Am 15. Januar 2025 wird die elektronische Patientenakte (ePA) für alle gesetzlich Versicherten in Deutschland eingeführt, sofern sie nicht ausdrücklich widersprechen. Doch kurz vor dem Start warnen IT-Experten des Chaos Computer Clubs (CCC) vor gravierenden Sicherheitslücken, die den Schutz hochsensibler Gesundheitsdaten gefährden könnten. Diese Enthüllungen werfen die Frage auf, ob ein Widerspruch gegen die Einführung der ePA sinnvoll sein könnte.

Was ist die elektronische Patientenakte?

Die ePA soll als digitaler Aktenordner dienen, in dem medizinische Daten wie Laborbefunde, Arztbriefe und Medikationspläne gespeichert werden. Ziel ist es, die medizinische Versorgung zu verbessern, Doppeluntersuchungen zu vermeiden und den Datenaustausch zwischen Ärzten zu erleichtern. Auch Notfallärzte könnten im Ernstfall schneller auf wichtige Informationen zugreifen.

Die ePA wird zunächst in Modellregionen wie Franken, Hamburg und Teilen Nordrhein-Westfalens eingeführt, bevor sie bundesweit ausgerollt wird. Der Zugriff auf die Akte soll durch Sicherheitsmechanismen geschützt sein, doch genau hier sieht der CCC erhebliche Schwachstellen.

Sicherheitslücken: Ein Angriff auf sensible Daten

Auf dem Chaos Communication Congress 2024 demonstrierten die IT-Experten Bianca Kastl und Martin Tschirsich, wie leicht Angreifer Zugriff auf Gesundheitsdaten erhalten könnten:

• Einfacher Zugang zu Gesundheitskarten: Mit simplen Telefonanrufen bei Krankenkassen konnten die Experten elektronische Gesundheitskarten auf fremde Namen bestellen – ein Vorgang, der nur wenige Minuten dauerte.
• Verzicht auf PIN-Eingabe: Die neue Version der ePA (3.0) verzichtet auf eine PIN-Eingabe in Arztpraxen. Der bloße Besitz einer Gesundheitskarte reicht aus, um auf die sensiblen Daten zuzugreifen.
• Missbrauch von Praxisausweisen: Angreifer könnten sich als Ärzte ausgeben und über gestohlene Praxisausweise Zugriff auf bis zu 1.500 Patientenakten einer Praxis erhalten.
• Manipulation von Geräten: Kartenlesegeräte mit Zugangsdaten von Arztpraxen sind teilweise über Kleinanzeigen erhältlich und können für unbefugte Zugriffe genutzt werden.

Kritik am System: „Experimente am lebenden Bürger“

Der CCC kritisiert das System scharf und fordert ein sofortiges Ende der „ePA-Experimente am lebenden Bürger“. Der Verband bemängelt insbesondere die unzureichende Sicherheit der Telematikinfrastruktur und warnt vor den Konsequenzen einer zentralisierten Speicherung sensibler Gesundheitsdaten.

Auch Datenschutzexperten und Ärzte äußern Bedenken. Silke Lüder, stellvertretende Bundesvorsitzende der Freien Ärzteschaft, bezeichnet die Einführung der ePA angesichts der Sicherheitslücken als „absolut verantwortungslos“. Sie fordert einen sofortigen Stopp des Rollouts.

Reaktionen der Verantwortlichen

Die Gematik GmbH, die für die Umsetzung der ePA zuständig ist, hat angekündigt, weitere Sicherheitsmaßnahmen umzusetzen. Dazu gehören:

• Zusätzliche Verschlüsselung der Krankenversichertennummer
• Verbesserte Überwachungsmaßnahmen wie Anomalieerkennung
• Sensibilisierung der Nutzer für potenzielle Risiken

Die Gematik betont jedoch, dass die praktischen Angriffe technisch zwar möglich seien, aber in der Realität nur unter bestimmten Voraussetzungen durchführbar wären.

Fazit: Widerspruch oder Abwarten?

Die Entscheidung für oder gegen die ePA bleibt eine persönliche Abwägung zwischen den potenziellen Vorteilen für die medizinische Versorgung und den dokumentierten Sicherheitsrisiken. Wer Bedenken hat, sollte bis zum 15. Januar aktiv widersprechen. Gleichzeitig bleibt abzuwarten, ob die angekündigten Maßnahmen zur Verbesserung der Sicherheit tatsächlich umgesetzt werden und das Vertrauen in das System wiederherstellen können.

Die Einführung eines so sensiblen Systems erfordert höchste Standards an Transparenz und Sicherheit – beides scheint aktuell nicht ausreichend gewährleistet zu sein.

Citations:
[1] https://www.br.de/nachrichten/netzwelt/hacker-enthuellen-sicherheitsluecken-bei-digitaler-patientenakte,UYWUk0F
[2] https://www.deutsche-apotheker-zeitung.de/news/artikel/2025/01/02/chaos-computer-club-legt-sicherheitsluecken-beim-epa-zugriff-offen
[3] https://www.deutschlandfunknova.de/beitrag/gesundheit-elektronischen-patientenakte-mit-sicherheitsluecken
[4] https://www.spiegel.de/netzwelt/netzpolitik/elektronische-patientenakte-epa-ccc-sieht-eklatante-sicherheitsluecken-a-32dd2310-f52d-403c-9ec7-40d9b6426112
[5] https://www.rnd.de/wirtschaft/elektronische-patientenakte-offenbart-schwere-sicherheitsluecken-doch-besser-widersprechen-KCCWIEJDOBGFVPCCHMWI5SNPB4.html
[6] https://www.rbb24.de/panorama/beitrag/2024/11/elektronische-patientenakte-epa-eakte-gesundheitswesen-medizin.html
[7] https://www.verbraucherzentrale.de/wissen/gesundheit-pflege/krankenversicherung/elektronische-patientenakte-epa-digitale-patientenakte-fuer-alle-kommt-57223