Die Digitalisierung des Gesundheitswesens sollte Effizienz steigern, Prozesse erleichtern und insbesondere den Schutz sensibler Daten gewährleisten. Die Realität sieht jedoch anders aus: Ein massives Datenleck bei D-Trust, einer Tochter der Bundesdruckerei, zeigt erneut die gravierenden Sicherheitsmängel bei der digitalen Patientenakte. Rund 170.000 Datensätze mit hochsensiblen Informationen von Ärztinnen, Ärzten und medizinischem Personal waren ungeschützt im Internet zugänglich. Namen, Adressen, Geburtsdaten und sogar Ausweisnummern waren mit minimalem Aufwand abrufbar.

Das Datenleck und die Konsequenzen

Ein anonymer Sicherheitsforscher stieß Anfang Januar auf die brisanten Datensätze. Die betroffenen Informationen bezogen sich unter anderem auf Antragsdaten für Praxisausweise – eine essenzielle Komponente der Telematikinfrastruktur (TI), die den Zugang zu elektronischen Patientenakten ermöglicht. D-Trust selbst bezeichnete das Problem als „Angriff“ und stellte Strafanzeige gegen Unbekannt. Eine taktisch fragwürdige Entscheidung, die nicht nur den Fokus von den eigenen Versäumnissen ablenken sollte, sondern auch den verantwortlichen Sicherheitsforscher kriminalisierte.

Besonders bemerkenswert ist die Reaktionszeit des Unternehmens: Während IT-Sicherheitsexperten bereits Wochen zuvor auf die Schwachstelle hingewiesen hatten, reagierte D-Trust erst am 16. Januar – einen Tag nach der offiziellen Einführung der elektronischen Patientenakte in Modellregionen. Ein Zufall? Kaum.

Ein strukturelles Versagen mit System

Diese Panne ist kein Einzelfall. Schon im Dezember 2024 hatten IT-Sicherheitsforscher beim Chaos Communication Congress (CCC) demonstriert, dass die Telematikinfrastruktur nicht die Sicherheitsstandards erfüllt, die von einer solch sensiblen Plattform erwartet werden dürfen. Dennoch wurde das System weiter ausgerollt – mit absehbaren Konsequenzen.

Die Bundesregierung unter Gesundheitsminister Karl Lauterbach versprach Sicherheit und Vertrauen in die elektronische Patientenakte. Tatsächlich hat sich das Gegenteil bewahrheitet: Durch das mangelhafte Sicherheitskonzept und die unzureichende Kontrolle der beteiligten Unternehmen wurden die Daten von medizinischem Personal und potenziell auch von Patientinnen und Patienten gefährdet.

D-Trust selbst schweigt weitgehend zu den wesentlichen Fragen:

• Wieso wurden diese hochsensiblen Daten überhaupt ungeschützt im Internet bereitgestellt?
• Hat das Unternehmen untersucht, ob Unbefugte sich Zugang zu den Patientendaten verschaffen konnten?
• Welche Maßnahmen werden ergriffen, um ein derartiges Versagen in Zukunft zu verhindern?

IT-Sicherheitsgesetz und der „Hacker-Paragraph“ als Problem

Ein weiteres Problem ist die Kriminalisierung von IT-Sicherheitsexperten durch den sogenannten Hacker-Paragraphen § 202c StGB. Dieser Paragraph macht es möglich, dass Sicherheitsforscher, die auf Schwachstellen hinweisen, kriminalisiert werden. Während Unternehmen wie D-Trust eklatante Fehler begehen, sind es letztlich diejenigen, die auf Sicherheitslücken hinweisen, die rechtliche Konsequenzen fürchten müssen. Das aktuelle Beispiel zeigt: Anstatt sich um eine ernsthafte Aufarbeitung des Vorfalls zu bemühen, eröffnete D-Trust den Kampf gegen den Boten der schlechten Nachricht.

Fazit: Wer trägt die Verantwortung?

Der Vorfall bei D-Trust zeigt erneut, dass digitale Sicherheit im Gesundheitswesen fahrlässig vernachlässigt wird. Eine mangelhafte Sicherheitsarchitektur, verschleppte Reaktionen und das bewusste Ignorieren von Warnungen durch IT-Experten werfen Fragen auf. Die digitale Patientenakte, einst als Fortschritt gefeiert, droht zum Sinnbild eines gescheiterten Sicherheitskonzepts zu werden.

Das Mindeste, was jetzt erforderlich ist, sind klare Konsequenzen:

1. Eine unabhängige Untersuchung der Sicherheitsstandards von D-Trust und der gesamten Telematikinfrastruktur.
2. Eine gesetzliche Reform des IT-Sicherheitsgesetzes, die den Schutz von Sicherheitsforschern stärkt anstatt sie zu kriminalisieren.
3. Eine lückenlose Aufklärung und öffentliche Entschuldigung durch D-Trust.
4. Strengere regulatorische Vorgaben für Unternehmen, die mit sensiblen Daten arbeiten.

Bis dahin bleibt die Botschaft klar: Wer mit sensiblen Daten fahrlässig umgeht, verspielt nicht nur das Vertrauen der Ärzteschaft, sondern auch das der gesamten Bevölkerung. Ein Unternehmen, das sich selbst „D-Trust“ nennt, aber keine vertrauenswürdige Sicherheitsstrategie vorweisen kann, hat in der digitalen Infrastruktur des Gesundheitswesens keinen Platz.

Oder, um es mit den Worten des CCC zu sagen: D-Trust? Don’t trust!