Die jüngsten Enthüllungen von Sicherheitsforschern auf dem 38. Chaos Communication Congress haben gravierende Sicherheitslücken in der elektronischen Patientenakte (ePA) offengelegt. Trotz dieser alarmierenden Erkenntnisse beharrt das Bundesgesundheitsministerium (BMG) auf dem geplanten bundesweiten Rollout ab dem 15. Januar 2025. Diese Entscheidung wirft Fragen zur Priorisierung von Datensicherheit im Gesundheitswesen auf.

Kritische Sicherheitsmängel aufgedeckt

Bianca Kastl und Martin Tschirsich demonstrierten auf dem Kongress, wie leicht unbefugte Zugriffe auf sensible Gesundheitsdaten möglich sind[1]. Besonders beunruhigend ist die Tatsache, dass mit minimalem Aufwand Zugang zu Millionen von Patientenakten erlangt werden kann. Die Forscher zeigten unter anderem, wie einfach es ist, Gesundheitskarten auf fremde Namen zu bestellen und wie die neue Version der ePA auf eine PIN-Eingabe in Arztpraxen verzichtet[1].

Reaktionen der Behörden

Das BMG beteuert, dass die aufgezeigten Probleme vor der flächendeckenden Einführung gelöst sein werden[1]. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in Zusammenarbeit mit der Gematik bereits zusätzliche Schutzmaßnahmen entwickelt. Diese sollen unbefugte Zugriffe verhindern und die Sicherheit der Infrastruktur erhöhen.

Kritische Stimmen und Forderungen

Experten wie der ehemalige Landesdatenschutzbeauftragte Thilo Weichert bezeichnen den geplanten Rollout als „gewaltiges Wagnis für den Datenschutz“[1]. Die Freie Ärzteschaft fordert einen sofortigen Stopp der Einführung, da sie die bestehenden Sicherheitslücken als „absolut verantwortungslos“ einstuft[1].

Fazit und Ausblick

Die Entscheidung des BMG, trotz der aufgedeckten Sicherheitsmängel am Starttermin festzuhalten, ist höchst bedenklich. Es bleibt abzuwarten, ob die angekündigten Schutzmaßnahmen ausreichen werden, um das Vertrauen der Öffentlichkeit in die Sicherheit ihrer sensiblen Gesundheitsdaten zu gewährleisten. Die kommenden Wochen werden zeigen, ob die Behörden in der Lage sind, die gravierenden Sicherheitslücken rechtzeitig zu schließen und einen verantwortungsvollen Umgang mit den Patientendaten zu gewährleisten.

Citations:
[1] https://www.br.de/nachrichten/netzwelt/hacker-enthuellen-sicherheitsluecken-bei-digitaler-patientenakte,UYWUk0F
[2] https://www.deutsche-apotheker-zeitung.de/news/artikel/2024/11/12/wie-sicher-ist-die-elektronische-patientenakte
[3] https://www.verbraucherzentrale.de/wissen/gesundheit-pflege/krankenversicherung/elektronische-patientenakte-epa-digitale-patientenakte-fuer-alle-kommt-57223
[4] https://www.sit.fraunhofer.de/de/presse/details/news-article/show/neues-epa-sicherheitskonzept-auf-dem-pruefstand/
[5] https://www.mdr.de/nachrichten/deutschland/gesellschaft/elektronische-patientenakte-sicherheit-widerspruch-102.html
[6] https://healthcare-in-europe.com/de/news/digital-infrastruktur-elektronische-patientenakte-epa-studie.html