Start der elektronischen Patientenakte, wenn „alle Hackerangriffe technisch unmöglich“ sind

Berlin – Die elektronische Patientenakte (ePA) steht erneut unter Beschuss. Der Grund: Der Chaos Computer Club (CCC) hatte vergangene Woche erneut auf Sicherheitslücken hingewiesen. Bundesgesundheitsminister Karl Lau­ter­­bach (SPD) ver­spricht nun, dass die Akte erst ausgerollt wird, wenn „alle Hackerangriffe, auch des CCC, tech­nisch unmöglich gemacht worden“ seien, wie er auf X twitterte.

Lauterbach betonte, daran werde schon länger gearbeitet. Man brauche die Digitalisierung für eine bessere Medizin und Forschung.

Wie heise online berichtet, hatte das Bundesministerium für Gesundheit (BMG) zuvor mitgeteilt, an dem geplan­ten bundesweiten Rollout festhalten zu wollen. Das Ministerium halte den Angriff des CCC auf die ePA für ein „theoretisches Problem“. Dies werde vor der Einführung der ePA für alle gelöst sein. Die ePA für alle wird zum Start allen hohen Sicher­heitsstandards genügen, die auch vom BSI und BfDI mitgetragen werden“, sagte die BMG-Sprecherin heise online.

Auch die Gematik hatte vergangene Woche betont, die vom CCC vorgestellten Angriffsszenarien auf die ePA wären „technisch möglich“ gewesen. Die praktische Durchführung in der Realität schätzte die Gematik aber als „nicht sehr wahrscheinlich“ ein. Unberechtigte Zugriffe auf die ePA seien zudem strafbar und könnten nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen, hieß es.

Im Rahmen des 38. Chaos Communication Congress in Hamburg, einer Veranstaltung des Chaos Computer Clubs (CCC), hatten IT-Experten eine Analyse vorgestellt, die Sicherheitslücken bei der ePA aufgezeigt hat.

Unter anderem wäre demnach ein Zugriff auf fremde Gesundheitsdaten möglich gewesen, weil es zu leicht gewe­sen sein soll, gültige Heilberufs- und Praxisausweise zu beschaffen. Ursächlich seien Mängel in den Ausgabepro­zessen, den Beantragungsportalen sowie im real existierenden Umgang mit den Karten im Alltag, hieß es.

Zudem demonstrierten die Forscher, wie es Mängel in der Spezifikation ermöglichen, Zugriffstoken für die ePA beliebiger Versicherter zu erstellen – und zwar ohne dass die Gesundheitskarten präsentiert oder eingelesen werden müssen.

Die Sicherheitsforscher und der CCC forderten gemeinsam eine „unabhängige und belastbare Bewertung von Sicherheitsrisiken“, eine transparente Kommunikation von Risiken gegenüber Betroffenen sowie einen offenen Entwicklungsprozess über den gesamten Lebenszyklus der digitalen Akte.

Die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI), Louisa Specht-Riemenschneider, hat sowohl das BMG als auch die Gematik „frühzeitig auf das hohe Risikopotenzial der Schwachstellen hingewiesen und umgehende Maßnahmen zur Verringerung der damit verbundenen Risiken dringend empfohlen“, wie heise online schreibt. Man habe der Gematik eine Lösung empfohlen, mit der die Schwachstelle „mitigiert werden“ könne.

Vom 15. Januar an sollen alle rund 73 Millionen gesetzlich Versicherten in Deutschland automatisch eine ePA bekommen, sofern sie nicht ausdrücklich widersprochen haben. Teile von Nordrhein-Westfalen (NRW) gehören zu den drei bundesweiten Pilotregionen, in denen das neue System zunächst vier Wochen lang erprobt wird.

Es sei „grundsätzlich zunächst einmal gut“, wenn endlich eine ePA eingeführt werde, die alle wichtigen Patienten- und Behandlungsdaten beinhalte, sagte NRW-Gesundheitsminister Karl-Josef Laumann (CDU) der Westdeutschen Allgemeinen Zeitung. Wichtig bleibe aber, dass die digitale Akte im Praxisalltag nutzen- und sinnstiftend einge­setzt werden könne.

Er erwarte deshalb, dass der Bund die Vorbereitungsphase in den Modellregionen gut nutze, um eine möglichst reibungslose Einführung der elektronischen Patientenakte für alle sicherzustellen. Die elektronische Patienten­akte müsse zügig weiterentwickelt werden.

„Bezüglich der Datensicherheit muss sichergestellt werden, dass das System immer auf dem neuesten und sichersten Stand der Sicherheitstechnik ist, sodass sensible Patientendaten ohne Wenn und Aber so gut wie möglich gegen Hackerangriffe aller Art geschützt sind“, forderte der NRW-Minister.

may/kna/aha