Die Einführung der elektronischen Patientenakte (ePA) wurde ursprünglich als ein bedeutender Fortschritt für das deutsche Gesundheitssystem gefeiert. Ziel war es, die medizinische Versorgung durch die zentrale Speicherung und den einfachen Zugriff auf Gesundheitsdaten effizienter und sicherer zu gestalten. Leider hat sich herausgestellt, dass dieses Vorhaben mit erheblichen Problemen und Risiken verbunden ist, die nicht ignoriert werden dürfen.
Seit ihrer Einführung im Jahr 2020 steht die ePA im Fokus zahlreicher Kontroversen. Besonders gravierend sind die aufgedeckten Sicherheitslücken, die die Vertraulichkeit und den Schutz sensibler Gesundheitsdaten gefährden. Der Chaos Computer Club (CCC), der bereits frühzeitig vor den Risiken der ePA gewarnt hatte, demonstrierte auf dem 38. Chaos Communication Congress (38C3), wie leicht unberechtigte Personen auf die elektronischen Akten zugreifen können. Die Umstellung des Systems von einem Opt-In- auf ein Opt-Out-Modell, bei dem Gesundheitsdaten von mehr als 70 Millionen Versicherten ohne deren ausdrückliche Zustimmung zentral gespeichert werden, hat die Bedenken weiter verstärkt.
Zusätzlich zu den technischen Schwachstellen gibt es erhebliche Mängel in der Aufklärung der Bevölkerung. Viele Bürger wissen nicht genau, welche Daten erfasst werden, wie diese verwendet werden können und welche Risiken bestehen. Transparenz und umfassende Information sind jedoch unerlässlich, um das Vertrauen der Menschen in das System zu gewinnen.
Die folgenden Berichte beleuchten die Sicherheitslücken und Risiken der ePA im Detail und verdeutlichen die dringende Notwendigkeit von Verbesserungen:
1. CCC fordert Ende der ePA-Experimente am lebenden Bürger
Der Chaos Computer Club (CCC) hat die ePA seit ihrer Einführung im Jahr 2020 immer wieder kritisiert. Auf dem 38. Chaos Communication Congress (38C3) demonstrierten Sicherheitsforscher, wie einfach unberechtigte Personen Zugang zu sensiblen Gesundheitsdaten erhalten können. Die Umstellung von einem Opt-In- auf ein Opt-Out-System erhöht die Gefahr, dass Gesundheitsdaten von über 70 Millionen Versicherten ohne deren ausdrückliche Zustimmung zentral gespeichert werden.
2. Sicherheitslücken bei der ePA
Ein Artikel von Golem verdeutlicht, wie unberechtigte Zugriffe auf die ePA durch Sicherheitslücken in den Ausgabeprozessen und Beantragungsportalen möglich sind. Auch der Fernzugriff auf Patientenakten über unsichere IT-Systeme in Gesundheitseinrichtungen und Dienstleister-Zugänge wurde demonstriert. Diese Schwachstellen gefährden die Vertraulichkeit sensibler Gesundheitsdaten.
3. Hacker warnen vor gravierenden Sicherheitsproblemen
Auf dem 38C3 warnten Hacker vor den erheblichen Sicherheitsproblemen der ePA. Sie zeigten, wie mit minimalem Aufwand Zugriffstoken für Akten beliebiger Versicherter erstellt werden können, ohne dass Gesundheitskarten präsentiert oder eingelesen werden müssen. Diese Demonstrationen unterstreichen die dringende Notwendigkeit, die Sicherheit der ePA drastisch zu verbessern.
Fazit und Forderungen
Diese Berichte machen deutlich, dass die ePA in ihrer aktuellen Form nicht sicher genug ist, um flächendeckend eingeführt zu werden. Es besteht dringender Handlungsbedarf, um die Sicherheitsmaßnahmen zu überprüfen und zu verbessern. Eine Umstellung auf ein Opt-In-Modell, bei dem die Bürger aktiv ihre Zustimmung zur Nutzung der ePA geben müssen, und die Finanzierung der ePA durch die Nutzer selbst anstelle der Allgemeinheit sind unerlässlich. Nur so kann das Vertrauen der Bevölkerung in dieses wichtige digitale Gesundheitsinstrument gewonnen werden.
Quellen:
CCC fordert Ende der ePA-Experimente am lebenden Bürger
Sicherheitslücken und Risiken der elektronischen Patientenakte (ePA)
Potenziell 70 Millionen digitale Patientenakten für Hacker zugänglich