ePA-Sicherheitsmängel, die Drölfzigste Auch nach dem bundesweitem Roll-out ist die Sicherheit der ePA Stein des Anstoßes

Gesundheitspolitik Autor: Anouschka Wasner

An diese Daten heranzukommen, ist für Profis aber offensichtlich nicht sehr schwer. An diese Daten heranzukommen, ist für Profis aber offensichtlich nicht sehr schwer. © c - stock.adobe.com

Nur einen Tag nach dem ePA-Start meldet der Chaos Computer Club neue Sicherheitsmängel an. Den Starttermin 29. April hatte Prof. Dr. Karl Lauterbach noch schnell vor Amtsende in einem Schreiben an die Gematik mitgeteilt. Sicherheitsbedenken hat er keine.

Positive Nutzererfahrungen sollten der Treiber der ePA in der Versorgung sein, schrieb Noch-Gesundheitsminister Prof.Lauterbach in seinem Brief an die Gematik, in dem er den Roll-out der ePA kurzfristig für Ende April ansetzte. Für die „Hochlaufphase“ räumte er eine Übergangszeit bis 1. Oktober ein. Diese Zeit soll von den Leistungserbringenden genutzt werden, um „die Mehrwerte der ePA in der Versorgung entstehen zu lassen“. Dabei soll zunächst niemand unter Druck geraten. Heißt: Es kommen zunächst keine Sanktionen ins Spiel. Ab dem 1. Oktober 2025 aber schon: Dann ist die ePA entsprechend der gesetzlichen Vorgaben und Verpflichtungen durch die Leistungserbringenden zu nutzen. 

Schon im Dezember wurden relevante Mängel aufgedeckt

Doch immer wieder mussten Sicherheitsforschende auf Mängel hinweisen. Zuletzt waren das im größeren Stil Martin Tschirsich und Bianca Kastl auf dem Kongress des Chaos Computer Clubs (CCC) im Dezember 2024, wenige Wochen vor dem Start der Testphase der ePA. Sie hatten zeigen können, wie man sich mit wenig Aufwand Zugriff auf eine fremde ePA verschafft, wie man Zugänge zu Gesundheitseinrichtungen kompromittiert und wie über die Zugriffstoken der Karten der Weg zu jeder einzelnen der Millionen Patientenakten möglich wäre. 

Im Schreiben von Prof. Lauterbach hieß es dazu, man habe in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Sicherheitsmaßnahmen umgesetzt. Und auch die Gematik hatte u. a. auf dem Fachärztetag Ende März kommuniziert, der Prozess zur Schließung der aufgedeckten Sicherheitslücken sei abgeschlossen. 

Keine der Forderungen des CCC sei wirklich „reflektiert“ worden, sagte dagegen Tschirsich bei einer Medi-Veranstaltung unter dem Titel „Das Ende der Schweigepflicht“ Anfang April. Es fehle weiterhin eine belastbare unabhängige Bewertung von Sicherheitsrisiken. „Es kann nicht sein, dass zwei Leute in ihrer Freizeit Sicherheitsmängel aufdecken, die so gravierend sind, dass der Roll-out verschoben werden muss. Und dass man, wenn diese Zufallsfunde gefixt sind, davon ausgeht, dass der Rest schon sicher sein wird. Das ist fahrlässig“, so Tschirsich. Und er scheint Recht zu haben.

Denn richtig ist zwar, dass die Gematik nach den CCC-Veröffentlichungen nachgebessert hat. So braucht man heute, um Zugriff auf Patientendatensätze zu bekommen, neben dem Zugang zur TI, der Kartennummer und der Krankenversichertennummer auch einen Prüfwert, der aus dem Versicherungsbeginn und der Straße plus Hausnummer der Person errechnet wird. An diese Daten heranzukommen, ist für Profis aber offensichtlich nicht sehr schwer. Denn genau das haben Kastl und Tschirsich getan, zusammen mit Christoph Saatjohann, Professor für IT-Sicherheit an der FH Münster, der dafür ein kleines, wenig aufwendiges Programm geschrieben hat, meldete der „Spiegel“. Mit unlauteren Absichten sind Bezugsquellen für Kartendaten sowieso zu finden. 
Darüber hinaus hat die Gematik auch ein quantitatives Limit eingerichtet: Maximal 10.000 Zugriffe dürfen im Monat aus einer Praxis heraus erfolgen, 200.000 aus einer Klinik, erklärte Tschirsich. Dann gibt es Alarm. 

Wie viele Versicherte machen nicht mit bei der ePA?

Circa 5 % der gesetzlich Krankenversicherten sollen sich aktuell gegen die elektronische Patientenakte ausgesprochen haben. Nicht enthalten sind dabei jene, die einzelnen Funktionen, wie etwa der Weitergabe ihrer Daten an das Forschungszentrum, widersprochen haben. Und die Zahlen sind auch nicht fix: Wer schon eine ePA hat, kann zu jedem Zeitpunkt widersprechen. Vorhandene Daten werden dann gelöscht.

Etliche Versicherte haben noch gar nicht mitbekommen, dass es die ePA überhaupt gibt. So besagt eine Umfrage vom Februar, dass rund 15 Millionen Menschen die ePA gar nicht kennen. Und andere wissen von ihr, aber nichts über sie: Für viele sei sie bislang ein abstraktes Konzept, sagt etwa die Verbraucherzentrale. Vor diesem Hintergrund sind 5 % also vielleicht gar nicht so wenig. Die Widersprechenden verteilen sich übrigens unterschiedlich auf die Krankenkassen: Je höher das Bildungsniveau, desto höher die Widerspruchsrate, scheint der Nenner zu sein.

Die meisten Menschen dürften aus Sorge um ihre Daten widersprochen haben. Nach einer repräsentativen Umfrage der „Zeit“ in Kooperation mit dem Meinungsforschungsinstitut Infas von März hatte annähernd die Hälfte der Befragten (46 %) kein Vertrauen in die Zusage, dass die Gesundheitsdaten in der ePA für alle sicher aufgehoben seien.

Vor Einzelangriffen schützt das Zugriffslimit nicht – Pech?

Alle Zugriffszahlen darunter bleiben allerdings unsichtbar. „Wir wissen aber, dass gerade die digitale Gewalt im sozialen Nahraum zunimmt. Cyberstalking und Einzelangriffe im beruflichen oder familiären Bereich sind also weiterhin möglich“, betonte Tschirsich. Und wendete sich direkt an Ärztinnen und Ärzte: „Für Sie heißt das, dass Sie Ihren Patienten vermitteln müssten: Wenn Sie einer oder eine dieser 10.000 sind – haben Sie Pech gehabt“, so Tschirsich. 

In einer direkten Reaktion auf die Veröffentlichung des CCC zum Jahreswechsel hatte Prof. Lauterbach noch versprochen, dass die ePA erst ausgerollt wird, wenn „alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden“ seien. Im späteren Verlauf der Kommunikation wurde diese Garantie eingeschränkt auf das Risiko eines großen Hackerangriffs. Aktuell heißt es allerdings nur noch, man werde mit hundertprozentiger Sicherheit vor Massenangriffen geschützt sein – also jenen, die über 200.000 Datensätze bedrohen.

Auch Kastl ist skeptisch, was den Roll-out betrifft: Bei den Updates handele es sich lediglich um den Versuch der Schadensbegrenzung gegen einen der vielen demonstrierten Angriffe, teilte sie Medical Tribune mit. Die Akte lasse sich weiterhin mit geringem Aufwand angreifen. „Ohne eine belastbare Bewertung der Sicherheitsrisiken, transparente Kommunikation der Risiken und einen offenen Entwicklungsprozess über den gesamten Lebenszyklus bleibt jede Sicherheitsaussage über die ePA eine hohle Phrase“, so Kastl. Jetzt sei es wichtig, sich mit dem Status quo nicht zufrieden zu geben. 

Medi Geno Deutschland und Medi Baden-Württemberg fordern schon seit Langem, die ePA erst auszurollen, wenn garantiert werden kann, dass sie sicher ist. Aber nicht nur Angriffe sind ein Thema: Die Politik sehe auch vor, dass Firmen wie Google, Meta oder OpenAI auf die pseudonymisierten Daten zugreifen können. „Die Vertraulichkeit der Gesundheitsdaten ist aus unserer Sicht damit nicht mehr gegeben“, betont der Kardiologe Dr. Norbert Smetak, Vorsitzender von Medi Baden-Württemberg und Medi Geno Deutschland, gegenüber Medical Tribune.

BfDI will informieren und Abstellung einfordern

Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Dr. Louisa Specht-Riemenschneider, erklärte gegenüber MT, dass eine Freigabe oder Genehmigung der BfDI der von der Gematik getroffenen Gegenmaßnahmen für die aufgedeckten Sicherheitslücken vom Gesetzgeber leider nicht mehr vorgesehen ist. „Wir haben uns aber umgehend nach dem Bekanntwerden der neuen Angriffsszenarien in die Prüfung begeben und werden über mögliche Datenschutzverstöße umgehend informieren und deren Abstellung einfordern“, so Prof. Specht-Riemenschneider. Und verweist bei der Gelegenheit auf das jederzeit mögliche Widerspruchsrecht der Versicherten.