Zugängliche Daten
Lauterbach gesteht Schwachstellen ein: Elektronische Patientenakte soll erst kommen, wenn „Hackerangriffe unmöglich“ sind
Karl Lauterbach hatte in der Vergangenheit immer wieder die hohen Sicherheitsstandards der elektronischen Patientenakte hervorgehoben. Jetzt musste der Gesundheitsminister zurückrudern: Die ePA soll erst kommen, wenn Hackerangriffe „technisch unmöglich“ sind. Auch das wirft Fragen auf.
Lange Zeit versprach Gesundheitsminister Karl Lauterbach, die elektronische Patientenakte sei sicher. Spätestens nach dem Ende Dezember stattgefundenen Kongress des Chaos Computer Clubs (CCC) ist jedoch klar: Die Akte hat erhebliche Sicherheitsmängel. Das musste nun auch Karl Lauterbach eingestehen und verkündete auf X: „Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind.“ Damit steht auch eine Verschiebung der bundesweiten Einführung im Raum.
Am 15. Januar soll die ePA automatisch für alle in Deutschland versicherten Personen eingerichtet werden, ab dem 15. Februar sollen die Akten dann aktiv sein. Bislang mussten Versicherte die Erstellung konkret anfordern – jetzt ist es genau andersherum. Damit die Digitalakte nicht angelegt wird, ist im sogenannten Opt-Out-Verfahren ein Widerspruch vonnöten. Bis Oktober haben jedoch gerade einmal ein Prozent der Versicherten bei den großen Kassen AOK, Techniker, Barmer und DAK Einspruch eingelegt, wie eine Anfrage der Deutschen Presse-Agentur (dpa) ergab.
Werbung
Damit ist die Sicherheit der ePA bundesweit umstritten. So haben der CCC als auch der Bundesverband der Verbraucherzentralen (VZBV) bereits im Dezember 2023 gemeinsam mit zwölf weiteren Vereinen und Einrichtungen vor der noch nicht ausgereiften Technologie gewarnt. Auf dem 38. Computer Communication Congress vom 27. bis 30. Dezember wiederholten die IT-Experten des CCC ihre Warnung und zeigten eindrucksvoll, wie einfach der Zugriff auf fremde Daten in der ePA ist.
Durch verschiedene Methoden gelang der Zugriff auf fremde Akten – gebraucht gekaufte Kartenterminals ermöglichten sogar großflächige Angriffe auf das digitale System hinter der ePA, die sogenannte Telematikinfrastruktur. Durch einen solchen Praxiszugang sei der Zugriff auf bis zu 1.500 Patientenakten möglich gewesen, so der CCC (Apollo News berichtete).
„Wir hatten alles zusammen, um auf beliebige individuelle Patientenakten zuzugreifen, auf alle für eine Praxis freigegebenen Akten zuzugreifen, um auf alle 70 Millionen Akten zuzugreifen“, betonte der CCC-Experte Martin Tschirsich. Das Bundesgesundheitsministerium wies die Bedrohung zurück: „Das theoretische Problem, das der CCC beschreibt, betrifft ältere Versionen der ePA und wird vor Einführung der ePA für alle erledigt sein“, teilte die Behörde gegenüber dem Spiegel mit.
Lesen Sie auch:
Corona-Impfung
Deutschland zerstörte dieses Jahr 64,1 Millionen Impfdosen
Allein 2024 wurden 64 Millionen Dosen Corona-Impfstoff vernichtet. Die Bundesregierung beziffert die Kosten für die Zerstörung auf 145.000 Euro. Die Beschaffungs– und Lagerkosten liegen mindestens im dreistelligen Millionenbereich.Umfrage
Corona-Maßnahmen: Nur 17 Prozent der Akademiker befürworten eine Aufarbeitung
Nur 17 Prozent der Akademiker befürworten eine „bessere“ Aufarbeitung der Corona-Pandemie – das zeigt eine neue Umfrage. 82 Prozent lehnen das wiederum vollkommen ab. In der Gesamtbevölkerung sieht es anders aus: 55 Prozent fordern die Aufarbeitung.Gegenüber der Nachrichtenseite Heise erklärte eine Sprecherin, die Pilotphase in den Modellregionen Franken, Hamburg und Nordrhein-Westfalen werde wie vorgesehen am 15. Januar starten. „Die ePA für alle wird zum Start allen hohen Sicherheitsstandards genügen, die auch vom BSI (Bundesamt für Sicherheit in der Informationstechnik, Anm. d. Red.) und BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Anm. d. Red.) mitgetragen werden.“
Bianca Kastl, die gemeinsam mit Tschirsich die Infrastruktur der ePA unter die Lupe genommen hat, zeigte sich in einem Beitrag auf der Plattform Mastodon verwirrt: „Hat Lauterbach damit gerade die ePA 4.0 angekündigt? Oder wann wird das in der ePA 3.0 gefixt sein? Fragen über Fragen…“
Auch die Reaktionen der zuständigen Ämter werfen ein schlechtes Licht auf die ePA: Die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Louisa Specht-Riemenschneider, betonte gegenüber Heise, das Bundesgesundheitsministerium sowie die Gematik als zuständige Stellen „frühzeitig“ auf die Probleme hingewiesen zu haben. Das BSI teilte dem Onlinemedium mit, gemeinsam mit der Gematik „umgehend zusätzliche Schutzmaßnahmen entwickelt und deren Umsetzung veranlasst“ zu haben.
Lauterbach selbst erklärte in seinem Beitrag auf X, „daran wird schon länger gearbeitet“. Zur bundesweiten Einführung der ePA am 15. Februar – wenn der Termin aufgrund der neuen Kritik an den Sicherheitsrisiken überhaupt gehalten werden kann – soll das System dann aktualisiert und gegen die geschilderte Bedrohung gewappnet sein.
Zur Wahrheit gehört aber auch, dass die ePA bereits seit vier Jahren von gesetzlich Versicherten beantragt werden kann – zu Beginn des vergangenen Jahres nutzte etwas weniger als ein Prozent der 74 Millionen gesetzlich Versicherten das Angebot. So waren also immerhin einige zehntausend Akten nicht gegen derartige Angriffe geschützt und hätten rein theoretisch eingesehen werden können.
In den Akten sind tendenziell alle medizinischen Dokumente hinterlegt. In welchem Volumen dies stattfindet, kann der Nutzer selbst entscheiden. Gegen einzelne Teile oder gegen die ganze ePA kann widersprochen werden, wie das Angebot genutzt wird, soll vorerst dem Patienten überlassen werden. Allerdings gab es schon im Vorlauf nicht nur um die Sicherheit der ePA viel Ärger: Der VZBV analysierte die Informationsschreiben von 14 Krankenkassen und kam zu dem Schluss: Über die Risiken, die Funktionsweise, aber auch die Sicherheit der ePA wurde nicht genügend oder nicht transparent aufgeklärt (Apollo News berichtete).
In den Augen der CCC-Experten, die seit Langem vor der ePA warnen und die Akte gleichzeitig als eine Möglichkeit sehen, muss das Projekt jetzt auf Eis gelegt werden. Sie fordern „Ende der ePA-Experimente am lebenden Bürger“. Weiterhin solle eine ePA eingerichtet werden, die aber „den individuellen Sicherheitsbedarf berücksichtigt“. Denn: „Vertrauenswürdige digitale Infrastrukturen können nur entstehen, wenn der Entstehungsprozess selbst Vertrauen ermöglicht.“
Sie haben brisante Insider-Informationen oder Leaks? Hier können Sie uns anonyme Hinweise schicken.
„…wenn Hackerangriffe technisch unmöglich geworden sind.“ Also nie.
„wenn „Hackerangriffe unmöglich“ sind“
Ein Träumer!! Seit wann sind die unmöglich?
Ich habe schon letztes Jahr widersprochen, sollte jeder machen. Aber es gibt diese Idioten, die sagen: „Ich hab ja nix zu verbergen“. Haben sie plötzlich z.B. AIDS, sieht die Sache ganz anders aus.
Wehret den Anfängen der Überwachung, sage ich nur.
Ja, er versprach lange, dass die Akte sicher sei, er versprach, die Impfung ist sicher, ja, er versprach, es wird keine Einschränkungen geben. Sie versprechen, und versprechen, oh Gähn, ich werde echt müde von den gesabbel.
Ich erinnere mich gerade an einen ganz berühmten Satz:
Wir haben nicht die Absicht eine Mauer zu bauen!
Die scheinen alle in die gleiche Lehre gegangen zu sein.
„EPa soll erst kommen, wenn Hackerangriffe unmöglich sind.“ -also nie. Das wird nie gelingen!
…… Dann käme die ePA NIE.
Ich hab eh widersprochen und die
schriftliche Bestätigung. Fertig. 🤷♂️
um einen Politiker zu zitieren :
Ich will das nicht !!
Zumindest bringen sie einen heute alle der Reihe nach kräftig zum Lachen! Das stärkt das Immunsystem! Danke!
Next please!
Da aber alle IT-Experten schon lange in den USA tätig sind und wir noch nicht einmal Glasfaser hinbekommen, bin ich ziemlich zuversichtlich, dass wir diese Karte nie bekommen!
Oder doch aber dann mit Sicherheitslücken.
Sarkasmus:
Freiheit für Sicherheitslücken in der Bananenrepublik!