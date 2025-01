Nicht einmal die Versichertenkarte einer Krankenkasse ist laut CCC zwingend nötig, um Zugriff auf die jeweilige elektronische Patientenakte zu erhalten. Foto: dpa/David Inderlied

Als ob es noch nicht genug prinzipielle Einwände gegen das Projekt ePA in seiner jetzigen Version 3.0 gäbe, zeigten Aktivisten vom Chaos Computer Club (CCC) kurz vor Jahresende, wie weiterhin vorhandene Sicherheitsmängel den (kriminellen) Zugriff auf die Daten möglich machen.

Möglich sei ein »massenhafter Zugang« schon mit »wenig Aufwand«, argumentieren die CCC-Tester. Sie hatten in der Vergangenheit schon auf drei große Probleme bei dem Projekt hingewiesen. Diese betrafen die geplante Obsoleszenz der Konnektoren (also Produktalterung bei den Geräten, über die Arztpraxen Zugang zu den zentral gespeicherten Daten erhalten), das Identifizierungsverfahren und ein bedenkliches Kosten-Nutzen-Verhältnis. Zudem kritisierten CCC-Vertreter schon 2023, »dass echte und kritische Beteiligung neutraler Dritter bei der Ausgestaltung von Systemen nicht erwünscht« sei. Entsprechend würden das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) lediglich angehört, nicht aber einbezogen.

Aktuell fällt die CCC-Analyse nicht besser aus. Den Sicherheitsforschern war es offensichtlich möglich, sich mit wenig Aufwand gültige Heilberufs- und Praxisausweise sowie fremde Gesundheitskarten (eGK) zu beschaffen. Mithilfe der beiden erstgenannten Ausweise konnten sie auf Gesundheitsdaten einfach zugreifen, und zwar auch ohne die individuellen eGK einzulesen. Im Vortrag auf dem 38. CCC-Jahrestreffen Ende Dezember hieß es, dass so »auf einen Schlag« 70 Millionen Akten zugänglich werden könnten – also alle Akten von gesetzlich Versicherten, so diese angelegt und gefüllt wurden. Die Initiative »ePA für alle«, ausgerufen vom Bundesgesundheitsministeriun, könnte am Ende, mit etwas Hacker-Talent, etwas ganz Anderes erreichen, als eigentlich gemeint war: Zugang für alle zu den Daten aller.

Dabei muss nicht in ein Krankenhaus oder eine Arztpraxis direkt physisch eingebrochen werden: Der Fernzugriff auf Patientenakten (die es etwa seit 2021 schon bei allen Kassen auf freiwilliger Basis gab) gelang über »unsicher konfigurierte IT, sowohl in den Gesundheitseinrichtungen als auch über Dienstleister-Zugänge«. Die Mängel sind zum Beispiel schon in den Beantragungsportalen mit angelegt, ergeben sich aber auch aus dem Umgang mit den Heilberufskarten im Praxis-Alltag.

Die CCC-Bewerter resümieren, dass die ePA nur dann akzeptiert und genutzt werde, wenn ausreichend Sicherheit gewährleistet sei. Dazu müssten Sicherheitsrisiken unabhängig und belastbar bewertet werden, bleibende Risiken transparent kommuniziert werden und der Entwicklungsprozess offen gehalten werden – in der gesamten Nutzungszeit.

Immerhin reagierte die Gematik als verantwortliche Institution für Entwicklung und Betrieb der ePA zeitnah auf die Kritik der IT- Experten und bedankte sich auch dafür. Jedoch werden die Angriffsmöglichkeiten von Hackern eher kleingeredet, wie Ärzteverbände bereits resigniert feststellten. Die Szenarien seien zwar technisch möglich, »aber nicht wahrscheinlich«, so die Gematik.

Zudem würden ja Freiheits- und Geldstrafen drohen und ohnehin sei die Gematik im Austausch etwa mit dem BSI und BfDI. Unfreiwillig komisch fällt das Argument aus, dass in der Pilotphase nur die in Modellregionen teilnehmenden Leistungserbringer auf die ePA der Versicherten zugreifen – die Akten aller Versicherten bundesweit seien somit gut geschützt. Was nach der Pilotphase passiert, bleibt offen. Oder wird hier schon suggeriert, dass es doch kein Danach geben wird – oder nicht auf absehbare Zeit? Jedoch heißt es außerdem, dass weitere Sicherheitsmaßnahmen bereits in Arbeit seien.

In Politik und auch im Gesundheitswesen scheint man diesen Erklärungen kaum über den Weg zu trauen. »An diesem Entwicklungsstand sollen für alle Versicherten automatisch die Behandlungsdaten gespeichert werden, falls nicht ausdrücklich widersprochen wird. Das ist nicht nur dilettantisch, das ist gefährlich. Denn Gesundheitsdaten sind ein bevorzugtes Ziel von Datendieben und ihr Missbrauch kann Menschen sehr ernsthaft schaden«, erklärte etwa Kathrin Vogler, gesundheitspolitische Sprecherin der Linke-Gruppe im Bundestag.