Januar 2025: Seit der Einführung der elektronischen Patientenakte (ePA) im Jahr 2020 gibt es immer wieder Sicherheitsprobleme. Mit der Umstellung auf die sogenannte Opt-Out-Lösung (hier unser Bericht aus dem September dazu) werden nun Gesundheitsdaten von über 70 Millionen Versicherten ohne deren aktive Zustimmung zentral gespeichert. Aber auch die „ePA für alle“ kann ihre Sicherheitsversprechen nicht wirklich einhalten. Der Chaos Computer Club (CCC) hat in den vergangenen Wochen einmal mehr gezeigt, wie leicht unberechtigte Personen Zugang zur ePA erhalten können: So ist „ePA für Alle“ vermutlich aber nicht gemeint…

Sicherheitsforscher demonstrierten, wie sie mit wenig Aufwand gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter beschaffen und damit auf Gesundheitsdaten zugreifen konnten. Die Ursachen liegen in Mängeln bei den Ausgabeprozessen und im sorglosen Umgang mit den Karten.

Zudem zeigten die Forscher, wie Schwächen in der Spezifikation es ermöglichen, Zugriffstoken für beliebige Akten zu erstellen, ohne dass die Gesundheitskarten vorgelegt werden müssen. In der Folge könnten Kriminelle auf über 70 Millionen Akten zugreifen.

Wie schon bei früheren solcher Tests gelang der Fernzugriff auf Patientenakten über unsicher konfigurierte IT-Systeme. Trotzdem soll jetzt die Initiative „ePA für alle“ auf fast alle Versicherten ausgeweitet werden.

Während die Sicherheitsforscher des CCC die ePA untersuchten, wurde das Sicherheitskonzept am Fraunhofer-Institut von einer KI als „sicher“ bewertet. Die daraus folgende Feststellung der Gematik: „Gutachten bestätigt: ePA für alle ist sicher“ kann nach den jetzigen Erkenntnissen durch den gelungenen Zugriff des Chaos Computer Clubs durchaus als Fehldiagnose betrachtet werden.

Denn: Nur wenn die Sicherheit der „ePA für alle“ gewährleistet ist, werden Leistungserbringer und Versicherte die Akte auch akzeptieren und nutzen. Vertrauen lässt sich nun mal nicht verordnen.

Es bleibt also wichtig, eine ePA zu entwickeln, die den individuellen Sicherheitsbedarf aller Beteiligter berücksichtigt. Dazu gehört ein offener Entwicklungsprozess und vor allem auch ehrliche und transparente Kommunikation von Risiken.

Vertrauenswürdige digitale Infrastrukturen können nur dann entstehen, wenn auch der Entstehungsprozess selbst Vertrauen ermöglicht.


zurück zur Übersicht

 

 

DOCH LIEBER ÜBERWEISEN?
Dann nutzen Sie unser
GESUNDHEIT AKTIV
Spendenkonto:
GLS Gemeinschaftsbank eG
IBAN DE34 4306 0967 0017 2179 00
BIC GENODEM1GLS