nicht !!
Zumindest bringen sie einen heute alle der Reihe nach kräftig zum Lachen! Das stärkt das Immunsystem! Danke!
Next please!
Da aber alle IT-Experten schon lange in den USA tätig sind und wir noch nicht einmal Glasfaser hinbekommen, bin ich ziemlich zuversichtlich, dass wir diese Karte nie bekommen!
Oder doch aber dann mit Sicherheitslücken.
Sarkasmus:
Freiheit für Sicherheitslücken in der Bananenrepublik!
Es muss schon sehr frustrierend sein, wenn jeder weitere (unter einem medizinischen Deckmantel) Versuch, den „gläsernen“ Menschen endgültig an die EU-Leine zu binden, schon wieder im Ansatz scheitert. Also wird man früher oder später doch wieder mit der Brechstange drangehen müssen. Hatte ja schon mal funktioniert.
Man sollte diese ePA sowieso von vornherein ablehnen. Zugriffe von Pharmafirmen auf sensible Daten sind ein absolutes GEHT NICHT!
Auf der ePA werden übrigens auch die Impfdaten gespeichert. Was hätte die Regierung während der Corona- Krise alles mit diesen Informationen anstellen können, wenn sie bereits darüber verfügt hätte. Insoweit betrachte ich die ePA, bei allen theoretischen Vorteilen als trojanisches Pferd der Regierung. Es ist auch kein Zufall, dass die ePA von Herrn L. aufgrund der Corona-Erfahrung von einer freiwilligen Zustimmungsvariante auf eine Widerspruchsvariante umgestellt wurde, d.h. jeder bekommt jetzt ungefragt eine untergeschoben und muss dann aktiv dagegen vorgehen, was die meisten aus Trägheit nicht machen. Erinnert irgendwie an den Traum jeder Drückerkolonne.
….. ich dachte die E-Patientenakte sei sein „groesster Erfolg“.
Laut seiner Aussage …..
Ach Gottchen!
Seit wann lässt er sich durch solche „Lappalien“ auf-/abhalten?
Sollte er auf den letzten Metern seiner Daseinsberechtigung als sog. Gesundheitsminister noch einen Rest an in einem Todeskampf befindlichen Gewissen haben?
Er hat sich bisher noch von Nichts Gravierendem aufhalten lassen! … Was soll uns das sagen?
Ich weiß es nicht. … Er eventuell auch nicht?
So oder so, ich widerspreche! Basta!
Na Prost Mahlzeit.
Der Karle scheint auch hinterm Mond zu leben und nicht zu begreifen, was mit so einer Akte möglich ist, wenn die gehackt wird.
siehe Finnland: https://www.zeit.de/digital/datenschutz/2024-04/psychiatrie-finnland-vastaamo-hacker-verurteilt
Die Pilotphase für die ePA soll wie geplant am 15. Januar 2025 trotz zugegebener Sicherheitsmängel starten. Es macht einen sprachlos.
Wie jetzt? Die Daten die ein Arzt hat sollen zentral irgendwo gespeichert werden? Wozu? Das geht doch niemanden was an!
Ich wette, der schickt die bereits gehakten Patientendaten per Mail an die Betroffenen zurück, damit wäre das gröbste erst einmal erledigt.
Falls ich so eine Mail bekomme, werde ich alles ausdrucken und im Tresor verschließen, dann kommt niemand mehr heran. Viele Grüße Herr #Neuland.
Man hat auch nichts anderes erwartet..🤦♂️🤦♂️
„Die ePA soll erst kommen, wenn Hackerangriffe „technisch unmöglich“ sind.“
Das würde heißen, dass sie nie kommt.
Deutschland ist derzeit zur Aufsetzung eines solchen praktikablen Systems technisch nicht in der Lage.
habe das ohnehin abgelehnt
solange die Zahnfee durchs TV geistert weiss ich wenigstens dass unser Land von Irrenhäuslern regiert wird.
Wer es glaubt …. ich hab widersprochen.
Danke für den Hacker- Hinweis Herr Lauterbach. In diesem Fall wird die ePA niemals kommen.
Zur Wiedervorlage: „St. Nimmerleins Tag“
Fragt mal den Drosten ob er schon einen PCR-Test für gehäckselte EPa Daten „erfunden“ hat. Und BionTech stellt bestimmt gern die neueste modRNA „Impfung“ mit AntiHack zur Verfügung. Der Lauterbach wartet bestimmt schon darauf, dass Zeug den Massen unterzujubeln. Und nicht vergessen, die Auffrischung, jetzt mit AntHack! Man weiß ja nie.