Die Profi-Hacker vom Chaos Computer Club (CCC) haben gravierende Sicherheitslücken bei der elektronischen Patientenakte (ePA) entdeckt. Der 15. Januar 2025 könnte in die Geschichte des deutschen Gesundheitswesens eingehen, da an diesem Tag die offizielle Einführung der ePA beginnen soll, zunächst jedoch nur in einigen Modellregionen. Die technischen Schwierigkeiten und die aufgedeckten Sicherheitsmängel werfen jedoch erneut Fragen zur tatsächlichen Umsetzung auf.
Laut Tim Szent-Ivanyi sollen die Lücken in der elektronischen Patientenakte ernst genommen werden, zugleich jedoch keine überhasteten Entscheidungen getroffen werden, um die ePA abzulehnen. In den vergangenen 24 Jahren wurde an der Umsetzung gearbeitet, die für ein digitales Gesundheitssystem in Deutschland exemplarisch für die Herausforderungen der Digitalisierung steht. Gesundheitsminister Karl Lauterbach hat das Projekt zwar vorangetrieben, dennoch zeigen Berichte von Kassen, dass meist nur im niedrigen einstelligen Prozentbereich Widersprüche vorkommen.
Sicherheitsprobleme seit Jahren bekannt
Auf dem 38. Chaos Communication Congress in Hamburg wurde deutlich, dass die Sicherheitsprobleme bei der ePA nicht neu sind. Martin Tschirsich und Bianca Kastl erläuterten, dass sie ohne große Mühe Zugang zur ePA für alle schaffen konnten, die automatisch kommt, wenn die Versicherten nicht widersprechen. Die Ursache liegt unter anderem in gravierenden Mängeln in den Spezifikationen, die es Angreifern ermöglichen, Zugriffs-Token für beliebige Akten zu erstellen, ohne die elektronische Gesundheitskarte einstecken zu müssen. Zudem ließen sich durch einfache Telefonanrufe Gesundheitskarten auf fremde Namen bestellen, was den Zugriff auf Patientendaten zusätzlich erleichtert.
Die Sicherheitslücken in der ePA bestehen weiterhin, da bei der neuen Version kein PIN mehr für den Zugang erforderlich ist. Dies bedeutet, dass der physische Besitz einer Gesundheitskarte nicht mehr notwendig ist, um auf die entsprechenden Patientenakten zuzugreifen. Tschirsich und Kastl warnten, dass diese Schwächen das Eindringen in etwa 70 Millionen Patientenakten ermöglichen könnten.
Reaktionen und Aufforderungen
In Reaktion auf die Sicherheitsbedenken hat sich die Gematik zu den aufgedeckten Mängeln geäußert. Sie betont, dass die „praktische Durchführung in der Realität“ für einen der angeführten Angriffe als „nicht sehr wahrscheinlich“ angesehen wird. Sicherheitsforscher und der ehemalige Bundesbeauftragte für Datenschutz und Informationsfreiheit, Ulrich Kelber, haben jedoch Bedenken geäußert, dass die Sicherheitslücken bereits vorhanden sind und die Systemarchitektur Mängel aufweist.
Die Gematik erklärte, dass sie im Austausch mit den zuständigen Sicherheitsbehörden steht und technische Lösungen zur Behebung der vermeintlichen Angriffsszenarien bereits in Arbeit seien. Die ePA solle zunächst nur in Modellregionen eingeführt werden, um die Sicherheitsmaßnahmen zu testen und zu verbessern.
