Die elektronische Patientenakte "ePA für alle" geht an den Start. Doch zuletzt erreichte die Kritik an der Akte einen neuen Höhepunkt. Was steckt hinter den Sicherheitsbedenken?
Die elektronische Patientenakte (ePA) zog in den letzten Wochen viel Kritik auf sich. Ärzteverbände und IT-Expertinnen und -Experten melden sich derzeit mit Sicherheitsbedenken, die sie für gravierend halten. Und viele Menschen sind verunsichert und fragen sich, ob demnächst ihre sensiblen Gesundheitsdaten gestohlen werden können.
Die elektronische Patientenakte (ePA) gibt es seit 2021. Bisher müssen alle, die die Akte nutzen möchten, das ausdrücklich bei ihrer Krankenkasse anmelden ("Opt-in"). Dafür haben sich Stand 15. Januar 2025 circa 2,6 Millionen Menschen entschieden. Doch das Verfahren ändert sich demnächst: Dann wird die "ePA für alle" eingeführt, die ePA 3.0.
Sie steht allen gesetzlich Versicherten zur Verfügung. Wer keine ePA will, muss aktiv werden und gegebenenfalls bei der eigenen Krankenkasse Widerspruch einlegen ("Opt-out"). Der Nutzung der Daten für Forschungszwecke muss man separat widersprechen. Für alle, die nicht widersprechen, wird automatisch eine Akte angelegt und die Freigabe zu Forschungszwecken erteilt.
Lesen Sie auch
Die ePA startet zunächst in einem Testbetrieb in 300 Arztpraxen in Hamburg, in Franken und in einigen Teilen Nordrhein-Westfalens. Erst wenn dieser Test erfolgreich verläuft, wird die ePA flächendeckend bundesweit eingeführt. Ursprünglich war diese Phase für Mitte Februar geplant. Fachleute bezweifeln inzwischen, dass sich dieser Zeitplan halten lässt und rechnen eher mit April.
Hauptauslöser der aktuellen Diskussionen ist ein Vortrag von Sicherheitsexpertinnen und -experten des Chaos Computer Clubs (CCC) bei dessen Kongress Ende Dezember 2024, auf dem sie verschiedene Sicherheitsprobleme der ePA vorführten. Der Vortrag sorgte für großes Medienecho und im Zuge dessen auch für einen Vertrauensverlust in die Sicherheitsarchitektur der Akte und der Telematikinfrastruktur (TI) insgesamt, also der geschützten Datenautobahn für das Gesundheitswesen.
Wie sind die Kritikpunkte der IT-Expertinnen und -Experten einzuordnen? Sind die öffentlich gewordenen Sicherheitsrisiken wirklich so verheerend wie häufig dargestellt und kann ein einzelner Angreifer tatsächlich mühelos auf die ePAs aller 70 Millionen gesetzlich Versicherten zugreifen, wie es in vielen Beiträgen heißt?
Was kritisieren die Sicherheitsforschenden genau?
In ihrem Vortrag auf dem CCC-Kongress führten die Sicherheitsforschenden Bianca Kastl und Martin Tschirsich vor, wie es ihnen gelang, als Unbefugte auf IT-Strukturen zuzugreifen, mit denen ein echter Angriff auf die echte "ePa für alle" möglich gewesen wäre. Zu diesem Zeitpunkt gab es die "ePA für alle" zwar noch nicht (auch nicht im Testbetrieb), trotzdem führt diese Simulation ein real existierendes Sicherheitsrisiko vor.
Was genau machten die Forschenden? Sie maskierten sich zum einen als Arztpraxis, indem sie sich ein gebrauchtes Kartenterminal für das Einlesen von elektronischen Gesundheitskarten (eGK), einen sogenannten Konnektor, bei Ebay kauften und einen digitalen Organisationsausweis, eine sogenannte SMC-B, mit der die Identität der Praxis in der Telematikinfrastruktur nachgewiesen wird. Die SMC-B funktioniert als Zugangsberechtigung, wenn sie zusammen mit einer PIN benutzt wird.
Allein damit hätten sich die Sicherheitsexpertinnen und -experten Zugang zu den circa 1.500 elektronischen Patientenakten verschaffen können, auf die durchschnittliche Arztpraxen 90 Tage lang Zugriff haben. Zur Erinnerung: Die Daten, die in der ePA abgelegt werden, sind nicht identisch mit den Daten, die im Praxissoftwaresystem der Arztpraxis dokumentiert werden. Auf diese Dokumentation (sogenannte Fallakte) lässt sich per ePA-App (und damit auch per vom CCC beschriebenen Hack) nicht zugreifen.
Besorgniserregend war, wie leicht es Kastl und Tschirsich gelang, die zur SMC-B passende PIN zu bekommen. Denn nur diese drei Komponenten gemeinsam – Kartenterminal, Organisationsausweis und ein mit der Telematikinfrastruktur verbundener Konnektor – ermöglichen den Zugang zur Gesundheitsdatenautobahn.
Zum anderen gelang es den Forschenden, eine Krankenkassenkarte zu simulieren, die sie physisch gar nicht besaßen. Diese Karte weist die Identität der Versicherten nach. Zusammen mit den Praxiskomponenten lässt sich dann auf eine ePA der entsprechenden Person zugreifen. Aufgrund eines unsicher aufgebauten Nummernkreises der Krankenkassenkarten und dessen unzureichender Verschlüsselung gelang es den beiden, auf die elektronische Patientenakte einer Person zuzugreifen.
Mehr noch: Durch die Art und Weise der Nummerierung wäre es sogar möglich, alle Nummern der 70 Millionen Versicherten-eGKs zu erraten. In vielen Medienberichten konnte man deshalb Zeilen wie diese lesen: "Das ermöglicht den Zugriff auf alle 70 Millionen elektronischen Patientenakten." Doch ist das wirklich so einfach?
Sicherheitsmängel werden zum Teil schon länger diskutiert
Um die Kritik des Chaos Computer Clubs besser einordnen zu können, muss man zuerst einen Schritt zurückgehen. Denn die Umstellung der ePA auf die "ePA für alle" ist nicht einfach nur ein Update der bestehenden ePA. Mit der Umstellung der bisherigen Zustimmungslösung auf die Widerspruchslösung ändern sich auf der technischen Ebene einige Dinge grundlegend. Wie massiv die Änderungen sind, bleibt für die Nutzerinnen und Nutzer der bisherigen ePA weitgehend unsichtbar.
Auf einige Probleme hatten Expertinnen und Experten des Chaos Computer Clubs bereits vorher aufmerksam gemacht. Aber die Gematik ignorierte diese Bedenken offenbar sehr lange, wie die "Zeit" berichtet. Immerhin wurde das Verfahren zum Identitätsnachweis für elektronische Gesundheitskarten geändert. Alle Versicherten, die eine ePA anlegen ließen, durchliefen gegenüber der Krankenkasse ein Ident-Verfahren. Damit ist die eGK für diese Versicherten im Prinzip ein Ausweisdokument. Für alle, die die ePA nicht nutzen wollten, war die Krankenkassenkarte dagegen kein wasserdichter Identitätsnachweis.
Was ist die Gematik?
- Die Gematik ist die Nationale Agentur für Digitale Medizin. Sie wurde 2005 von Gesundheitsorganisationen gegründet, um die digitale Infrastruktur im deutschen Gesundheitswesen voranzutreiben. Beteiligt sind unter anderem das Bundesgesundheitsministerium, die Bundesärztekammer, der Deutsche Apothekerverband, die Deutsche Krankenhausgesellschaft und die Kassenärztliche Bundesvereinigung.
Doch das wurde kaum thematisiert. Auch dann nicht, als man ab Sommer 2024 mit der Krankenkassenkarte elektronische Rezepte in Apotheken einlösen konnte. Ursprünglich sollte dies nur mit einer speziellen App möglich sein. Doch auf Betreiben der Kassenärztlichen Vereinigungen können nun auch mit Krankenkassenkarten Rezepte abgeholt werden. Das ist praktisch, weil nicht alle ein Smartphone besitzen und viele Menschen, die auf Medikamente angewiesen sind, nicht mehr so mobil sind. So können auch Angehörige Medikamente in der Apotheke abholen.
Auch der Zugang zur "ePA für alle" soll nun so gestaltet werden, dass möglichst viele Menschen sie nutzen. Dies ist dem amtierenden Bundesgesundheitsminister Karl Lauterbach (SPD) extrem wichtig. Die "ePA für alle" gehörte zu den Projekten, die er noch in der laufenden Legislaturperiode unbedingt umsetzen wollte. Allerdings ist den für die ePA Verantwortlichen bei Gematik, Krankenkassen und anderen Stellen erst seit circa Ende 2023 bekannt, dass es Anfang 2025 einen Systemwechsel bei der elektronischen Patientenakte geben wird und das Gesetz dazu wurde erst im April 2024 verabschiedet.
Somit blieben lediglich zehn Monate Zeit, um die aufwendige Umstellung des ePA-Systems zu bewerkstelligen. Bereits im März 2024 kritisierte der damalige Bundesbeauftragte für Datenschutz und Informationsfreiheit, Ulrich Kelber, dass die Gesetzgebung rund um die "ePA für alle" wichtige Risiken missachte, wie zum Beispiel, dass die Widerspruchslösung ein Absenken des Sicherheitsniveaus zur Regel mache und nicht, wie es eigentlich Standard ist, eine Ausnahme bleibt. Auch der Spitzenverband der Krankenkassen kritisierte den Fahrplan als zu ambitioniert. Wie ambitioniert, zeigt sich nun: Nicht alle Akten sind rechtzeitig startklar. Versicherte von AOK und Techniker Krankenkasse, die in den Testregionen wohnen, müssen noch warten.
ePA: Ein komplexes System
Der wichtigste Schritt für die Umstellung auf die "ePA für alle" sind die Spezifikationen für die IT-Architektur, die die Gematik erstellt. An diese Spezifikationen müssen sich alle Hersteller von Komponenten halten, die zur Telematikinfrastruktur gehören. Da die ePA sehr viele unterschiedliche Schnittstellen hat, müssen die Vorgaben dafür, wie diese Schnittstellen gestaltet werden sollen, auch von vielen unterschiedlichen Dienstleistern umgesetzt werden: über 160 Anbieter von Praxissoftwaresystemen, die beiden Anbieter von elektronischen Patientenakten (Rise und IBM), Tausende Arztpraxen, Apotheken und andere Teilnehmer des Gesundheitswesens sowie knapp 100 Krankenkassen – überall muss die Technik so gestaltet sein, dass Versicherte am Ende per Smartphone auf ihre eigene ePA zugreifen können. Eine hochkomplexe Mammutaufgabe.
Viele der Sicherheitsprobleme, die für die "ePA für alle" diskutiert werden, beziehen sich eigentlich gar nicht auf die IT der ePA direkt, sondern auf die Spezifikationen, an die sich die Hersteller der einzelnen Komponenten halten müssen, damit ihr Produkt für die Nutzung in der Telematikinfrastruktur zertifiziert ist. Damit sind die gefundenen Sicherheitsprobleme nicht harmlos, aber sie haben eine andere Qualität.
So ist es beispielsweise zwar theoretisch denkbar, dass die Schwachstelle beim Nummernkreis der elektronischen Gesundheitskarten, die oben beschrieben wurden, einen seriellen Zugriff auf alle ePAs von allen Versicherten ermöglichen würde. Aber praktisch würde ein solcher Angriff dadurch verhindert, dass unnatürliche Zugriffe vom System erkannt würden – zum Beispiel den Versuch, die Kartennummern chronologisch hochzuzählen, das heißt auf alle Akten gemäß ihrer Reihenfolge innerhalb kurzer Zeit zuzugreifen. Solche unnatürlichen Bewegungen würden in der Telematikinfrastruktur ein Alarmsignal auslösen und den Angriff vereiteln. Die Aussage, dass ein einzelner Angreifer leicht auf 70 Millionen Akten zugreifen könnte, ist somit realitätsfern. Das soll aber keine Relativierung des Problems sein - denn schon ein einziger Zugriff ist einer zu viel.
Es braucht unabhängige Testungen der ePA
Die Sicherheitsexpertinnen und -experten des Chaos Computer Clubs wollen mit ihrer Warnung vor allem auf ein anderes Problem hinweisen: Die technische Entwicklung der ePA sei intransparent. Anders als bei Software, deren Quellcode offenliegt, könnten unabhängige IT-Expertinnen und -Experten kaum nachvollziehen, an welcher Stelle der Programmierung ein Problem bestehe. Außerdem solle nach Ansicht der Expertinnen und Experten die Sicherheitstestung von TI-Komponenten wie der ePA bereits im Entwicklungsprozess stattfinden. So hätten die jetzt gefundenen Schwachstellen vermieden werden können.
Doch eine unabhängige Stelle, die die Überwachung angemessen übernehmen könnte, wurde nicht geschaffen. So haben alle, die die Sicherheit der ePA testen wollen, mit der Schwierigkeit zu kämpfen, sich zuerst in ein überaus komplexes, intransparentes System einarbeiten zu müssen. Das erschwert die unabhängige Beurteilung von Risiken und deren Akzeptanz. Mit dieser Abwägung ist zum Beispiel gemeint, dass ein bekanntes Risiko, das im Ernstfall eine Handvoll Nutzerinnen und Nutzer betreffen würde, gegen den Nutzen abgewogen werden muss, der bei Behebung des Risikos für 70 Millionen Versicherte infrage stünde. Die Sicherheitsforschenden fordern, dass die Gematik solche Sicherheitsrisiken dokumentiert und mit unabhängigen Forschenden und Gremien gemeinsam diskutiert.
Die Gematik als zuständige Agentur gab am 27.12.24 bekannt, noch vor dem flächendeckenden bundesweiten Rollout die von Expertinnen und Experten gefundenen Sicherheitsprobleme beheben zu können. Kurz gesagt sind damit robustere Verschlüsselungen und Mengenbegrenzungen bei den Prüfnachweisen der Identitätskomponenten der Praxen gemeint. In der Testphase, an der 300 Praxen teilnehmen, bedeutet das, dass außer diesen Praxen niemand auf die "ePA für alle" zugreifen können wird.
Das ist an sich eine gute Nachricht. Auch, weil diese Maßnahmen in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und unabhängigen Sicherheitsforschenden abgestimmt waren.
In einem offenen Brief an Bundesgesundheitsminister Lauterbach fordern circa 30 Organisationen und etliche Einzelpersonen, darunter der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber, dass alle jetzt diskutierten Sicherheitsbedenken unter Einbeziehung der Zivilgesellschaft transparent behoben werden müssen.
Fazit
Die Diskussionen rund um Sicherheitsfragen bei der "ePA für alle" wären vermeidbar gewesen, wenn man sich bei der Entwicklung an Projekten wie beispielsweise der Corona-Warn-App orientiert hätte. Ihr Quellcode wurde im Open-Source-Verfahren offengelegt, sodass zahlreiche Expertinnen und Experten die App gemeinsam weiterentwickeln konnten. Anwendungen, die auf diese Weise entwickelt werden, haben erfahrungsgemäß weniger Probleme und werden von den Nutzenden besser angenommen.
Wenn es dem Bundesgesundheitsminister also wirklich darum geht, dass die "ePA für alle" sowohl die Gesundheitsversorgung der Patientinnen und Patienten verbessert als auch höchsten Sicherheitsstandards gerecht wird, müsste er der Umstellung der aktuellen ePA-Version zumindest mehr Zeit zugestehen, damit die bereits bekannten Probleme noch vor dem flächendeckenden Rollout unter Einbeziehung von BSI, Gematik-Beirat und unabhängigen Sicherheitsforschenden behoben werden können. Noch besser wäre es aber, generell mehr Transparenz zu gewährleisten, damit die Qualität der ePA-Technik vernünftig kontrolliert werden kann.
Über RiffReporter
- Dieser Beitrag stammt vom Journalismusportal RiffReporter.
- Auf riffreporter.de berichten rund 100 unabhängige JournalistInnen gemeinsam zu Aktuellem und Hintergründen. Die RiffReporter wurden für ihr Angebot mit dem Grimme Online Award ausgezeichnet.
Verwendete Quellen
- BR24: Hacker enthüllen Sicherheitslücken bei digitaler Patientenakte
- Ärzteblatt: Elektronische Patientenakte: Bundesweiter Roll-out hängt an Erfolg der Testphase
- CCC: "Konnte bisher noch nie gehackt werden": Die elektronische Patientenakte kommt - jetzt für alle!
- Zeit: Warnungen von Experten wurden monatelang ignoriert
- Deutsche Apotheker-Zeitung: ePA: Datenschutzbeauftragter hat "erhebliche Bedenken"
- Heise: Elektronische Patientenakte: Kurz vor Start erstes Aktensystem zugelassen
- Kassenärztliche Bundesvereinigung: Praxissoftwaresysteme
- Gematik: Stellungnahme zum CCC-Vortrag zur ePA für alle
© RiffReporter
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.