Die elektronische Patientenakte (ePA) steht erneut im Fokus der Kritik: Sicherheitsforscher haben kürzlich gravierende Schwachstellen in der Infrastruktur aufgedeckt, die potenziell den Zugriff auf sensible Gesundheitsdaten ermöglichen. Das zeigt eine Recherche des Spiegel. Trotz bereits implementierter Schutzmaßnahmen zeigen die aktuellen Enthüllungen, dass die ePA weiterhin anfällig für Angriffe ist. Dies wirft Fragen zur Wirksamkeit der bisherigen Sicherheitskonzepte auf und fordert eine Neubewertung der digitalen Gesundheitsstrategie.
- Hacker konnten neue Schutzmechanismen der ePA umgehen.
- Zugriff auf persönliche Daten wie Versicherungsbeginn und Adresse war möglich.
- Gematik reagierte mit Notfallmaßnahmen und setzte betroffene Verfahren aus.
- Experten fordern umfassende Überprüfung und Verbesserung der IT-Sicherheit.
Neue Angriffsszenarien trotz aktualisierter Sicherheitsmaßnahmen
In der ersten Woche nach dem offiziellen Start der elektronischen Patientenakte (ePA) wurde erneut eine Sicherheitslücke aufgedeckt. Der Chaos Computer Club (CCC) konnte laut einem Bericht des „Spiegel“ eine zentrale neue Schutzvorkehrung umgehen und informierte die zuständigen Behörden. Die Betreiberorganisation Gematik reagierte umgehend mit einer Notfallmaßnahme und setzte das betroffene Verfahren – die sogenannte elektronische Ersatzbescheinigung – vorerst aus. Über diese Bescheinigung konnten Hacker automatisiert persönliche Daten wie den Versicherungsbeginn und die Adresse abfragen, um daraus den zur Sicherheit neu eingeführten Prüfwert zu berechnen. Laut Gematik gibt es jedoch bislang keine Hinweise auf unbefugte Zugriffe auf Patientenakten.
Bereits Ende 2024 hatte der CCC mehrere Schwachstellen im ePA-System aufgedeckt, weshalb der Start verschoben worden war. Laut Bundesgesundheitsminister Karl Lauterbach soll die ePA erst vollständig eingeführt werden, wenn alle potenziellen Angriffe – auch durch den CCC – technisch ausgeschlossen sind.
Reaktionen und politische Konsequenzen
Der Vorfall hat auch politische Folgen: Gesundheitsbehörden und Datenschutzbeauftragte fordern nun eine umfassende Überprüfung und weitere Investitionen in die IT-Sicherheit der ePA-Plattformen. Die elektronische Patientenakte gilt als zentrales Element der Digitalisierung des Gesundheitswesens – ihr Vertrauen in punkto Sicherheit ist jedoch zunehmend erschüttert.
Die Gematik betont, dass die in der ePA enthaltenen hochsensiblen Daten durch ein besonderes Sicherheitskonzept geschützt seien. Das sei laut dem Spiegel allerdings nicht der Fall. Hingegen führte die Überprüfung durch das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) im September 2024 zur Einschätzung, dass die Systemarchitektur insgesamt angemessen sei, sich jedoch noch verbessern lasse. Der Abschlussbericht des SIT benennt insgesamt 21 Schwachstellen, von denen 4 als „hoch“ eingestuft werden.
Fazit
Die jüngsten Enthüllungen über Sicherheitslücken in der elektronischen Patientenakte unterstreichen die Notwendigkeit einer umfassenden Überprüfung und Verbesserung der IT-Sicherheitsmaßnahmen. Obwohl die Gematik und das Bundesgesundheitsministerium schnelle Reaktionen zeigen, bleibt das Vertrauen in die Sicherheit der ePA erschüttert. Eine erfolgreiche Digitalisierung des Gesundheitswesens erfordert nicht nur innovative Technologien, sondern auch robuste Sicherheitskonzepte, die den Schutz sensibler Patientendaten gewährleisten
