Der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber hat Kritik an fehlenden Sicherheitsmechanismen der elektronischen Patientenakte (ePA) geübt. Es sei immer noch zu leicht, so wie der Chaos Computer Club vorzugehen und an Kartenlesegeräte und Arzt-Ausweise zu kommen, sagte Kelber MDR AKTUELL. "Das ist eine Debatte, die seit über einem Jahrzehnt stattfindet. Es ist ein Unding, dass hier nicht endlich die richtigen Maßnahmen ergriffen werden. Stattdessen werden immer neue Speziallösungen verwendet, die dann eben Sicherheitslücken haben", sagte Kelber. So könne man einen Digitalisierungsprozess nicht betreiben.

Chaos Computer Club entdeckt weitere ePA-Sicherheitslücke

Zuvor hatte der Chaos Computer Club (CCC) eine weitere Sicherheitslücke bei der ePA entdeckt. Der scheidende Bundesgesundheitsminister Karl Lauterbach reagierte am Mittwochabend auf einen entsprechenden "Spiegel"-Bericht. Der SPD-Politiker verlinkte den entsprechenden Artikel auf der Online-Plattform X. Dazu schrieb er: "In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen." Er sei der Gematik dankbar, dass sie auf die ersten Hinweise sofort reagiert und die Sicherheitslücke geschlossen habe.

Gematik bestätigt Sicherheitslücke bei ePA

Die mehrheitlich bundeseigene Digitalagentur Gematik ist für die technische Umsetzung der ePA zuständig. Die Agentur selbst erklärte, ihr lägen Informationen vor, "dass der Chaos Computer Club ein Szenario für unberechtigte Zugriffe auf die elektronische Patientenakte beschrieben hat".

Lauterbach anlässlich der ePa-Einführung in einer Hausarztpraxis in Köln. (ArchivbildBildrechte: picture alliance / Flashpic | Jens Krick

Über elektronische Ersatzbescheinigungen für Versichertenkarten könne man demnach an Informationen gelangen, um auf einzelne elektronische Patientenakten zuzugreifen. Die Gematik habe die Sicherheitslücke, "die für einzelne Versicherte weniger Krankenkassen bestehen könnte, geschlossen". Die potenziell betroffenen Versicherten würden identifiziert und geschützt.

Auf Anfrage von MDR AKTUELL schrieb die Gematik, dass die mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) abgestimmten Maßnahmen umgesetzt worden seien.

BSI: Endgültige technische Lösungen für ePA-Angriffsszenarien ab 2026

Das Bundesamt BSI teilte MDR AKTUELL mit, man würde die ePA-Sicherheit im Auftrag des Bundesgesundheitsministeriums weiter bewerten. "Aus der Sicherheitsbewertung ergibt sich, dass bei vollständiger Implementierung aller Maßnahmen ein angemessen sicherer Betrieb der elektronischen Patientenakte gewährleistet ist. Die empfohlenen Maßnahmen sind geeignet, einen Massenzugriff auf elektronische Patientenakten zu verhindern; das verbleibende Restrisiko nach Umsetzung dieser Maßnahmen schätzt das BSI nach wie vor als technisch beherrschbar ein."

Eine "endgültige" technische Lösung für die bislang skizzierten Angriffsszenarien sei bereits entwickelt. Sie werde voraussichtlich Anfang 2026 durch die Betreiber der ePA implementiert werden können, hieß es weiter.

Neue ePA-Schutzvorkehrung überwunden

Dem "Spiegel"-Bericht zufolge hatten sogenannte ethische Hacker des CCC eine zentrale, neu hinzugefügte Schutzvorkehrung überwunden und anschließend die Behörden informiert. Die Betreiber hätten mit einer sofortigen Notfallmaßnahme auf den Hinweis reagiert und die weitere Sicherheitslücke damit vorerst geschlossen. 

Bereits Ende vergangenen Jahres hatten CCC-Experten eine Reihe von Schwachstellen im System der ePA publik gemacht. Sie wurden Lauterbach zufolge inzwischen behoben. Entsprechende Sicherheitsmaßnahmen seien zusammen mit dem Bundesamt für die Sicherheit in der Informationstechnik (BSI) umgesetzt worden.

70 Millionen gesetzlich Versicherte mit ePA

Die elektronische Patientenakte war am Dienstag nach einer mehrmonatigen Testphase bundesweit eingeführt worden. Den Angaben zufolge haben 70 Millionen der gut 74 Millionen gesetzlich Versicherten in Deutschland eine ePA von ihrer Krankenkasse angelegt bekommen. Die übrigen Versicherten waren dagegen in Widerspruch gegangen.

In der Akte ist die gesamte Krankengeschichte eines Patienten per Knopfdruck einsehbar. Die Daten werden laut Gesundheitsministerium auf sicheren Servern gespeichert und in der ePA verschlüsselt abgelegt.

dpa/AFP (dni)

Haftungsausschluss: Das Urheberrecht dieses Artikels liegt bei seinem ursprünglichen Autor. Der Zweck dieses Artikels besteht in der erneuten Veröffentlichung zu ausschließlich Informationszwecken und stellt keine Anlageberatung dar. Sollten dennoch Verstöße vorliegen, nehmen Sie bitte umgehend Kontakt mit uns auf. Korrektur Oder wir werden Maßnahmen zur Löschung ergreifen. Danke