Die elektronische Patientenakte (ePA) ist sicher. Das verspricht mantraartig nicht nur Bundesgesundheitsminister Karl Lauterbach (SPD), sondern auch die gematik. Sie ist dafür zuständig, das digitale Großprojekt umzusetzen, indem sie unter anderem die erforderlichen Standards definiert. Derzeit befindet sich die „ePA für alle“ auf der Zielgeraden: Ab dem 15. Januar 2025 soll sie stufenweise bundesweit ausgerollt werden.
Dieses Sicherheitsversprechen hat das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) im Auftrag der gematik genauer unter die Lupe genommen. Bereits Ende August erstellte das Forschungsinstitut ein gut 90-seitiges Gutachten, das die gematik allerdings erst vor wenigen Tagen veröffentlicht hat.
Die Forschenden haben dabei nicht die fertige ePA, sondern nur das entsprechende gematik-Konzept in Augenschein genommen, also „die dokumentierte Architektur sowie die Anforderungen an die Umsetzung der einzelnen Komponenten“, wie sie betonen.
Unterm Strich ergebe das Konzept „das Bild einer angemessenen Systemarchitektur“. Allerdings identifizieren die Forschenden auch gravierende Schwachstellen, die vor dem Start der elektronischen Patientenakte noch geschlossen werden sollten.
Verschiedene Angriffsszenarien, aber keine Spionage?
Das Fraunhofer SIT hat die ePA entlang verschiedener Angriffsszenarien auf mögliche Probleme untersucht. Im Fokus standen Lücken, die es Angreifenden ermöglichen, die elektronische Patientenakte unbefugt einzusehen oder zu manipulieren.
Insgesamt haben die Forschenden dabei 21 Schwachstellen im gematik-Konzept identifiziert. Vier dieser Schwachstellen stufen sie mit dem Schweregrad „hoch“ und damit als besonders gefährlich ein. Sechs Schwachstellen weisen den Schweregrad „mittel“, die verbleibenden elf Schwachstellen den Grad „niedrig“ auf.
Als besonders relevant bewerten die Forschenden mögliche Angriffe von Hacker:innen sowie von Herstellern und Betreibern der Aktensysteme, mit denen die elektronischen Patientenakten verwaltet werden. Aber auch Leistungserbringer, also etwa Ärzt:innen oder Apotheker:innen, könnten versuchen, unberechtigt Zugriff auf die ePA zu erhalten, um sich so finanzielle Vorteile zu verschaffen.
Überraschenderweise erachten die Forschenden – „nach Absprache mit der gematik“ – Angriffe durch Regierungsorganisationen als „nicht relevant“. Die Sicherheitsexpertin Bianca Kastl, die auf netzpolitik.org eine Kolumne schreibt, hält dies auf Anfrage für unverantwortlich: „In Hinblick auf die aktuelle Bedrohungslage ist ein Ausschließen von Regierungsorganisationen als Bedrohung seitens der gematik mindestens äußerst verwunderlich bis hochgradig gefährlich.“
Zu lange Fristen und eine fehlende Rollentrennung
Als eine besonders gravierende Schwachstelle werten die Forschenden vom Fraunhofer SIT eine zu lange Reaktionsfrist. Laut Vorgaben der gematik sind Anbieter der Aktensysteme dazu verpflichtet, Schwachstellen in ihren IT-Systemen an Wochenenden und Feiertagen innerhalb von 72 Stunden zu bewerten und entsprechende Gegenmaßnahmen einzuleiten.
Diese ausgedehnte Frist könnten Angreifer:innen gezielt ausnutzen, mahnen die Forschenden, um sich Vorteile zu verschaffen. Sie plädieren dafür, die Bewertungszeiträume an Wochenenden zu verringern und einen Notdienst einzurichten. Als Grundlage könnte der Cyber Resilience Act der EU dienen. Er sieht bereits bei „unkritischen“ Produkten im Konsumentenbereich eine Frist von gerade einmal 24 Stunden vor.
Ein weiteres Sicherheitsrisiko ergebe sich aus einer unzureichenden Rollentrennung der Mitarbeitenden beim Umgang mit Backups. Denn die gematik schließe nicht explizit aus, dass eine Mitarbeitende, die Zugang zum Rechenzentrum hat, gleichzeitig auch dafür zuständig ist, die Masterkeys zu sichern, so die Forschenden.
Aus den Masterkeys lassen sich die privaten Schlüssel ableiten, mit denen die Daten der Versicherten verschlüsselt werden. Zerstört ein Mitarbeiter die Masterkeys, können die Versicherten schlimmstenfalls ihre Daten nicht mehr entschlüsseln. Die Forschenden empfehlen der gematik daher, die Rollen von Mitarbeitenden strikter zu trennen.
Darüber hinaus sollten die Anforderungen an Backup- und Wiederherstellungsprozesse präziser definiert sein. Es fehle „ein klarer Prozess, […] wann und von wem eine Wiederherstellung ausgelöst wird“, so die Forschenden. Auch mahnen sie eine Pflicht zur Offline-Datensicherung an. Dies würde es Angreifern erschweren, von außen an Backup-Daten zu gelangen und diese unwiederbringlich zu löschen.
Drohende Angriffe in der Lieferkette
Gefahren drohen laut Gutachten aber nicht nur im aktiven ePA-Betrieb, sondern bereits bei der Herstellung von Aktensystemen. Auch gegen diese sogenannten Lieferketten-Angriffe fehle es an Vorkehrungen, die die IT-Sicherheit zusätzlich erhöhen.
Es sollte bereits im Entwicklungsprozess vermieden werden, dass schädlicher Code oder Hintertüren in die Software eingeschleust werden. Die Forschenden empfehlen, den Zulieferern „Vorgaben zu sicheren Entwicklungsprozessen und zur Absicherung ihrer Entwicklungssysteme zu machen“, wie sie etwa auch in der Automobilbranche üblich sind. Dies sei geradezu unerlässlich, auch weil es in den vergangenen Jahren vermehrt zu Ransomware-Angriffe auf Gesundheitseinrichtungen gekommen ist.
Mehr Pflichten für Primärsysteme gefordert
Auch aus diesem Grund fordern die Forschenden die gematik dazu auf, strengere Sicherheitsanforderungen an die Verwaltungssysteme zu stellen, die etwa in Praxen, Krankenhäusern und Apotheken eingesetzt werden. Einen entsprechenden Leitfaden gebe es zwar bereits, für die Entwicklung der sogenannten Primärsysteme sei er bislang aber nicht verpflichtend.
„Die umfangreichen Zugriffsberechtigungen der Leistungserbringer, die prinzipiell Zugriff auf Akten erhalten können, solange kein Widerspruch des Betroffenen vorliegt (Opt-out), stellen eine Herausforderung für das Gesamtsystem dar“, schreiben die Forschenden. Ein unzureichend gesichertes Primärsystem könne zu erheblichem Datenverlust führen, „auch wenn die betroffenen Personen nie bei dem entsprechenden Leistungserbringer tatsächlich behandelt wurden.“
Theorie und Praxis
Eine Sprecherin der gematik bestätigte auf Anfrage von netzpolitik.org, dass man die „Verbesserungspotenziale“, die das Gutachten benennt, bereits aufgegriffen habe. Auch werde man die ePA kontinuierlich daraufhin prüfen, wie sich die Sicherheit weiter erhöhen lässt. Allerdings lägen die vom Fraunhofer SIT identifizierten Schwachstellen, sagt die Sprecherin, „teils außerhalb des Regelungsbereichs der gematik“.
Für Bianca Kastl ist das Gutachten derweil kaum mehr als eine erste Bewertung, die sich zudem nur auf ein Konzept bezieht. „Besonders die erwähnten Risiken der fehlenden Maßnahmen für einen sicheren Entwicklungsprozess bei den Herstellern des Aktensystems verlagern viele mögliche Probleme auf die konkrete Umsetzung – die ja erst noch folgen wird“, so Kastl.
Eben deshalb sei es auch voreilig von der gematik, die ePA grundsätzlich als sicher zu bewerten. „Eine solche Behauptung ist auf Basis einer Bedrohungsanalyse sehr früh und gewagt“, sagt Kastl. „Letztlich ist die Sicherheitsanalyse nicht mehr als eine Prüfung des Bauplans der ePA – und keine tiefgreifende Prüfung der fertigen Aktensysteme, die mit echten Daten befüllt werden.“
In anderen Worten: Mit Blick auf die IT-Sicherheit steht der ePA die Bewährungsprobe erst noch bevor.
Update, 30.10.2024: Eine Aussage wurde fälschlicherweise einem Forschenden des Fraunhofer SIT zugeordnet. Wir haben den Satz entfernt.
Eine elektronische Patientenakte hat durchaus ihre Vorteile. Aber bis all diese Schwachstellen und Datenschutzprobleme behoben sind werde ich das nicht benutzen.
„90-seitiges Gutachten, das die gematik allerdings erst vor wenigen Tagen veröffentlicht hat“ Wo ist der Link dazu?
Nur eine Patientenakte die vollständig unter meiner eigenen Kontrolle ist, ist sicher. Alles andere ist Augenwischerei. Heißt, daß alles mit meinem privaten Schlüssel gesichert ist, den niemand anderes als ich hat. Bei bedarf kann ich denn einzelne Dokumente mit einem spezifischen öffentlichen Schlüssel freigeben. Das wäre sicher.
Es geht dem Gesundheitsökonomen Lauterbach doch darum die Krankengeschichte der Patienten zu monetarisieren.
Danke für den Hinweis, der Link ist nun eingefügt.
Ich glaub nicht, dass Lauterbach deine Daten Monetarisieren will. Eine komplette E2E Akte zu machen ist wahrscheinlich sehr schwer umzusetzen und wahrscheinlich auch sehr teuer. Daher ist die jetzige ePA eher ein Kompromiss.
„Eine komplette E2E Akte zu machen ist wahrscheinlich sehr schwer umzusetzen und wahrscheinlich auch sehr teuer.“
Nein, wäre es nicht. Die kryptographischen Methoden sind vorhanden und werden auch in anderen Bereichen erfolgreich eingesetzt. Doch selbst wenn man mehr Geld in die Hand nehmen müsste, das sonst gerne zum Fenster rausgeworfen wird wie z. B. zig Millionen für Microsoft-Lizenzen o. ä., hätte man in ein hochsicheres und irgendwann akzeptables Produkt investiert.
Bei so sensiblen Datensätzen wie im Gesundheitsbereich (und natürlich auch anderswo) darf es keinen „Kompromiss“ geben. Das Vorhaben muss bis zum Ende durchdacht und höchst sicher programmiert werden und davon ist es weit entfernt. Das fängt beim Thema „pdf“ an und endet bei den im Artikel beschriebenen Aspekten.
Zudem würde eine E2E-Akte die Akzeptanz und Notwendigkeit von Verschlüsselung allgemein in der Gesellschaft signifikant erhöhen.
Wenn persönliche Daten für diverse Industrien zur Verfügung gestellt werden sollen, ist eine Ökonomisierungsabsicht grundsätzlich zu unterstellen.
Der Druck, unter dem das Thema „Digitalisierung“ steht, passt nicht zur eigentlich notwendigen Sicherheit.
Es hilft auch nicht, dass man spätestens seit Jens Spahn als Bundesgesundheitsminister als Wähler den Eindruck gewinnen könnte, als ob anstelle von kompetenten Firmen nur den Zuschlag bekommt wer eine Führungskraft aufweist, die irgendeinen wichtigen Politiker vor Jahrzehnten in einer Klassenarbeit abschreiben ließ.
Wieso muss eigentlich bei der Digitalisierung Druck aufgebaut werden? Woher kommt der Druck? Wer ist für ihn verantwortlich?
Müssen wir uns dem Druck wirklich aussetzen? Warum glauben wir immer, zu kurz zu kommen? Warum nicht entschleunigen und stattdessen etwas wirklich Sinnvolles und Durchdachtes machen?
Meiner Meinung nach ist dieser völlig unnötige Druck die Ursache vieler Probleme und des unsäglichen Pfusches bei uns.
Interessant ist, dass viele Medien behaupten, dass die Ablehnung gegen die ePA sehr klein ist (ca. 1% der Versicherten haben einen Widerspruch eingelegt).
Wenn man dieser (https://e-health-com.de/details-news/epa-wenig-bekannt-und-widerspruchsloesung-bevorzugt/ ) Umfrage glaubt, dann gibt es noch durchaus Wissenslücken und Vorbehalte.
Übrigens sollte man noch einen weiteren Widerspruch bei seiner Krankenkasse einreichen: den gegen die Risikosuche der Krankenkasse anhand der Abrechnungsdaten, die unabhängig von der ePA stattfinden wird. Siehe: https://widerspruch-epa.de/widerspruch-gegen-risikosuche/
Die Frage ist, welche Seriösität der Umfrage zu geben ist. Denn das OTH Regensburg ist mir eher unbekannt.
@Punkt
Danke für den zweiten Hinweis „Datengestützte Erkennung individueller Gesundheitsrisiken“.
Auch hier soll die sogenannte „KI“ für die Datenmassenverarbeitung eingesetzt werden.
Man muss selber aktiv werden und ein Widerspruch einreichen, denn anders als bei der ePA, werden wir zur „datengestützte Erkennung individueller Gesundheitsrisiken“ nicht gefragt.
Die AOK Baden-Württemberg macht die Ablehnung maximal schwer, im Gegensatz zur TK oder Barmer. Will man dort ablehnen, muss man sich durch mehrere Info-Seiten klicken und anschließend seine Versicherten- und Kartennummer wissen und eintippen…
Also, das Klicken seinlassen und ganz altmodisch als Briefpost (zur Sicherheit als Einwurfeinschreiben) veranlassen, was ist daran so schwer. Bloß, weil „alle“ „alles“ digital machen?
Beim letzten AG (Anwalt) hatten wir in Mandantenangelegenheiten immer mal Kontakt zur Datenschutzbeauftragten unseres Bundeslandes (Nachbarn, die via Überwachungskamera den Nachbarn beobachten, kommt nicht immer so gut an). Kontaktiert werden kann die: per E-Mail, per Fax, per Briefpost …
Die Antwort kam IMMER per Briefpost! Sind die nun eher altmodisch oder eher bewußt vorsichtig?
Wahrscheinlich geht es darum….später in einigen Jahren massiv Kosten einzusparen und Patienten in ihrem Verhalten einzuschränken und zu erziehen. Natürlich verursachen einige Patienen durch ihr individuelles verhalten auf Kosten der Allgemeinheit….unötige Mehrfachuntersuchungen etc. Aber auf der anderen Seite wer möchte nicht selber mitentscheiden. Was ist mit falschen Diagnosen oder welche die man anzweifelt…..viele Fragen….wenig Klärung. Erstmal die Leute reinlocken und dann mit Salami Taktik alles ändern…..zu ungunsten des Versicherten.
Vielleicht kommen wir dahin, dass dann alles kleingeschnetzelt wird und ein Algorithmus die nötigen 30% herausholen kann. Irrigation bei Verteilung läuft in Deutschland ohnehin schon oftmals so, dass irgendwelche Quatschhürden offenbar einfach nur die Funktion haben, zu demotivieren und auszusieben, auf dass die Menschen gar nicht erst den Antrag stellen. Kann mich nicht erinnern, als dass in der Diskussion mit mehr Daten mal erwähnt gewesen wäre, dass man dann ja mit der total gut funktionierenden KI automatisch zumindest die zustehenden Leistungen verteilen könnte. Man könnte sogar für Nichtabgebende, bei Kontotransparenz u.ä., eine vereinfachte Steuererklärung automatisch machen. Nein, die Daten und die KI sollen beschneiden (und seien es „nur“ Kosten). Auf dem Niveau sind wir konzeptionell, ungefähr.
Es ist leider schon vorgekommen, dass eine vorausgegangene Diagnose falsch war und alle nachfolgende Behandlungen anderer Ärzte sich warum auch immer auf diese stützten. Seither sehe ich Diagnosen in Überweisungsscheine sehr kritisch.
Auch Ärztliche Aussagen wie Beispiel „Angstpatient, Psychisch, Labil, beginnende Demenz, usw.“ können beim nächsten Arzt oder Krankenhaus, dem Patienten zum großen Nachteil entwickeln… Die Rücksichtslosigkeit und Egalität (Gleichgültigkeit) der Ärzte und des Personals, ist entsprechend unbeschreiblich.
Ärzte halten zu Ärzte!
Kein (Kaum ein) Arzt wird ein anderen Kollegen in die Pfanne hauen, wenn er Fehler findet!
@werauchimmer
Grundsätzlich ist Kritik an vorausgegangenen Behandlungen schwierig wenn man nicht dabei war und möglicherweise situativ auch nur begrenze Informationen hatte, einem Fixierungsfehler unterlegen ist o.ä.
Wenn „in die Pfanne hauen“ die einzige Alternative zur Kritik an Kolleginnen und Kollegen ist, bleibt diese natürlich keine attraktive Option.
Bei der Einführung der ePA kommt eine Kummaltion von ungünstigen Aspekten zusammen. Schlechte und wenig intuitive IT bzw. Software in den Kliniken, die ePA als unstrukturierte PDF-Sammlung und die Überführung von Daten in den EU-Datenraum sorgen für eine fatale Gemengelage wenn man das Gesundheitssystem endlich mal in die Gegenwart befähigen möchten.
Wir faxen weil es eben meist gut und halbwegs schnell funktioniert. Wenn ich andere schnelle und sichere Kommunikationswege hätte, wären wir ja schon mal meilenweit vorwärts gekommen.
Warum redet niemand darüber,dass auch staatliche Stellen Zugang zur ePA haben? Die Kassen werden alle Abrechnungsdaten in Akte schieben. Für wen und für was? Es geht nicht um die Patienten, sondern nur um die Daten. Deshalb wird das Projekt auch mit der Brechstange durchgesetzt.
@Robert Schmidt sagt am 5. November 2024 um 09:35 Uhr
> Wieso muss eigentlich bei der Digitalisierung Druck aufgebaut werden? Woher kommt der Druck? Wer ist für ihn verantwortlich?
Das sind relevante Fragen!
Druck wird immer dort angewendet, wenn etwas in Gang gebracht werden soll, dass sich sonst kaum bewegen würde. Wenige Projekte der sog. Digitalisierung (ohne Präzisierung eine leere Worthülse) werden von der Bevölkerung bejubelt. Der Rest ist aus Sicht der Betroffenen eher entbehrlich, weil sie keinen Nutzen davon haben, andere aber umso mehr.
Da ist was dran. Ich verstehe Druck so, dass uns immer eingetrichtert wird, alles muss immer „schnell schnell“ gehen, weil wir sonst angeblich irgendwo nicht mithalten könnten. Das halte ich für einen Fehler, der die Ursache für weitere Fehler und damit ein großes gesellschaftliches Problem ist.
Es gibt ja das Sprichwort „Eile mit Weile“. Besonders bei solchen Sachen wie der Patientenakte würde es sehr helfen, sich darauf zu besinnen. Lieber noch verschieben und dafür es richtig gut, also bürgerfreundlich und sicher machen, wie andere schon geschrieben haben.
Ich teile Ihre Ansicht, dass Schnelligkeit kein Qualitätsmerkmal ist. Aber Scholz hat das „Deutschland-Tempo“ ausgerufen. Und zwischen Bund und Ländern soll ein „Beschleunigungspakt“ wirksam werden. Den Schopf des Kairos gilt es zu erwischen, was freilich besser klingt als Opportunismus. „Windows of opportunities“ gilt es zu nutzen, und wenn es keine gibt, dann muss es eben mit dem Kopf durch die Wand gehen. Der Anspruch, gute und fehlerfreie Produkte auf den Markt zu bringen, wurde weggewischt, denn billiger Dreck verkauft sich besser.
Bleibt die Frage nach der Selbstwirksamkeit in so einer Welt, ohne Hilflosigkeit erleben zu müssen. Neben dem Wahlzettel ist der persönliche Einkaufszettel fast noch wirkmächtiger. Gezielter Konsumboykott wäre z.B. ein Mittel, das auch emotional ziemlich befriedigend sein kann. Auch einer e-Patientenakte kann man sich mit Genugtuung entziehen.
„Deutschland-Tempo“
Sand rieselt von den Seiten, Erker brechen wieder ab und fallen zu boden, dort: eine Eidechse!
> Es gibt ja das Sprichwort „Eile mit Weile“. Besonders bei solchen Sachen wie der Patientenakte würde es sehr helfen, sich darauf zu besinnen.
Oder formulieren wir es mal anders: Sonst heißt es immer „Erst denken, dann handeln.“, aber die FDP hat damals mit „Digital first, Bedenken second.“ gezeigt, dass sie das Wort „nachdenken“ falsch verstanden hat. Denn wenn man hinterher mit dem Denken anfängt ist es bereits zu spät.
„Aber Scholz hat das „Deutschland-Tempo“ ausgerufen.“
Jo, und seit gestern mit neuer verkehrspolitische Strategie:
Die gelbe Birne in der Ampel durchbrennen lassen. Jetzt ist die Ampel kaputt und
das Tempo sinkt überall auf 0 km/h.
Holdrio! Ansonsten sehe ich das alles genauso.
> Die gelbe Birne in der Ampel durchbrennen lassen.
Wenn Birnen durchbrennen, dann waren sie von minderer Qualität.
xD Jo, dat is richtig!
Sprach die so genannte KI und lachte KI KI KI KI KI ki ki ki ki … …
„Wenn Birnen durchbrennen, dann waren sie von minderer Qualität.“
Was ändert das jetzt am Tempo?
Ich denke, wir werden an weiteren Gesetzen und dem Verhalten der CDU (und FDP!) sehen können, wie es um die Politik so bestellt ist. Z.B. verbessern von Checks and Balances wäre ein kritisches Vorhaben. Wie windelweich wird es weitergehen?
Es unket schon, z.B. man wolle nicht das Ersatzrad spielen, wäre aber bei der Stärkung der Verfassung dabei. Noch nicht rum, die Kiste!