Die Einführung der elektronischen Patientenakte (ePA) wirft massive Fragen zur Datensicherheit auf. Ab Februar 2025 wird allen gesetzlich Versicherten eine digitale Akte angelegt, sofern sie nicht aktiv widersprechen. Doch eine Recherche von ZEIT ONLINE offenbart gravierende Sicherheitslücken, die nicht ignoriert werden dürfen.

Geheimdienste: „Nicht relevant“?

Ein Sicherheitsgutachten des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT), das im Auftrag der Gematik erstellt wurde, stufte Angriffe durch ausländische Regierungen als „nicht relevant“ ein. Diese Einschätzung ist mehr als fragwürdig. Experten warnen: Gesundheitsdaten sind ein hochsensibles Ziel für ausländische Nachrichtendienste. Diagnosen wie Depressionen oder Unfruchtbarkeit könnten genutzt werden, um Menschen zu erpressen oder öffentlich zu diskreditieren.

Im hybriden Krieg – einer realen Bedrohung, wie Geheimdienstexperten betonen – sind solche Daten ein strategisches Ziel. Die zentrale Speicherung der ePA macht es Angreifern besonders leicht: Eine einzige Sicherheitslücke genügt, um Millionen sensibler Informationen preiszugeben.

Mangelhafte Sicherheitsprüfung

Laut Gematik soll die ePA nach den höchsten Sicherheitsstandards entwickelt werden. Doch das Gutachten des Fraunhofer SIT zeigt, dass staatliche Angreifer nicht umfassend berücksichtigt wurden. Diese Entscheidung wurde offenbar auf Weisung der Gematik getroffen. Das Bundesgesundheitsministerium, Hauptgesellschafter der Gematik, rechtfertigte dies mit der Aussage, die Grundarchitektur der ePA biete „umfangreichen Schutz gegen viele potenzielle und relevante Bedrohungen“. Was genau als „relevant“ gilt, bleibt jedoch unklar.

Kritik von Sicherheitsbehörden

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verfassungsschutz sehen die Dinge anders. Beide betonen die Notwendigkeit, Bedrohungen durch staatliche Akteure ernst zu nehmen. Das BSI fordert einen ganzheitlichen Sicherheitsansatz und kritisiert die Entscheidung der Gematik, Angriffe von Regierungsorganisationen auszuschließen. Der Verfassungsschutz verweist auf den aktuellen Verfassungsschutzbericht 2023, der vor einer hohen Gefährdung durch russische Geheimdienste warnt.

Risiken der zentralen Datenspeicherung

Die ePA basiert auf zwei zentralen Schwachstellen:

1. Zentrale Datenspeicherung: Angreifer können mit einem einzigen erfolgreichen Angriff auf eine Vielzahl sensibler Daten zugreifen. Selbst wenn diese verschlüsselt sind, zeigt die Erfahrung, dass Verschlüsselung nicht immer ausreichend ist.
2. Weitgehende Nutzungsrechte: Zahlreiche Mitarbeiter im Gesundheitswesen haben Zugriff auf die Daten, was das Risiko interner Angriffe erhöht. Eine Krankenschwester, die von einem Geheimdienst beeinflusst wird, könnte sensible Informationen abziehen.

Vertrauen steht auf dem Spiel

Die mangelhafte Sicherheitsprüfung untergräbt das Vertrauen in die ePA. Politiker wie Konstantin von Notz (Grüne) und Roderich Kiesewetter (CDU) zeigen sich äußerst besorgt. Von Notz fordert höchste Priorität für die Sicherheit der Daten, da sonst erfolgreiche Angriffe und ein Verlust des Vertrauens drohen. Kiesewetter kritisiert, dass die Relevanz möglicher Sicherheitsbedrohungen von der Gematik und nicht von Nachrichtendiensten beurteilt wird.

Fazit

Die elektronische Patientenakte bietet zweifellos Vorteile für die Gesundheitsversorgung. Doch der Umgang mit ihrer Sicherheit wirft gravierende Fragen auf. Solange die ePA nicht gegen alle potenziellen Bedrohungen – insbesondere durch staatliche Akteure – abgesichert ist, bleibt sie ein hochriskantes Experiment. Es ist höchste Zeit, dass die Verantwortlichen handeln und den Schutz unserer sensibelsten Daten sicherstellen.