Die elektronische Patientenakte (ePA), die ab 2025 für alle gesetzlich Versicherten standardmäßig eingeführt werden soll, weist offenbar erhebliche Sicherheitslücken auf. Dies wurde auf dem renommierten Chaos Communication Congress in Hamburg von IT-Sicherheitsexperten eindrucksvoll demonstriert.

Zugriff auf 70 Millionen Patientenakten möglich

Die IT-Experten Bianca Kastl und Martin Tschirsich konnten nach eigenen Angaben auf Akten beliebiger Versicherter zugreifen, ohne deren Gesundheitskarte einzulesen[3]. Dies ermögliche potenziell den Zugang zu allen 70 Millionen elektronischen Patientenakten in Deutschland – ein alarmierender Befund, der das Vertrauen in die Sicherheit des Systems grundlegend erschüttert.

Multiple Sicherheitslücken aufgedeckt

Die Sicherheitsmängel sind vielfältig und tiefgreifend:

• Beschaffung gültiger Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter mit geringem Aufwand[1]
• Fernzugriff auf digitale Patientenakten[3]
• Mängel in Ausgabeprozessen, Beantragungsportalen und im Umgang mit Karten[4]
• Erstellung von Zugriffstoken für Akten beliebiger Versicherter ohne Einlesen der Gesundheitskarte[6]

Kritik an Sicherheitsversprechen

Das Bundesgesundheitsministerium betont, dass nur Patienten und berechtigtes medizinisches Personal Zugriff auf die Daten hätten[3]. Die Realität zeichnet jedoch ein anderes Bild. Die Experten kritisieren, dass die ePA ihr Sicherheitsversprechen nicht einhalten kann[3].

Forderungen nach Transparenz und unabhängiger Prüfung

Kastl und Tschirsich fordern eine „unabhängige und belastbare“ Bewertung der Sicherheitsrisiken sowie eine transparente Kommunikation dieser Risiken[3]. Der Chaos Computer Club (CCC) geht noch weiter und verlangt ein „Ende der ePA-Experimente am lebenden Bürger“[6].

Fazit und Ausblick

Die aufgedeckten Sicherheitsmängel werfen ernsthafte Fragen zur Implementierung und zum Schutz sensibler Gesundheitsdaten auf. Es ist evident, dass vor der flächendeckenden Einführung der ePA noch erheblicher Nachbesserungsbedarf besteht. Nur durch eine gründliche Überarbeitung und unabhängige Überprüfung kann das notwendige Vertrauen in dieses sensible System geschaffen werden.

Die Gesundheit und Privatsphäre der Bürger darf nicht leichtfertig aufs Spiel gesetzt werden. Es liegt nun an den Verantwortlichen, die aufgezeigten Mängel ernst zu nehmen und entsprechende Maßnahmen zu ergreifen, um eine wirklich sichere elektronische Patientenakte zu gewährleisten.

Citations:
[1] https://www.tagesspiegel.de/gesellschaft/panorama/70-millionen-patientendaten-it-experten-wollen-schwachstellen-der-elektronischen-patientenakte-gefunden-haben-12935494.html
[2] https://netzpolitik.org/2024/chaos-communication-congress-das-narrativ-der-sicheren-elektronischen-patientenakte-ist-nicht-mehr-zu-halten/
[3] https://www.zeit.de/digital/2024-12/elektronische-patientenakte-hacker-warnen-chaos-computer-congress
[4] https://www.heise.de/news/38C3-Weitere-Sicherheitsmaengel-in-elektronischer-Patientenakte-fuer-alle-10220617.html
[5] https://winfuture.de/news,147811.html
[6] https://www.golem.de/news/elektronische-patientenakte-so-laesst-sich-auf-die-epa-aller-versicherten-zugreifen-2412-192003.html