Die Bewährungsprobe währte kaum mehr als 24 Stunden. Am vergangenen Mittwoch berichtete der Spiegel, dass die elektronische Patientenakte (ePA) erneut eine gravierende Sicherheitslücke aufweist. Nur einen Tag zuvor, am 29. April, war die ePA bundesweit ausgerollt worden.
Die Entscheidung dafür war quasi die letzte Amtshandlung des scheidenden Bundesgesundheitsministers Karl Lauterbach (SPD). Zwei Wochen zuvor hatte er noch versichert, dass die ePA nun „extrem sicher“ sei – ja, im internationalen Vergleich sei sie „eine der sichersten, vielleicht die sicherste elektronische Patientenakte“.
Tatsächlich aber brauchten die Sicherheitsexpert:innen Bianca Kastl, Martin Tschirsich und Christoph Saatjohann nur wenige Stunden, um die neu hinzugefügten Sicherheitsvorkehrungen auszuhebeln und damit das vollmundige Sicherheitsversprechen Lauterbachs zu widerlegen. Die Hürden waren offenkundig nicht besonders hoch. Man habe zwar ein zusätzliches Vorhängeschloss angebracht, so Martin Tschirsich gegenüber dem Spiegel, den Schlüssel allerdings weiterhin unter die Fußmatte gelegt.
Es ist offensichtlich, dass die eklatanten Sicherheitsmängel technische wie politische Ursachen haben. Um sie zu beseitigen, bräuchte es die Bereitschaft, Verantwortung zu übernehmen. Doch auch eine Woche nach den Enthüllungen ist davon nichts zu erkennen.
Neue alte Unsicherheit
Eigentlich hatte das Bundesgesundheitsministerium den landesweiten ePA-Start bereits für den 15. Februar geplant. Der Rollout hatte sich jedoch verzögert, nachdem die Sicherheitsfachleute des CCC im Dezember vergangenen Jahres zahlreiche Sicherheitslücken im ePA-System offengelegt hatten.
Daraufhin wurden weitere Sicherheitsvorkehrungen implementiert. So müssen Leistungserbringer neben der Kartennummer und der Krankenversicherungsnummer nun auch einen sogenannten hash check value (hcv) eingeben, um auf die in der ePA hinterlegten Daten zugreifen zu können. Dieser Prüfwert errechnet sich aus der Wohnadresse einer versicherten Person und deren Versicherungsbeginn. Offenbar ging man davon aus, dass Dritte insbesondere den Versicherungsbeginn nicht ohne weiteres ermitteln können.
Doch die Sicherheitsfachleute des CCC fanden einen Weg über die sogenannte elektronische Ersatzbescheinigung (eEB). Diesen digitalen Versicherungsnachweis können Praxen etwa dann anfordern, wenn Patient:innen ihre Gesundheitskarte daheim vergessen haben oder diese vor Ort nicht eingelesen werden kann.
Die entsprechende Schnittstelle nutzten die Sicherheitsfachleute, um gezielt Daten einzelner Versicherter abzurufen – weitgehend automatisch und ohne Begrenzung. Das dafür erforderliche Computerprogramm hat Christoph Saatjohann, Professor für IT-Sicherheit an der FH Münster, nach eigenen Angaben innerhalb von „ein bis zwei Stunden“ erstellt. Auf diese Weise wäre es den Hackern auch möglich gewesen, den in der ePA hinterlegten Daten einer versicherten Person zu verfälschen.
Dass die Sicherheitslage damit wieder ähnlich prekär wie im vergangenen Dezember ist, musste indirekt auch die Gematik einräumen. Die mehrheitlich bundeseigene Digitalagentur ist für die technische Umsetzung der ePA zuständig. Sie sprach zwar erneut verharmlosend von einem „theoretischen“ Risiko, schaltete aber zugleich als „erste Sofortmaßnahme“ das eEB-Modul ab.
Karl Lauterbach taucht ab
Karl Lauterbach widersprach derweil seinem eigenen Sicherheitsversprechen. „In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen“, so der Minister lapidar. Warum aber wurde die ePA dann schon bundesweit ausgerollt? Und wie lässt sich ein weiterer Sicherheits-GAU für die Zukunft vermeiden?
Hinter diesen Fragen steht die eigentliche Frage: Wer übernimmt für die wiederholt auftretenden Sicherheitslücken die Verantwortung? Schließlich handelt es sich bei der ePA um „das größte Digitalisierungsprojekt“ bundesdeutscher Geschichte, wie Lauterbach persönlich betont, das die besonders sensiblen Gesundheitsdaten von rund 70 Millionen Bundesbürger:innen „sicher und geschützt“ verwahren soll.
Lauterbach selbst hatte Mitte April den Startschuss für den bundesweiten ePA-Rollout gegeben. Damals versicherte der Minister, dass alle Sicherheitsprobleme ausgeräumt seien. „In Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik konnten Sicherheitsmaßnahmen umgesetzt werden, die Voraussetzung für die bundesweite Nutzung sind“, heißt es in einem Brief an die Gematik.
Obwohl dies offenkundig eine fatale Fehleinschätzung war, hat sich Lauterbach in der vergangenen Woche nicht weiter zu den Sicherheitslücken der ePA geäußert. Stattdessen gab er zu Protokoll, sich nach dem Ausscheiden aus dem Ministeramt nun verstärkt den kommunalen Belangen seiner Heimatstadt Köln zuzuwenden.
Gezielte Entmachtung von BSI und BfDI
Auch die Gematik zeigt sich von den Geschehnissen weitgehend unbeeindruckt. Sie betont, dass die ePA weiterhin jenen „höchsten und modernsten Sicherheitsstandards“ gerecht werde, die die Agentur mit dem BSI und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) abgestimmt habe.
In der Tat hatte das Gesundheitsministerium, nachdem Kastl und Tschirsich im Dezember die ersten ePA-Sicherheitslücken öffentlich gemacht hatten, das BSI zu einer sogenannten Sicherheitsbewertung aufgefordert. Allerdings ist die Gematik nicht verpflichtet, die darin formulierten Maßnahmen auch umzusetzen. Stattdessen muss sich die Digitalagentur laut Sozialgesetzbuch V mit dem BSI und der BfDI nur ins „Benehmen“ setzen. Die beiden Bundesbehörden dürfen also nur mitwirken, aber nicht mitentscheiden.
Für diese arg begrenzte Mitwirkung hat Karl Lauterbach höchstpersönlich gesorgt. Dem Gesundheitsminister waren die „klassischen Vetorechte“ beider Bundesbehörden ein Dorn im Auge. Den Entscheidungsprozess im Gesundheitswesen wollte er daher „breiter“ aufstellen. Gemäß dem Ende 2023 verabschiedeten Digital-Gesetz muss die Gematik seitdem „Festlegungen und Maßnahmen […], die Fragen der Datensicherheit berühren“ nicht länger „im Einvernehmen“, sondern nur noch „im Benehmen“ mit dem BSI und der BfDI treffen.
Die offene Frage nach der Verantwortung
Entsprechend deutlich betont das BSI aktuell, dass aus seiner Sicht „bei vollständiger Implementierung aller Mitigationsmaßnahmen ein angemessen sicherer Betrieb der elektronischen Patientenakte gewährleistet ist“. Für die „vollständige Implementierung“ sei aber nicht die Bundesbehörde, sondern der Betreiber der elektronischen Patientenakte zuständig – also die Gematik.
Wir haben die Gematik gefragt, ob sie sämtliche Maßnahmen, die das BSI in seiner Sicherheitsbewertung vorschlug, auch umgesetzt hat. Die Digitalagentur hat uns gegenüber allerdings nur bestätigt, dass sie gemeinsam mit dem Bundesgesundheitsministerium und dem BSI „ein Maßnahmenpaket“ entwickelt habe, „das auch die Punkte des CCC adressiert“. Außerdem erarbeite sie „fortlaufend weitere Maßnahmen, um missbräuchliche Zugriffe künftig noch besser zu erkennen, zu verhindern und zu sanktionieren.“ Der von uns gestellten Frage wich die Gematik aus – und damit auch jener nach ihrer Verantwortung für die Sicherheitslücken.
Eine gute Nachricht hielt die vergangene Woche immerhin bereit. Dem BSI zufolge gibt es bereits „eine endgültige technische Lösung für die bislang skizzierten Angriffsszenarien“. Das Konzept „Proof of Patient Presence“ (PoPP) sieht demnach vor, dass sich Versicherte in der Arztpraxis persönlich identifizieren müssen, bevor Daten aus ihrer ePA abgefragt werden können. Allerdings könne die Gematik die Sicherheitsvorkehrung nicht vor dem Jahr 2026 implementieren.
„… sieht demnach vor, dass sich Versicherte in der Arztpraxis persönlich identifizieren müssen, bevor Daten aus ihrer ePA abgefragt werden können.“
Und dann? Bleibt der Zugang immer noch 3 Monate offen?
Da brauchen wir über „Hacker“ doch gar nicht nachzudenken.
Aber, Aber! Wir haben doch schließlich nichts zu verbergen!
Bei meinem Hausarzt funktioniert die Technik noch gar nicht, dort allerdings ist meine Information darüber, daß ich bei der KK wirksam widersprochen habe, händisch im eigenen Patientenverwaltungssystem vermerkt worden.
Naja, Hacker. Die kommerzielle Nutzung ist so immerhin garantiert.
Oh super!
Ich kann garnicht einsehen, ob mein Widerspruch anerkannt wurde oder ob es einen Fehler gegeben hat.
Dazu müsste ich mich bei ihm… Registrieren!
Eine kommerziell verwertbare Liste aller Verweigerer erstellen, sehr netter Trick!
Also, wenn sich der Patient eh identifizieren muss, kann man ihn ja direkt zum Hüter der Daten machen und sie explizit freigeben lassen.
Aber das widerspricht ja dem Hauptzweck der ePA, dem Massenabgriff zur automatisierten Vwrwwndung in der Analyse.
Zitat: „Auf diese Weise wäre es den Hackern auch möglich gewesen, den in der ePA hinterlegten Daten einer versicherten Person zu verfälschen.“
In dem Sinne, einfach mal die Akten von Lauterbach und Co „verfälschen“ auf unzurechnungsfähig mit Anweisung einer stationären Zwangseinweisung. Zudem akute Fluchtgefahr besteht.
>>“In dem Sinne, einfach mal die Akten von Lauterbach und Co „verfälschen“ auf unzurechnungsfähig mit Anweisung einer stationären Zwangseinweisung. Zudem akute Fluchtgefahr besteht.“
Er hat eine ePA? Sicher? SICHER?
Wer von den Politikern wird eine ePA haben?
Die sind privat versichert und haben keine ePA.
Wie Nelson sagen würde: HA! HA!
Mir tun nur die armen 70 Millionen Leut leid….
Zu den Verantwortlichen stellt sich mir nur die Frage, WARUM wird niemand gegangen?
Nein die Verantwortlichen dürfen munter bis zum bitteren Ende Ihren Arbeitsvertrag behalten.
Die Frage ist prinzipiell die wem die elektronische Patientenakte überhaupt nützt:
1. Fast kein Patient wird diese Akte selbst nützen da hierfür die Hürden zur Registrierung zu hoch sind und eine Verwaltung danach nur sinnvoll mittels App ist. Mit PC geht kaum etwas.
2. Nur wenige Ärzte werden die zahlreichen, unstrukturierten Dokumente lesen da man diese zuvor mittels KI auf für den jeweiligen Arzt sinnvolle Inhalte durchsuchen müsste.
Damit ist klar dass die ePa vor allem der Gesundheitsindustrie nützen wird – was auch von den Gesundheitsministern letztendlich auch so geplant war. Die Daten sollten ja eh verkauft werden (bis hin in die USA). Damit ist doch auch klar wer die Haftung übernimmt = Niemand.
Und dass niemand die Haftung übernehmen wird war auch schon längst so geplant.
Ein Bekannter ist chronisch krank mit mehrfacher Medikation. Für den stellt die ePA mit einfachem Zugriff des medizinische Personals eine signifikante Vereinfachung und mehr Sicherheit dar.
Der bräuchte allerdings kein opt-out, der hätte ohnehin opt-in gemacht.
Wenn sich jemand opt-in bewusst dafür entscheidet dann ist nichts einzuwenden. Nur hätten die wenigsten Patienten dies getan (weniger als 5% vermutlich).
Es wäre aber auch anders gegangen, mein Hausarzt hat PatMed wo die Daten auf einem Server in seiner Praxis liegen. Zum Glück ist er nicht nur als Arzt sondern auch im IT-Bereich versiert. In dezentraler Speicherung kann niemand mal so eben 70 Mio Patientendaten abgreifen, und finanziell lohnend für die Pharmaindustrie ist so etwas natürlich auch nicht. Aber für die Patienten hat es mehr Nutzen da einfacher zu bedienen.
welcher einfacher zugriff bitte?
soweit ich mir angelesen habe ist es nicht möglich bestimmte „vorgänge“ für einzelne ärzte zu sperren. dh. der „rücken“doktor sieht dann die akten ein die der psychiater wegen des burnouts eingestellt hat. oder ich sperre das und niemand sieht irgendwas ein.
die regulations möglichkeiten durch den „inhaber“ also den patienten sind marginal bis nicht vorhanden.
und eine liste der medikamente die ich erhalte kann jederzeit vom hausarzt angefordert werden und den ausdruck kann man dann in seine notfallkarte für die geldbörse neben die krankenkasse card stecken…