Karl Lauterbach (SPD) ist offenbar schon in Feierlaune: „In der nächsten Woche beginnt Pilotphase. Fristgerecht, sicher. Nach 20 Jahren…“ verkündete der Bundesgesundheitsminister gestern nach einem Pressetermin in Köln. Lauterbach hatte in einer Arztpraxis die elektronische Patientenakte (ePA) präsentiert. „Die Daten der Bürger sind sicher“, so der Minister vor Ort. Gäbe es „auch nur ein Restrisiko für einen großen Hackerangriff“, würde die ePA „nicht ans Netz gehen“.
Der Gesundheitsminister bezog sich damit auf die Enthüllungen von zwei Sicherheitsforschenden auf dem 38. Chaos Communication Congress. Bianca Kastl und Martin Tschirsich hatten dort gleich mehrere Sicherheitslücken der „elektronischen Patientenakte für alle“ (ePA) präsentiert. Sie betreffen die Ausgabeprozesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende könnten aus der Ferne auf jede beliebige ePA zugreifen, so ihr Fazit.
Der Lackmustest für die ePA startet bereits in wenigen Tagen, wenn am 15. Januar die Pilotphase in Hamburg, Franken und Nordrhein-Westfalen beginnt. Mehr als 250 Arzt- und Zahnarztpraxen sowie Apotheken und Krankenhäuser setzen die ePA dann in ihrem Berufsalltag ein. Ab dann wird sich zeigen, ob es den Verantwortlichen tatsächlich gelungen ist, die ePA innerhalb weniger Wochen abzusichern.
Fest steht schon jetzt, dass es in der Vergangenheit ähnliche Versprechen gab, die sich als übereilt erwiesen. Und sicher überprüfen lassen sich die Versprechen des Bundesgesundheitsministers nicht. Denn eine unabhängige und belastbare Risikobewertung der ePA fehlt weiterhin. Auch deshalb haben Ärzt:innenverbände und die Opposition bislang nur wenig Vertrauen in die ePA. Manche fordern gar, dass Lauterbach „die Reißleine zieht“.
Gematik sieht erst jetzt Handlungsbedarf
Seit den Enthüllungen des CCC bemühen sich die politischen Verantwortlichen um Schadensbegrenzung – rhetorisch wie technisch. Das führt mitunter zu widersprüchlichen Aussagen. Einerseits werten sie die Sicherheitslücken als „theoretisches Problem“ und als „potenzielle Schwachstelle“. Andererseits beteuern sie, „mit Hochdruck“ an technischen Lösungen zu arbeiten, um diese Lücken zu schließen.
So bezeichnet die gematik die Angriffsszenarien des CCC als „nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen“. Die gematik definiert als „nationale Agentur für digitale Medizin“ unter anderem die technischen Standards für die ePA. Im November sagte gematik-Geschäftsführer Florian Hartge, dass die gematik den Start der ePA für alle – im Vergleich zur ersten ePA, des Kommunikationsdienstes KIM und des E-Rezepts – am besten vorbereitet habe.
Nach den Enthüllungen im Dezember hat die gematik nun nachbessern müssen. Dank eines Maßnahmenpakets, das die Agentur gemeinsam mit dem Bundesgesundheitsministerium (BMG) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt habe, könne die ePA für alle nun „sicher von Praxen, Krankenhäusern, Apotheken und natürlich von Patient:innen genutzt werden“, so ein gematik-Sprecher gegenüber netzpolitik.org.
Dass die vom CCC aufgezeigten Sicherheitsprobleme der gematik vertraut sein sollten, verneint die Agentur auf Anfrage nicht. Der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber hatte bereits im Oktober 2022 auf eine sehr ähnliche Sicherheitslücke hingewiesen wie die zuletzt demonstrierte. Diese technische Schwachstelle habe bis zum Dezember 2024 jedoch „keinen akuten Handlungsbedarf“ erfordert, so die gematik. Erst der Vortrag des CCC habe „eine neue Risikobetrachtung notwendig gemacht“.
Verzögerte Reaktion auf Sicherheitslücke
Hinzu kommt, dass die von Kastl und Tschirsich genutzte Sicherheitslücke auch einen anderen Fachdienst der gematik betrifft: das E-Rezept. Konkret geht es dabei um eine Schwachstelle im Versichertenstammdaten-Management (VSDM), das Apotheken für den Zugriff auf das E-Rezept nutzen, wie ein Sprecher der Bundesdatenschutzbeauftragten (BfDI) auf Anfrage von netzpolitik.org mitteilt. Mit ihr können Angreifende falsche Nachweise vom VSDM-Server beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt.
Nach eigenen Angaben informierten Kastl und Tschirsich die Agentur schon im vergangenen August über ihre Erkenntnisse. Doch erst vier Monate später reagierte die gematik mit einem Update. „Die Risiken, die wir auf dem Kongress in Hamburg demonstrierten, waren seit August bekannt. Aber erst mit dem praktischen Nachweis wird hektisch gehandelt“, so das Resümee von Martin Tschirsich in einem Interview mit der taz.
Der Sicherheitsforscher unterstreicht in dem Gespräch erneut, dass es für die ePA eine unabhängige und belastbare Risikobewertung brauche. Die gleiche Forderung haben Kastl und Tschirsich in ihrem Vortrag erhoben. Bislang aber haben weder das BMG, noch die gematik oder das BSI diese aufgegriffen.
„Das Narrativ der sicheren elektronischen Patientenakte ist nicht mehr zu halten“
BSI greift erneut zur Zahnbürste
Auch dem BSI sei das auf dem Chaos Communication Congress „vorgestellte Gesamtszenario“ nicht bekannt gewesen, so ein Sprecher auf Anfrage von netzpolitik.org. Das nun erstellte Maßnahmenpaket gegen die „potenzielle Schwachstelle“ begegne „sowohl auf technischer als auch organisatorischer Ebene Zugriffsversuchen durch nicht autorisierte Personen angemessen“.
Doch auch dem BSI sollte die Lücke nach den Warnungen des damaligen Bundesdatenschutzbeauftragten Ulrich Kelber ebenfalls vertraut gewesen sein. Dennoch versicherte das BSI im Juni vergangenen Jahres, die sicherheitstechnischen Anforderungen der ePA für alle gewissenhaft geprüft zu haben. „Diese Architektur garantiert ein angemessenes Sicherheitsniveau“, so das BSI damals.
Auch BSI-Präsidentin Claudia Plattner lobte die ePA im vergangenen Juni als „so sicher wie nur irgend möglich“. „Unsere Leute sind da mit der Zahnbürste drübergegangen“, so die Behörden-Chefin.
BMG: Nur noch „technische Kleinigkeiten“ lösen
Vor diesem Hintergrund ist es erstaunlich, wie zuversichtlich sich der Bundesgesundheitsminister derzeit gibt. Alle Baustellen, die für die Pilotphase relevant seien, habe man geschlossen, so Lauterbach. Während des Probelaufs könnten nur die für diesen registrierten Ärzt:innen auf die Daten ihrer Patient:innen zugreifen. Ein Missbrauch sei in dieser Zeit daher „völlig ausgeschlossen“.
Bis zum bundesweiten Rollout müsse man nur noch einige technische „Kleinigkeiten“ lösen, betont der Minister, im Zweifel brauche man „noch ein paar mehr Wochen“. Danach werde das BSI sicher „grünes Licht“ geben, so Lauterbach. Inzwischen ist auch der April als Startmonat für den Rollout im Gespräch.
Und der Minister denkt auch schon einen großen Schritt weiter. Patient:innen könnten ihre Gesundheitsdaten später dann auch in Verbindung mit sogenannter Künstlicher Intelligenz nutzen. „Das ist eine Art der Medizin, die man sich bisher noch gar nicht vorstellen kann“, so Lauterbach.
Ärzt:innen kritisieren Blindflug
Die Zuversicht des Gesundheitsministers teilen längst nicht alle. Vielmehr mehren sich in der Ärzt:innenschaft die Stimmen derer, die sich gegen die baldige Einführung der ePA aussprechen.
Der Präsident der Bundesärztekammer (BÄK), Klaus Reinhardt, sagte gegenüber dem Ärzteblatt, er könne seinen Patient:innen die ePA derzeit nicht empfehlen. Die möglichen Einfallstore seien zu groß, so Reinhardt.
Der Berufsverband Deutscher Psychologinnen und Psychologen (BDP) sowie dessen Fachsektion Verband Psychologischer Psychotherapeut*innen (VPP) prüfen derzeit, welche Empfehlungen sie ihren Verbandsmitgliedern in Zusammenhang mit ePA-Widerspruchsrechten unterbreiten, die „ethisch sinnvoll und rechtlich vertretbar“ sind. Die Verbände fordern „gesetzlich Versicherte transparent über bestehende Datenschutzrisiken aufzuklären und schließen sich den Forderungen von Sicherheitsexpert*innen nach einer ‚unabhängigen und belastbaren Bewertung von Sicherheitsrisiken‘ an.“
Noch deutlicher äußert sich der Präsident des Berufsverbands der Kinder- und Jugendärztinnen und -ärzte (BVKJ), Michael Hubmann. Er sei frustriert darüber, „wie die Verantwortlichen versuchen, eine für professionelle Angreifer leicht zu überwindende Datenlücke kleinzureden“. „Was wir hier erleben, ist nichts anderes als ein Blindflug“, so Hubmann. „Wenn der Chaos Computer Club ohne große Hürden auf alle ePAs zugreifen kann, ist es nur eine Frage der Zeit, bis andere das auch schaffen.“ Lauterbach müsse die Reißleine ziehen und ein sicheres System an den Start bringen.
Der Gesundheitsminister glaubt indes, dass sich diese Vorbehalte schon bald auflösen werden. „Ich bin ganz sicher“, sagte er auf dem gestrigen Pressetermin in Köln, „dass die Ärzteschaft, die Kinderärzte und die Ärztekammer die ePA empfehlen werden in dem Moment, wo wir in den Pilotregionen gezeigt haben, dass sie in der Praxis funktioniert und einwandfrei sicher ist.“
> „Die Daten der Bürger sind sicher“, so der Minister vor Ort. Gäbe es „auch nur ein Restrisiko für einen großen Hackerangriff“, würde die ePA „nicht ans Netz gehen“.
a) Leugnen eines Restrisikos.
https://de.wikipedia.org/wiki/Restrisiko
b) Großer Hackerangriff
Der Begriff „Hackerangriff“ ist eine veraltete Bezeichnung für Cyberattacke.
https://de.wikipedia.org/wiki/Cyberattacke
c) Ist der ansonsten (wirklich) geschätzte Herr Lauterbach abseits seiner angestammten Fachkompetzenz hier nicht ein wenig „blauäugig“?
d) Nehmen wir mal an, dass ein potenter Akteur sich Zugriff auf die Datenbank verschafft hat. Welcher Schaden kann damit angerichtet werden im aktuellen Bedrohungsszenario hybrider Angriffe?
e) Diese Art von Großmäuligkeit ermuntert geradezu das Risiko zu testen.
Der (wirklich nicht) geschätzte Herr Lauterbach hat eine Vergangenheit als Gesundheitsökonom und hat u.A. für Bertelsmann gearbeitet. Das sind die mit den Krankenhausschließungen und mit Arvato, einem gematik-Partner, der Profit mit dem Sammeln, Auswerten und Verscherbeln von Gesundheitsdaten macht.
Lauterbachs Verständnis von Gesundheit scheint schon seitdem er an der Einführung der Pflege-DRGs mitgewirkt hat, zu sein, dass es nicht um das Gesundmachen/Pflegen/Begleiten von Menschen sondern in erster Linie um Profite und die Interessen von Konzernen geht. Pflegekräfte und Patient*innen sind in einer solchen Logik vor allem Werkzeuge. Letztere sind aber in der Digitalisierung auch abzuerntende Ressourcen geworden, da ihre Daten ausgeschlachtet werden, um damit dann internationale und nationale Wirtschaftsinteressen von Konzernen und dem Staat durchzusetzen.
Aber aus unerfindlichem Grund hat Lauterbach bei eher unkritisch erscheinenden Menschen in den letzten Jahren einen unverdient guten Ruf bekommen, weshalb ihm diese Dinge einfach als Lapalie, „Blauäugigkeit“ oder „Oopsie“ durchgehen können. Denn unser Karl meint’s doch eigentlich nur gut, oder?
Bei solchen Sicherheitsbeteuerungen einfach fragen, ob die entsprechenden Personen bereit wären mit ihrem Privatvermögen dafür zu haften.
Herr Lauterbach gibt zur Kenntnis, dass er mit dem BSI und dem CCC „in engem Austausch“ stehe.
Auch bei einem Disput steht man in engem Austausch. Ein zertifiziertes Sicherheitsaudit von unabhängiger Seite könnte geeignet sein, ein wenig mehr Vertrauen zu erzeugen. Ein solches trifft jedoch nur Aussagen über das Produkt zum Zeitpunkt der Erstellung, und wäre bei relevanten Änderungen von Software und Infrastruktur stets zu aktualisieren.
In welcher Weise steht der CCC mit dem Projekt „in engem Austausch“? Wo gibt es Infos dazu?
2020 hat die IMK eine Arbeitsgruppe eingerichtet, um das Bedrohungspotenzial von Menschen umfassender und früher zu erkennen. Die Früherkennung von potenziellen Amokläufern und Attentätern zur Verhinderung von Amokläufen und Anschlägen soll ermöglicht werden und dafür Standards und Indikatoren entwickelt werden.
Ziel ist es, Personen mit Risikopotenzial frühzeitig zu erkennen und langfristig zu stabilisieren, um Taten zu verhindern. Dafür benötigen Behörden Zugriff auf relevante Gesundheitsdaten.
Karl L. sowie die digitalen Analphabetinnnen von BMG, BSI und gematik benutzen das Wort “sicher” in den Bedeutungen “doch’, “bestimmt”, “natürlich” etc. Das hat alles nichts mit Sicherheit im technischen Sinn zu tun.
Das ist sicher(lich!) kein Zufall.
PS: Das ehemalige Nachrichtenmagazin schieb 2004 über den Gesundheitsminister:
“So war er auch an einer Studie über den Fettsenker Lipobay beteiligt – jenem Medikament, das die Herstellerfirma Bayer wegen tödlicher Zwischenfälle im Jahr 2001 vom Markt nahm. Die frühen Hinweise darauf, dass Lipobay möglicherweise gefährlich war, nahm Lauterbach damals ebenso wenig wahr, wie es seine Auftraggeber taten.” (https://www.spiegel.de/wissenschaft/der-einfluesterer-a-cac9b0b4-0002-0001-0000-000030346862)
Risiko? Welches Risiko?
„Start ohne Restrisiko“
Noch so ein Ding. Äquivalent zu „Erst starten, wenn alle Sicherheitslücken geschlossen sind“, also nie.
Eigentlich eine Frechheit, denn das sogenannte Restrisiko ist immer vorhanden. Social engineering, state level actor, DATENWEG. Der Datenweg kommt dann, und es wird nichts zu sehen geben. Dafür dürfen alle weiter gehen, für mehr Datenweg.
Nein, im Ernst, eine Frechheit, die Suggestion, als könnte man ein Restrisiko prinzipiell ausschließen. Schlimmer noch die kontextuelle Verklammerung von Restrisiko mit horrendem Fehldesign – im aktiven Sinne, also ungeachtet eines vorherigen Zustandes, wurde es unterwegs kaputtdesigned -, sowie konkreten Vertrauenszerstörenden Babyeinfachsicherheitslücken mit katastrophalem Ergebnis. Das Restrisiko aber ist immer gegeben und betrifft die Konstruktion, und mehr noch die Fehler in der Konstruktion, sowie die Entscheidung diese Daten weitflächig zugreifbar zu halten, z.B. für Forschung und „Forschung“.
Alles in allem erinnert mich das an das „Deutschland ist ein Rechtsstaat“-Moment – „Sie können ja klagen.“.
https://de.wikipedia.org/wiki/Restrisiko
„Ohne Restrisiko“ suggeriert:
– Es waren zuvor nur kleine Risiken.
– Dann wird es sicher sein.
Die Konstruktion der Sache ist aber so, dass es immer ein Restrisiko geben wird. Eigentlich gibt es per Definitionem immer ein Restrisiko, dass es zu beziffern gilt. Das aber will man nicht tun, denn darin besteht ja bereits die von Fachleuten vorgebrachte Kritik.
sagt mal, ist claudia tochter von hasso? mir gehts hier nicht um sippenhaft (sie kann ja vermutlich nix für SAP) sondern um seilschaften. das wäre ja mal spannend zu wissen, oder? wikipedia schweigt sich da aus (obwohl es in der diskussion zum artikel angesprochen wird) und ich finde nur eine KI-antwort, die das thematisiert…