Im Februar 2025 kommt die elektronische Patientenakte (ePA) für all jene, die ihr nicht widersprechen. In der Akte sollen langfristig sämtliche Gesundheitsinformationen aller rund 74 Millionen gesetzlich Versicherten jeweils zusammenfließen.
Eine solch gewaltige Datensammlung birgt Risiken. Aus Gesundheitsdaten lassen sich sensible Informationen zu jeder einzelnen versicherten Person ableiten. Sie gelten daher als besonders schützenswert und sind zugleich hoch begehrt – bei Forschenden und Kriminellen gleichermaßen.
Das weiß auch Bundesgesundheitsminister Karl Lauterbach (SPD). Mantraartig versichert er, dass die ePA sicher sei. „Der Datenschutz und die Datensicherheit waren uns zu jedem Zeitpunkt der Einführung das wichtigste Anliegen“, betont der Minister. Und auch die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, lobt die ePA als „so sicher wie nur irgend möglich“. „Unsere Leute sind da mit der Zahnbürste drübergegangen“, so Plattner.
Offenbar waren sie dabei nicht gründlich genug, wie die Sicherheitsexpert:innen Bianca Kastl und Martin Tschirsich auf dem 38. Chaos Communication Congress in Hamburg zeigten. Kastl ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org. Tschirsich ist beim Chaos Computer Club aktiv und arbeitet im Bereich der Informationssicherheit.
Die beiden demonstrierten, wie sich Dritte mit geringem Aufwand und gleich auf mehreren Wegen Zugang zu den in jeder beliebigen ePA hinterlegten Gesundheitsdaten verschaffen können. Das Sicherheitskonzept der ePA ist damit aus ihrer Sicht gescheitert – nur wenige Wochen, bevor die elektronische Patientenakte bundesweit an den Start gehen soll.
Die ePA zu hacken, ist nicht schwer
Die elektronische Patientenakte gibt es als freiwillige Opt-in-Variante seit 2021. Ab 2025 soll sie für alle gesetzlich Versicherten standardmäßig verfügbar sein. Dann sollen Ärzt:innen dort Diagnosen, Laborberichte und andere medizinische Informationen eintragen können.
Kastl und Tschirsich ist es gelungen, an gültige Heilberufs- und Praxisausweise sowie an Gesundheitskarten von dritten Personen zu gelangen. Möglich machen dies Mängel in den Ausgabeprozessen, bei den Kartenherausgeberportalen sowie in der Kartenhandhabung im Alltag. Einige der gefundenen ePA-Lücken bestehen seit Jahren und haben auf dem Chaos Communication Congress quasi Tradition.
Die Gesundheitskarten der Versicherten und die Praxiskarten der Behandelnden dienen als Schlüssel, um auf die Daten der ePA zuzugreifen. Stecken Patient:innen ihre elektronische Gesundheitskarte in das Lesegerät einer Praxis, erhalten Ärzt:innen damit standardmäßig die Berechtigung, 90 Tage lang auf deren ePA zuzugreifen. Apotheken, der öffentliche Gesundheitsdienst und Arbeitsmediziner:innen bekommen standardmäßig drei Tage lang Einsicht.
An die elektronischen Gesundheitskarten auf die Namen Dritter sind Kastl und Tschirsich auf fast schon klassische Weise gelangt: mit Anrufen bei den Krankenversicherung. Zeitaufwand: 10 bis 20 Minuten. Ein Missbrauch dieser Karten sei künftig noch einfacher als in der Vergangenheit, weil die Sicherheitsstandards zuletzt gesenkt worden seien. Bislang brauchen alle Versicherten, die bisher freiwillig eine ePA nutzten, eine PIN – ähnlich wie bei einer Bankkarte. Diese Sicherheitsvorkehrung fällt bei der kommenden ePA-Version 3.0 weg, auf der die „ePA für alle“ beruht.
Praxiskarten „en masse“
Noch weiter gehen die Rechte, die Behandelnde mit Praxiskarten erhalten. Damit können sich Angreifende als Ärzt:innen ausgeben und so Zugriff auf die kompletten Daten von Arztpraxen erhalten – inklusive aller Bearbeitungsrechte, die Behandelnde haben. Ein einzelner kompromittierter Praxiszugang ermögliche dabei den Zugriff auf durchschnittlich rund 1.000 Patient:innen-Akten.
Solche Praxiskarten könnten sich Angreifende „en masse“ beschaffen, so Kastl und Tschirsich. Dafür müssen sie sich als Leistungserbringer ausgeben und als solche eine Sicherheitslücke in der Datenbank eines Kartenherausgeberportals mittels SQL-Injektion ausnutzen. Der Angriff sei aus der Ferne durchführbar und zeitlich etwas aufwändiger, sagt Tschirsich. „Der rechtmäßige Zugriff auf die Daten in der eigenen ePA ist weit komplizierter.“
Fernzugriff auf jede beliebige ePA
Noch effektiver sei der Zugriff über den Versichertenstammdatendienst (VSDD). Dieser Angriff sei möglich, weil die Ausweisnummer der elektronischen Gesundheitskarte – die Integrated Circuit Card Serial Number (ICCSN) – unsigniert und ohne Sicherheitsschlüssel an den VSDD übermittelt wird. Die ICCSN reiche aus, um die Gesundheitsdaten beliebiger Versicherter einzusehen. Die Zahlenfolge lässt sich zudem beliebig manipulieren, weil sie fortlaufend vergeben wird. „Kleiner Fehler, große Wirkung“, so Tschirsich.
Dieser Fehler sei der gematik bereits seit langem bekannt, sagen Kastl und Tschirsich, sie habe ihn in ihren Spezifikationen aber nicht behoben. Die gematik ist dafür zuständig, das digitale Großprojekt „ePA für alle“ umzusetzen, indem sie unter anderem die erforderlichen Standards definiert.
Der Aufwand bei dieser Methode falle größer aus. Angreifende benötigten dafür einen Zugang zur Telematikinfrastruktur. Die dafür erforderlichen Karten-Terminals gebe es allerdings bei kleinanzeigen.de gebraucht zu kaufen. Mitunter gibt es die SMC-B-Karte gleich dazu, mit der sich Praxen und Betriebe innerhalb der Telematikinfrastruktur digital identifizieren können. Damit könnten Angreifende ohne Gesundheitskarte aus der Ferne auf jede beliebige ePA zugreifen.
Verhallte Mahnungen des Bundesdatenschutzbeauftragten
Die Befürchtung, dass die ePA derart große Sicherheitslücken aufweist, gibt es bereits seit langem. Noch im Juni hatte der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber davor gewarnt, dass bei der ePA die Sicherheitsstandards gesenkt worden waren. „Das wird sich noch als Fehler in der Vertrauensbildung herausstellen“, so Kelber. Konkret bezog er sich dabei auf die herabgestuften Sicherheitsstandards beim Zugriff auf die ePA für alle.
Kelber musste nach nur einer Amtszeit seinen Stuhl räumen, offenbar weil es innerhalb der SPD-Fraktion Vorbehalte gegen eine zweite Amtszeit gab. Auch Bundesgesundheitsminister Lauterbach räumt ein, dass er mit Kelber beim Thema ePA mehrfach über Kreuz lag. Möglicherweise war das auch ein Grund dafür, dass der Bundesgesundheitsminister die Mitspracherechte des Bundesdatenschutzbeauftragten grundsätzlich beschnitten hat.
Inzwischen fordert Kelber, der Diplominformatiker und aktuell Professor für Datenethik an der Hochschule Rhein-Sieg-Kreis ist, die derzeit geplante ePA-Testphase von einem Monat auf mindestens ein halbes Jahr zu verlängern.
Sicherheit lässt sich nicht verordnen
Ende vergangenen Jahres hatten zudem mehrere Organisationen in einem offenen Brief vor den Risiken der geplanten Gesundheitsdigitalisierung für die IT-Sicherheit und die Privatsphäre der Versicherten gewarnt. Zu den Unterzeichnenden gehören unter anderem die Verbraucherzentrale Bundesverband, die Deutsche Aidshilfe und der Chaos Computer Club. Sie mahnen, dass „die Sensibilität und Kritikalität der zugrunde liegenden Gesundheitsdaten … eine sorgfältige Risikoabwägung in Aspekten der Datensicherheit und der Privatsphäre“ erfordere.
Und auch das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) hatte das Sicherheitsversprechen im August unter die Lupe genommen. In einem 90-seitigen Gutachten identifiziert das Institut teils gravierende Schwachstellen, die vor dem Start der ePA noch geschlossen werden müssten.
Forderung nach mehr Sicherheit und Transparenz
Wann es dazu kommt, wird zusehends fraglich. „Das Narrativ der sicheren ePA ist nicht mehr zu halten“, betont Kastl am Ende des Vortrags. Sie erwartet nicht, dass die Sicherheitslücken vor dem Start der ePA-Testphase am 15. Januar 2025 beseitigt werden können.
Zum Abschluss ihres Vortrags mahnen Kastl und Tschirsich, dass Leistungserbringer und Versicherte die digitale Patientenakte nur dann akzeptieren und nutzen werden, wenn die Sicherheit der ePA für alle ausreichend gewährleistet ist. Das dazu notwendige Vertrauen ließe sich jedoch nicht verordnen.
Die Devise müsse lauten, eine ePA zu bauen, die tatsächlich für alle ist und deren Daten schützt. Dafür sei aber dreierlei erforderlich: Erstens müssten Sicherheitsrisiken unabhängig von außen bewertet werden. Zweitens müssten die Risiken einer ePA für alle offen und transparent kommuniziert und diskutiert werden. Und drittens müsse die elektronische Patientenakte über ihren gesamten Lebenszyklus hinweg als offener Entwicklungsprozess verstanden werden.
„Vertrauenswürdige digitale Infrastrukturen können nur entstehen“, so Kastl und Tschirsich, „wenn der Entstehungsprozess selbst Vertrauen ermöglicht.“ Ein großes Stück dieses Vertrauen ist heute verloren gegangen.
Ich habe schon vor einigen Monaten widersprochen.
Vor ein paar Tagen erledigt!
Oh, cringe! ID ohne Signatur übermittelt. Totalschaden, Joe!
der Link im Text zu „Die beiden demonstrierten, wie sich Dritte “ ist falsch
Danke, ist nun korrigiert.
Politiker wie Karl Lauterbach versprechen allen Patienten großen Nutzen und absolute Sicherheit. Erfahrene Experten, die den Aussagen der Politiker widersprechen, werden aufs Abstellgleis gestellt. In den großen Medien liest man wenig davon, lediglich alternative Webseiten berichten über Risiken und Nebenwirkungen. Das Mitmachen ist natürlich freiwillig, niemand wird gezwungen werden! Es könnte aber sein, falls die freiwillige Speicherquote zu niedrig ist, dass Patientenaktenverweigerer irgendwann Schwierigkeiten bekommen. Wer seine persönlichen Datenschutzinteressen über das Gemeinwohl stellt, der muss dann eventuell Nachteile in Kauf nehmen. Arztpraxen könnten zum Beispiel den Zugang nach der 3G-Regel beschränken: vollständig gespeichert, gläsern, gehorsam! Es darf nicht sein, dass ein paar Computerleugner und IT-Skeptiker die Effizienz unseres Gesundheitssystems gefährden.
Und nein, ich setze damit um Himmelswillen NICHT die furchtbare Covid-Erkrankung und die ePA gleich. Nur bei den Methoden zur Durchsetzung der Maßnahmen werden wir einige Deja Vú-Erlebnisse haben.
denke ich auch. Mir ist es zuviel Gloria drumrum. Denn wenn es etwas Gutes wäre bräuchte man nur halb soviel Überredungskunst und ließe eine Diskussion zu. Doch Pro und Contra hören wir nicht
Ja genau, wenn man soviel Überredungskunst braucht um zu überzeugen…. da läuft was falsch. Ich habe in den letzten 4 Jahren soviel dumme Ärzteschaft erleben dürfen selber, so dass ich dem nicht zustimmen kann. Und diese falschen Informationen zu meiner Geschichte würden ja hier auch falsch festgeschrieben.
Ich zeige meinem Arzt gerade (ohne das er weiß wie ich es mache) das seine Ansichten völlig falsch sind. Die Laborwerte kann er nicht mehr richtig deuten… und ich grinse
Aber all seine bisherigen Prognosen stünden dann fest und würden so weiter gegeben… Nee nicht bei mir.
„In Deutschland wurde das Konzept seit 2011 mit regionalen Modellversuchen erforscht. Am 1. Januar 2021 ist in Deutschland die elektronische Patientenakte (ePA) für alle Versicherten in gesetzlichen Krankenkassen gestartet.“
„Laut § 305 SGB V haben gesetzlich Versicherte Anspruch darauf, über abgerechnete Leistungen schriftlich informiert zu werden. Nach § 84 SGB X dürfen sie Daten berichtigen, löschen oder sperren.“
Das E-Health-Gesetz von 2015 legte den Grundstein zur Einführung einer elektronischen Patientenakte und eines elektronischen Patientenfachs (ePF). Ziel sollte es sein, dass Versicherte einen ständigen Zugriff auf ihre Behandlungsdaten haben und diese auch entsprechend den Leistungserbringern einrichtungsübergreifend zur Verfügung stellen können. So soll den Versicherten ein einfacher Zugriff auf ihre medizinischen Daten, den elektronischen Arztbrief, Behandlungsberichte und den Medikationsplan ermöglicht werden. Die Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik) war [] verpflichtet [] bis zum 31. Dezember 2018 die erforderlichen technischen und organisatorischen Verfahren für eine fall- und einrichtungsübergreifende Dokumentation zu erarbeiten.“
Man sollte sich die Vor- und Nachteile für sich anschauen und dann entscheiden, ob man die (relativen) Risiken einer Datenweitergabe damit akzeptieren möchte.
Ein Problem ist, daß der derzeitige Gesundheitsminister einer der kompetenteren im sozialen Bereich bzw. Gesundheitsystem ist (engagiert, belesen, jedoch auch forschungsorientiert, wenn Daten anonymisiert, aber automatisiert weitergegeben werden, die Zentralisierung von Kompetenzleistungen steht den krankenhausärztlichen Transparenzanforderungen gegenüber)? Dazu kann man sich positionieren.
„Das Mitmachen ist natürlich freiwillig, niemand wird gezwungen werden! Es könnte aber sein, falls die freiwillige Speicherquote zu niedrig ist, dass Patientenaktenverweigerer irgendwann Schwierigkeiten bekommen. “
Keine Sorge, was zumindest ich in meinem Umfeld mitbekomme, wenn ich die Menschen auf das Thema anspreche, ist oft: „Damit will ich mich gar nicht belasten.“ oder „Ist doch prima, da warte ich schon lange drauf, dann wissen meine Ärzte wenigstens alles zu meinen Krankheiten.“
Hoffnungslos. Ich schätze, maximal 10 % widersprechen (oft vermutlich medizinische Leute, ansonsten die paar Aufgeklärten), der Rest = 90 % macht mit. Das dürfte die Pharma erstmal ausreichend befriedigen, um nicht zu Zwangsmaßnahmen zu greifen.
Sicher… ich dachte das war als Witz gemeint. Sollte da etwa ein Narrativ sein?
Ich meine, die Politik, und zwar tatsächlich insgesamt die (Bundesebene), schmiert uns bei, von und mit Sicherheit seit einiger Zeit eklige Sachen zweifelhafter Konsistenz aufs Tablett.
Lauterbach ist ein SPD-Politiker, das sind die mit dem ehrlichen Slogan „das WIR entscheidet“: Wirtschaft, Industrie, Rüstung.
Herr Ulrich Kelber hat auch gute Kommentare hinterlassen:
https://bonn.social/@ulrichkelber/113726059122654025
https://bonn.social/@ulrichkelber/113725663518604395
nicht Herr Kelber,
aus einer Meinungsäußerung im ChatVerlauf des Links:
„DeBeKa ist übrigens mMn eine kriminelle Vereinigung.“
Für die vorgezeigte, harte Äußerung war viel an Vertrauen in eine Krankenkasse verloren gegangen.
…. ohne Details zu diesen (einzelnen?, individuellen) Erfahrungen zu kennen sollte man dazu nicht (gefühlsorientiert, spontan) zustimmen, zumal der Vorwurf bzw. die Gefühlsäußerung massive Konsequenzen für eine öffentliche Einrichtung hätte, daß jedoch bei (mehreren) Krankenkassen strukturelle (gesetzeswidrige) Benachteiligungen von Mitgliedern erfolgen, konnte(/kann?) man immer wieder erkennen; weshalb auch die Gesetzeslage, bspw. zum Januar 2021 angepasst wurde. Ursachen dazu wurden/werden (teils) auch nicht aufgeklärt.
Hat je wer geglaubt, dass in D ein IT Projekt unter staatlicher Führung sicher wäre.
Erst recht wenn Lauterbach dahinter steht. Aber der deutsche Michel und die deutsche Michelin nehmen das alles klaglos hin. Was haben wir nur für ein unterwürfiges Volk?
Die Anzahl derer die widersprochen haben zur Gesamtanzahl der Versicherten spricht Bände
Wer garantiert mir eigentlich, daß mein Widerspruch beachtet wird? Dem Lauterbach traue ich alles zu.
Mir ist nicht klar, warum man nur bis zu einem Stichtag dieser ePA widersprechen kann. Wenn man sich erst später dagegen entscheidet, müsste man doch auch die Chance zum Widerspruch haben, ebenso die erst künftig geboren werdenden Mitbürger.
Man kann der ePA jederzeit widersprechen.
Genau, ablehnen geht auch später noch. ABER: Was bis dahin in die ePA und von dieser in andere Kanäle geflossen/abgegriffen wurde, das ist nicht wieder zurückzuholen! Das kursiert!
Ein weiterer Aspekt, auf den ich gerne verweise: Auch die Kinder erhalten ja die ePA aufgedrängt, verwalten sollen die Eltern. Nun nehmen wir mal an: Vater, Mutter, 2 Kinder. Vermutlich wird sich bestenfalls maximal EINER der Elternteile mit dieser „aktiven Verwaltung“ der ePA’s beschäftigen, der darf dann 4 Akten managen? Wirklich? Wo die Leute es kaum schaffen, sich manuell mal EINEN Notfallpaß auszufüllen?
Wie kann eigentlich ein Kind, was sich nicht wehren kann und in späterer Zukunft ein Netzpolitiker wird sich gegen die EPA wehren? Die Daten des Kindes kursieren für immer zwischen Werbefirmen.
Dieser zukünftige Netzpolitiker könnte niemals reinen Gewissens für Datenschutz einsetzen.
Ist das der Clou der Regierungen?
Sehr geehrte Damen und Herren!
Ich ersuche um Übermittlung Ihrer Kontonummer.
Besten Dank
Mit freundlichen Grüßen
D. Golth
Sehr geehrter Herr Golth,
ich übermittle Ihnen hiermit gern unsere Bankverbindung zu Ihrer freundlichen Verwendung.
Kontoinhaber: netzpolitik.org e. V.
IBAN: DE62 4306 0967 1149 2784 00
BIC: GENODEM1GLS
Mit freundlichen Grüßen!
Danke für die Vorlage.
Wo schickt man den Widerspruch hin?
Hallo Raja!
Eigentlich haben ich und die Leute in meinem Bekanntenkreis Post von der Krankenversicherung bekommen, in der ein Rückschreiben lag, wenn man widersprechen wollte…
Solltest Du dies nicht bekommen haben, würde ich einfach mal telefonisch bei Deiner KV nachfragen…
Grüßle
Danke für die guten Informationen.
Nur: die Frakturschrift zwischendrin (die volle Härte der Zivilgesellschaft) nervt…
MfG, Inke
Mir fehlt ehrlich gesagt ein bisschen die Differenzierung im Artikel:
Ist das neu-entwickelte ePA-System technisch unsicher, oder liegen die Unsicherheiten eher in den Prozessen drumherum (Zu einfache unrechtmäßige Beschaffung von Praxen-Berechtigungen etc.)
Wenn der Artikel eine Änderung bewirken soll die über „bitte alle widersprechen“ hinausgeht wären das noch wichtige Ergänzungen..
Der ePA habe ich schon widersprochen.
Schade, daß es nicht beim Fingerabdruck im Perso & Reisepass geht!
@Bärbel
Nicht nur der ePA, auch der Auswertung von Risiken.
https://digitalcourage.de/keine-fingerabdruecke-personalausweis
Die eindeutig rechtsstaatsfeindliche und damit illegale Fingerabdruckpflicht gilt leider noch mindestens bis 31.12.2026, weil das Bundesverfassungsgericht nicht mutig genug war um zu bestimmen, dass sie gefälligst sofort abgeschafft gehört.
Weil hier die Frage aufkam, wie man der ePA widersprechen kann.
Guckst Du hier: https://widerspruch-epa.de/
Da werden Sie geholfen.
Viele Grüße
Friedhelm
Typisch deutsche Nabelschau.
Andere Länder haben schon länger eine ePA (und vermutlich auch eine Hackerszene ähnlich dem ccc).
Warum wird nicht mal dahin geblickt, Systeme und Erfahrungen verglichen?
„Warum wird nicht mal dahin geblickt, Systeme und Erfahrungen verglichen?“
Weil es (angeblich, selber nur gelesen in anderen Veröffentlichungen wie z.B. Buch des Andreas Meissner – Die ePA – das Ende der Schweigepflicht etc.) dort mehr regional angelegt ist, d.h. die Daten werden auf einem regional zuständigen Server (gibt also wohl mehrere in dem Land) gespeichert, oder der Zugriff von außen muß durch den Versicherten jedesmal authorisiert werden etc.
Warum nutzt man nicht den URSPRÜNGLICHEN Gedanken, diese Daten auf dem Chip der KK-Karte zu speichern? Ja, das kann auch verloren gehen; aber jeder Versicherte könnte sich einen „Arzt des Vertrauens“ suchen, bei dem er seine Daten zusammenführen läßt und der damit eine „Sicherheitskopie“ für den Fall der Fälle hätte. Aber dann hätte die Pharmaindustrie keinen leichten Zugang! Die wichtigsten Daten (Notfalldatensatz) kann man seit Jahren dort speichern lassen, macht nur keiner, Ärzte haben davon gar keine Kenntnis (würde auch vergütet werden).
Ich selber führe die Notfalldaten auf einem ganz einfachen Blatt Papier, zur KK-Karte gelegt, mit mir mit (nun muß der Notfallarzt nur noch deutsch können).
Die Erfahrungen anderer Länder halten sich wohl in Grenzen.
– Militär – gehackt.
– Krankenhaus – gehackt.
– Wasserwerk – gehackt.
– Tech-Schmiede – gehackt.
– Digitale Verwaltung – gehackt.
– Elektronische irgendwas so ähnlich umgesetzt – gegackt.
In anderen Ländern kam es auch schon zum Datendiebstahl!
Beispiele finden sich in Norwegen, Dänemark, Singapur, Großbritannien und den USA…
Ich weiß, wie völlig utopisch und unrealistisch das ist, aber man stelle sich mal eine SPD-Basis mit Rückgrat vor. Eine SPD-Basis, bei der ganze Ortsvereine aufgrund der Opt-out-Regelung ein Parteiausschlussverfahren gegen Lauterbach beantragen und sagen: „Er wird gefälligst rausgeworfen oder wir treten aus.“
Doch wenn die SPD-Basis so viel Rückgrat hätte, hätte sie das bereits vor über 20 Jahren bei Schröder (für die Hartz-Verhunzungen) und Schily (für seinen „Otto-Katalog“) gemacht.