Zwei IT-Spezialisten haben beim Chaos Communication Congress (CCC) in Hamburg schwerwiegende Schwachstellen der elektronischen Patientenakte (ePA) aufgezeigt. Bianca Kastl und Martin Tschirsich demonstrierten, wie einfach der Zugriff auf sensible Gesundheitsdaten ohne die Gesundheitskarte des Patienten möglich ist. Diese Sicherheitsprobleme betreffen potenziell alle 70 Millionen ePA-Nutzer in Deutschland (zeit: 27.12.24).
Sicherheitsrisiken durch unzureichenden Schutz
Die ePA wurde im Jahr 2021 eingeführt und soll ab 2025 standardmäßig für alle gesetzlich Versicherten bereitgestellt sein. Geplant ist, dass Ärzte und Therapeuten Diagnosen, Laborberichte und andere medizinische Informationen dort speichern. Wer dies nicht möchte, muss aktiv widersprechen. Laut Bundesgesundheitsministerium sollen nur autorisierte Personen auf die Daten zugreifen können. Dennoch zeigten Kastl und Tschirsich, dass diese Sicherheitsversprechen nicht eingehalten werden.
Sicherheitsprobleme bei der elektronischen Patientenakte – IT-Spezialisten enthüllen einfachen Zugriff auf 70 Millionen Patientendaten
Die IT-Experten gelangten durch einfache Methoden an gültige Heilberufs- und Praxisausweise sowie an Gesundheitskarten Dritter. Diese Werkzeuge reichten aus, um uneingeschränkten Zugriff auf die digitalen Patientenakten zu erhalten. Sie betonten, dass auch der Fernzugriff auf diese Daten möglich ist, was die Sicherheitsproblematik verschärft.
Fehlende unabhängige Bewertungen
Kastl und Tschirsich mahnten, dass eine unabhängige Prüfung der Sicherheitsstruktur der ePA dringend notwendig ist. Die bestehenden Risiken sollten transparent kommuniziert werden, um Vertrauen bei den Nutzern zu schaffen. Ihrer Meinung nach genügen die bisherigen Sicherheitsmechanismen nicht den Anforderungen, die für den Schutz hochsensibler Gesundheitsdaten notwendig sind.
Die Experten betonten: „Nur wenn die Sicherheit der ePA für alle ausreichend gewährleistet ist, können Leistungserbringer und Versicherte die ePA akzeptieren und tatsächlich nutzen.“ Vertrauen in digitale Gesundheitsanwendungen entsteht nicht durch gesetzliche Vorgaben, sondern durch nachweisbare Sicherheit.
Kritik am Bundesgesundheitsministerium
Das Bundesgesundheitsministerium stellt die ePA als Fortschritt für die medizinische Versorgung dar. Es hebt hervor, dass Daten sicher auf Servern der Telematikinfrastruktur (TI) gespeichert und in der ePA verschlüsselt abgelegt seien. Zudem werde die Kommunikation zwischen den Komponenten der ePA durch Ende-zu-Ende-Verschlüsselung geschützt.
Diese Aussagen stehen jedoch im Widerspruch zu den Erkenntnissen der IT-Experten. Sie zeigen, dass bestehende Sicherheitslücken Angriffe begünstigen und den Schutz der sensiblen Daten untergraben. Ohne eine grundlegende Verbesserung der Sicherheitsstandards bleibt die Gefahr für Missbrauch bestehen.
Forderungen nach mehr Transparenz
Um das Vertrauen von Leistungserbringern und Versicherten zu gewinnen, fordern Kastl und Tschirsich umfassende Maßnahmen. Dazu gehören unabhängige Tests, klare Risikoanalysen und transparente Berichterstattung. Ohne diese Schritte droht die ePA, trotz ihrer potenziellen Vorteile, auf breite Skepsis zu stoßen.
Die elektronische Patientenakte bietet die Chance, den Austausch von Gesundheitsdaten zu erleichtern und die Versorgung zu verbessern. Doch die aktuellen Sicherheitslücken werfen ein kritisches Licht auf ihre Umsetzung. Ein sicherer Umgang mit den Daten ist unverzichtbar, um das Vertrauen aller Beteiligten langfristig zu sichern.
Lesen Sie auch:
Regierung von Explosion der Krankenkassenbeiträge überrascht
Krankenkassen-Beiträge vor Rekordanstieg: Der Staat belastet Versicherte bis an ihre Grenzen
Steuerentlastungen aufgefressen – Sozialabgaben steigen stärker als erwartet
Gefährliche Lieferengpässe bei Medikamenten
Der Beitrag Kritische Sicherheitslücken bei elektronischen Patientenakten erschien zuerst auf .