Werbung

Zugängliche Daten

Lauterbach gesteht Schwachstellen ein: Elektronische Patientenakte soll erst kommen, wenn „Hackerangriffe unmöglich“ sind

Karl Lauterbach hatte in der Vergangenheit immer wieder die hohen Sicherheitsstandards der elektronischen Patientenakte hervorgehoben. Jetzt musste der Gesundheitsminister zurückrudern: Die ePA soll erst kommen, wenn Hackerangriffe „technisch unmöglich“ sind. Auch das wirft Fragen auf.

Die elektronische Patientenakte ist ein Prestigeprojekt von Karl Lauterbach – doch das könnte jetzt ins Stocken geraten.

Werbung

Lange Zeit versprach Gesundheitsminister Karl Lauterbach, die elektronische Patientenakte sei sicher. Spätestens nach dem Ende Dezember stattgefundenen Kongress des Chaos Computer Clubs (CCC) ist jedoch klar: Die Akte hat erhebliche Sicherheitsmängel. Das musste nun auch Karl Lauterbach eingestehen und verkündete auf X: „Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind.“ Damit steht auch eine Verschiebung der bundesweiten Einführung im Raum.

Am 15. Januar soll die ePA automatisch für alle in Deutschland versicherten Personen eingerichtet werden, ab dem 15. Februar sollen die Akten dann aktiv sein. Bislang mussten Versicherte die Erstellung konkret anfordern – jetzt ist es genau andersherum. Damit die Digitalakte nicht angelegt wird, ist im sogenannten Opt-Out-Verfahren ein Widerspruch vonnöten. Bis Oktober haben jedoch gerade einmal ein Prozent der Versicherten bei den großen Kassen AOK, Techniker, Barmer und DAK Einspruch eingelegt, wie eine Anfrage der Deutschen Presse-Agentur (dpa) ergab.

...
...

Damit ist die Sicherheit der ePA bundesweit umstritten. So haben der CCC als auch der Bundesverband der Verbraucherzentralen (VZBV) bereits im Dezember 2023 gemeinsam mit zwölf weiteren Vereinen und Einrichtungen vor der noch nicht ausgereiften Technologie gewarnt. Auf dem 38. Computer Communication Congress vom 27. bis 30. Dezember wiederholten die IT-Experten des CCC ihre Warnung und zeigten eindrucksvoll, wie einfach der Zugriff auf fremde Daten in der ePA ist.

Durch verschiedene Methoden gelang der Zugriff auf fremde Akten – gebraucht gekaufte Kartenterminals ermöglichten sogar großflächige Angriffe auf das digitale System hinter der ePA, die sogenannte Telematikinfrastruktur. Durch einen solchen Praxiszugang sei der Zugriff auf bis zu 1.500 Patientenakten möglich gewesen, so der CCC (Apollo News berichtete).

„Wir hatten alles zusammen, um auf beliebige individuelle Patientenakten zuzugreifen, auf alle für eine Praxis freigegebenen Akten zuzugreifen, um auf alle 70 Millionen Akten zuzugreifen“, betonte der CCC-Experte Martin Tschirsich. Das Bundesgesundheitsministerium wies die Bedrohung zurück: „Das theoretische Problem, das der CCC beschreibt, betrifft ältere Versionen der ePA und wird vor Einführung der ePA für alle erledigt sein“, teilte die Behörde gegenüber dem Spiegel mit.

Lesen Sie auch:

Gegenüber der Nachrichtenseite Heise erklärte eine Sprecherin, die Pilotphase in den Modellregionen Franken, Hamburg und Nordrhein-Westfalen werde wie vorgesehen am 15. Januar starten. „Die ePA für alle wird zum Start allen hohen Sicherheitsstandards genügen, die auch vom BSI (Bundesamt für Sicherheit in der Informationstechnik, Anm. d. Red.) und BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Anm. d. Red.) mitgetragen werden.“

Bianca Kastl, die gemeinsam mit Tschirsich die Infrastruktur der ePA unter die Lupe genommen hat, zeigte sich in einem Beitrag auf der Plattform Mastodon verwirrt: „Hat Lauterbach damit gerade die ePA 4.0 angekündigt? Oder wann wird das in der ePA 3.0 gefixt sein? Fragen über Fragen…“

Auch die Reaktionen der zuständigen Ämter werfen ein schlechtes Licht auf die ePA: Die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Louisa Specht-Riemenschneider, betonte gegenüber Heise, das Bundesgesundheitsministerium sowie die Gematik als zuständige Stellen „frühzeitig“ auf die Probleme hingewiesen zu haben. Das BSI teilte dem Onlinemedium mit, gemeinsam mit der Gematik „umgehend zusätzliche Schutzmaßnahmen entwickelt und deren Umsetzung veranlasst“ zu haben.

Lauterbach selbst erklärte in seinem Beitrag auf X, „daran wird schon länger gearbeitet“. Zur bundesweiten Einführung der ePA am 15. Februar – wenn der Termin aufgrund der neuen Kritik an den Sicherheitsrisiken überhaupt gehalten werden kann – soll das System dann aktualisiert und gegen die geschilderte Bedrohung gewappnet sein.

Zur Wahrheit gehört aber auch, dass die ePA bereits seit vier Jahren von gesetzlich Versicherten beantragt werden kann – zu Beginn des vergangenen Jahres nutzte etwas weniger als ein Prozent der 74 Millionen gesetzlich Versicherten das Angebot. So waren also immerhin einige zehntausend Akten nicht gegen derartige Angriffe geschützt und hätten rein theoretisch eingesehen werden können.

In den Akten sind tendenziell alle medizinischen Dokumente hinterlegt. In welchem Volumen dies stattfindet, kann der Nutzer selbst entscheiden. Gegen einzelne Teile oder gegen die ganze ePA kann widersprochen werden, wie das Angebot genutzt wird, soll vorerst dem Patienten überlassen werden. Allerdings gab es schon im Vorlauf nicht nur um die Sicherheit der ePA viel Ärger: Der VZBV analysierte die Informationsschreiben von 14 Krankenkassen und kam zu dem Schluss: Über die Risiken, die Funktionsweise, aber auch die Sicherheit der ePA wurde nicht genügend oder nicht transparent aufgeklärt (Apollo News berichtete).

In den Augen der CCC-Experten, die seit Langem vor der ePA warnen und die Akte gleichzeitig als eine Möglichkeit sehen, muss das Projekt jetzt auf Eis gelegt werden. Sie fordern „Ende der ePA-Experimente am lebenden Bürger“. Weiterhin solle eine ePA eingerichtet werden, die aber „den individuellen Sicherheitsbedarf berücksichtigt“. Denn: „Vertrauenswürdige digitale Infrastrukturen können nur entstehen, wenn der Entstehungsprozess selbst Vertrauen ermöglicht.“

Sie haben brisante Insider-Informationen oder Leaks? Hier können Sie uns anonyme Hinweise schicken.

Werbung