Reform der §§ 218 ff. StGB gescheitert
Durchsuchung wegen Geldwäsche - richtig reagierenHackerangriff auf elektronische Patientenakte
Von der elektronischen Patientenakte (ePA) verspricht sich die Politik eine bessere Vernetzung der Akteure des Gesundheitssystems und einen besseren Informationsaustausch. So sollen beispielsweise Doppelbehandlungen vermieden und die Krankengeschichte für Notärzte transparenter werden. In letzter Zeit mehren sich jedoch die Stimmen von Sicherheitsforschern und Ärzten, die in der Einführung ein Risiko für die Vertraulichkeit von Gesundheitsdaten sehen.
Pilotierung der elektronischen Patientenakte
Am 15. Januar 2025 startete die ePA in den Modellregionen Hamburg, Franken und Nordrhein-Westfalen. Betroffen sind rund dreihundert Arztpraxen, Krankenhäuser und Apotheken. Bereits 2021 wurde die ePA auf freiwilliger Basis (Opt-in) eingeführt. Mit der bundesweiten Einführung ist ein Widerspruch erforderlich, um die Anlage der ePA zu verhindern (§ 342 Abs. 1 S. 2 SGB V) oder eine existierende ePA zu löschen (§ 344 Abs. 3 S. 1, 2 SGB V).
Rollout-Termin verschoben
Ursprünglich sollte die ePA nach einer vierwöchigen Pilotphase schrittweise auf das gesamte Bundesgebiet ausgeweitet werden. Ein Rollout betrifft die Patientenakten von rund 70 Millionen Versicherten. Laut einem Schreiben des Bundesgesundheitsministeriums wurde der Termin nun auf frühestens April 2025 verschoben. Dies verschaffe den Beteiligten mehr Zeit, Sicherheitslücken zu schließen und die Akzeptanz der ePA in den Modellregionen zu stärken.
Sicherheitsforscher zeigen Schwachstellen auf
Sicherheitsforscher sehen in der Funktionsweise der ePA eine Gefahr für die Sicherheit von Gesundheitsdaten. Auf dem 38. Kongress des Chaos Computer Clubs zeigten Sicherheitsforscher wesentliche Schwachstellen der ePA auf: https://www.ccc.de/de/updates/2024/ende-der-epa-experimente. Über Kleinanzeigen hatten sie ein gebrauchtes Kartenterminal samt Schlüsseln aus einer Praxisauflösung erworben. Ein Konnektor, mit dem die Verbindung zu zentralen Rechenzentren hergestellt werden kann, ist frei erhältlich. Auf diese Weise kann ein Angreifer die Akten aller Patienten einer Praxis der letzten 90 Tage einsehen. Darüber hinaus konnten die Hacker ohne großen Aufwand elektronische Heilberufsausweise erlangen und Gesundheitskarten auf einen fremden Namen beantragen.
Zugriff durch Ausprobieren
Ein weiteres Risiko ergibt sich daraus, dass die Gesundheitskarte nicht in das Kartenlesegerät gesteckt werden muss, um auf die ePA zugreifen zu können. Es genügt die Kenntnis der ICCSN (Integrated Circuit Card Serial Number), einer aufsteigend vergebenen Nummer. Durch Ausprobieren ist es möglich, Zugriffstoken für die Patientenakten der Versicherten zu erzeugen und schließlich massenhaft auf Patientenakten zuzugreifen.
Gefahr der Stigmatisierung
Die ePA enthält sensible Gesundheitsdaten, wie Arztbriefe, Befunde, Medikationspläne und vieles mehr. Daten wie Abrechnungsdiagnosen der Krankenkassen werden sogar rückwirkend gespeichert. Insbesondere bei stigmatisierenden Diagnosen wäre der Schaden eines Hackerangriffs besonders groß, da die Offenlegung einer solchen Erkrankung für Betroffene zu ungewollten Nachteilen im Gesundheitssystem führen könnte.
Offener Brief an den Bundesgesundheitsminister
Als Reaktion auf die Enthüllungen des CCC wurde ein Maßnahmenpaket entwickelt, um die Sicherheitsbedenken auszuräumen. Gesundheitsminister Karl Lauterbach und die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik Claudia Plattner beteuerten die Sicherheit des Systems. Nicht überzeugend, wie der offene Brief https://www.inoeg.de/offenerbrief-epa-2025/ von rund hundert Akteuren aus dem Gesundheitswesen und der IT-Branche verdeutlichte. Gefordert wird unter anderem eine unabhängige und belastbare Bewertung der Risiken der ePA und eine verbesserte Aufklärung der Versicherten über die Sicherheits- und Datenschutzrisiken. Bevor die ePA in den Rollout geht, müssten alle Bedenken ausgeräumt und das Vertrauen wiederhergestellt werden.
Ausblick
Der weitere Verlauf der Pilotphase bleibt abzuwarten. Ein Rollout wird laut Karl Lauterbach erst erfolgen, wenn alle Sicherheitsbedenken ausgeräumt sind. Die Verzögerung der bundesweiten Einführung kann als Zeichen gewertet werden, dass die Sicherheitsbedenken ernst genommen werden. Als letztes Mittel bleibt dem Patienten die Möglichkeit, der ePA zu widersprechen. Allein die Widerspruchsmöglichkeit entbindet die Verantwortlichen jedoch nicht von der Pflicht, Sicherheitsrisiken weiterhin zu minimieren und Gesundheitsdaten zu schützen.
Kontaktieren Sie uns:
