Elektronische Patientenakte: Keine Verantwortung, nirgends

2 hours ago 7
Politik Rentenreform
Artikel Bild

Vor einer Woche fanden IT-Fachleute erneut gravierende Sicherheitslücken in der elektronischen Patientenakte. Bislang wollen aber weder das Gesundheitsministerium noch die Gematik dafür die Verantwortung übernehmen. Unklar ist damit auch, wie sich ähnliche Fehler künftig vermeiden lassen.

Karl Lauterbach von der Seite und vor grauem HintergrundKarl Lauterbach will sich nun stärker der Kommunalpolitik zuwenden. – Alle Rechte vorbehalten IMAGO / dts Nachrichtenagentur

Die Bewährungsprobe währte kaum mehr als 24 Stunden. Am vergangenen Mittwoch berichtete der Spiegel, dass die elektronische Patientenakte (ePA) erneut eine gravierende Sicherheitslücke aufweist. Nur einen Tag zuvor, am 29. April, war die ePA bundesweit ausgerollt worden.

Die Entscheidung dafür war quasi die letzte Amtshandlung des scheidenden Bundesgesundheitsministers Karl Lauterbach (SPD). Zwei Wochen zuvor hatte er noch versichert, dass die ePA nun „extrem sicher“ sei – ja, im internationalen Vergleich sei sie „eine der sichersten, vielleicht die sicherste elektronische Patientenakte“.

Tatsächlich aber brauchten die Sicherheitsexpert:innen Bianca Kastl, Martin Tschirsich und Christoph Saatjohann nur wenige Stunden, um die neu hinzugefügten Sicherheitsvorkehrungen auszuhebeln und damit das vollmundige Sicherheitsversprechen Lauterbachs zu widerlegen. Die Hürden waren offenkundig nicht besonders hoch. Man habe zwar ein zusätzliches Vorhängeschloss angebracht, so Martin Tschirsich gegenüber dem Spiegel, den Schlüssel allerdings weiterhin unter die Fußmatte gelegt.

Es ist offensichtlich, dass die eklatanten Sicherheitsmängel technische wie politische Ursachen haben. Um sie zu beseitigen, bräuchte es die Bereitschaft, Verantwortung zu übernehmen. Doch auch eine Woche nach den Enthüllungen ist davon nichts zu erkennen.

Neue alte Unsicherheit

Eigentlich hatte das Bundesgesundheitsministerium den landesweiten ePA-Start bereits für den 15. Februar geplant. Der Rollout hatte sich jedoch verzögert, nachdem die Sicherheitsfachleute des CCC im Dezember vergangenen Jahres zahlreiche Sicherheitslücken im ePA-System offengelegt hatten.

Daraufhin wurden weitere Sicherheitsvorkehrungen implementiert. So müssen Leistungserbringer neben der Kartennummer und der Krankenversicherungsnummer nun auch einen sogenannten hash check value (hcv) eingeben, um auf die in der ePA hinterlegten Daten zugreifen zu können. Dieser Prüfwert errechnet sich aus der Wohnadresse einer versicherten Person und deren Versicherungsbeginn. Offenbar ging man davon aus, dass Dritte insbesondere den Versicherungsbeginn nicht ohne weiteres ermitteln können.

Doch die Sicherheitsfachleute des CCC fanden einen Weg über die sogenannte elektronische Ersatzbescheinigung (eEB). Diesen digitalen Versicherungsnachweis können Praxen etwa dann anfordern, wenn Patient:innen ihre Gesundheitskarte daheim vergessen haben oder diese vor Ort nicht eingelesen werden kann.

Die entsprechende Schnittstelle nutzten die Sicherheitsfachleute, um gezielt Daten einzelner Versicherter abzurufen – weitgehend automatisch und ohne Begrenzung. Das dafür erforderliche Computerprogramm hat Christoph Saatjohann, Professor für IT-Sicherheit an der FH Münster, nach eigenen Angaben innerhalb von „ein bis zwei Stunden“ erstellt. Auf diese Weise wäre es den Hackern auch möglich gewesen, den in der ePA hinterlegten Daten einer versicherten Person zu verfälschen.

Dass die Sicherheitslage damit wieder ähnlich prekär wie im vergangenen Dezember ist, musste indirekt auch die Gematik einräumen. Die mehrheitlich bundeseigene Digitalagentur ist für die technische Umsetzung der ePA zuständig. Sie sprach zwar erneut verharmlosend von einem „theoretischen“ Risiko, schaltete aber zugleich als „erste Sofortmaßnahme“ das eEB-Modul ab.

Karl Lauterbach taucht ab

Karl Lauterbach widersprach derweil seinem eigenen Sicherheitsversprechen. „In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen“, so der Minister lapidar. Warum aber wurde die ePA dann schon bundesweit ausgerollt? Und wie lässt sich ein weiterer Sicherheits-GAU für die Zukunft vermeiden?

Hinter diesen Fragen steht die eigentliche Frage: Wer übernimmt für die wiederholt auftretenden Sicherheitslücken die Verantwortung? Schließlich handelt es sich bei der ePA um „das größte Digitalisierungsprojekt“ bundesdeutscher Geschichte, wie Lauterbach selbst betont, das die besonders sensiblen Gesundheitsdaten von rund 70 Millionen Bundesbürger:innen „sicher und geschützt“ verwahren soll.

Lauterbach selbst hatte Mitte April den Startschuss für den bundesweiten ePA-Rollout gegeben. Damals versicherte der Minister, dass alle Sicherheitsprobleme ausgeräumt seien. „In Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik konnten Sicherheitsmaßnahmen umgesetzt werden, die Voraussetzung für die bundesweite Nutzung sind“, heißt es in einem Brief an die Gematik.

Obwohl dies offenkundig eine fatale Fehleinschätzung war, hat sich Lauterbach in der vergangenen Woche nicht weiter zu den Sicherheitslücken der ePA geäußert. Stattdessen gab er zu Protokoll, sich nach dem Ausscheiden aus dem Ministeramt nun verstärkt den kommunalen Belangen seiner Heimatstadt Köln zuzuwenden.

Gezielte Entmachtung von BSI und BfDI

Auch die Gematik zeigt sich von den Geschehnissen weitgehend unbeeindruckt. Sie betont, dass die ePA weiterhin jenen „höchsten und modernsten Sicherheitsstandards“ gerecht werde, die die Agentur mit dem BSI und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) abgestimmt habe.

In der Tat hatte das Gesundheitsministerium, nachdem Kastl und Tschirsich im Dezember die ersten ePA-Sicherheitslücken öffentlich gemacht hatten, das BSI zu einer sogenannten Sicherheitsbewertung aufgefordert. Allerdings ist die Gematik nicht verpflichtet, die darin formulierten Maßnahmen auch umzusetzen. Stattdessen muss sich die Digitalagentur laut Sozialgesetzbuch V mit dem BSI und der BfDI nur ins „Benehmen“ setzen. Die beiden Bundesbehörden dürfen also nur mitwirken, aber nicht mitentscheiden.

Für diese arg begrenzte Mitwirkung hat Karl Lauterbach höchstpersönlich gesorgt. Dem Gesundheitsminister waren die „klassischen Vetorechte“ beider Bundesbehörden ein Dorn im Auge. Den Entscheidungsprozess im Gesundheitswesen wollte er daher „breiter“ aufstellen. Gemäß dem Ende 2023 verabschiedeten Digital-Gesetz muss die Gematik seitdem „Festlegungen und Maßnahmen [], die Fragen der Datensicherheit berühren“ nicht länger „im Einvernehmen“, sondern nur noch „im Benehmen“ mit dem BSI und der BfDI treffen.

Die offene Frage nach der Verantwortung

Entsprechend deutlich betont das BSI aktuell, dass aus seiner Sicht „bei vollständiger Implementierung aller Mitigationsmaßnahmen ein angemessen sicherer Betrieb der elektronischen Patientenakte gewährleistet ist“. Für die „vollständige Implementierung“ sei aber nicht die Bundesbehörde, sondern der Betreiber der elektronischen Patientenakte zuständig – also die Gematik.

Wir haben die Gematik gefragt, ob sie sämtliche Maßnahmen, die das BSI in seiner Sicherheitsbewertung vorschlug, auch umgesetzt hat. Sie hat allerdings nur bestätigt, dass sie mit dem Bundesgesundheitsministerium und dem BSI „ein Maßnahmenpaket“ entwickelt habe, „das auch die Punkte des CCC adressiert“. Außerdem erarbeite sie „fortlaufend weitere Maßnahmen, um missbräuchliche Zugriffe künftig noch besser zu erkennen, zu verhindern und zu sanktionieren.“ Der von uns gestellten Frage wich die Digitalagentur aus – und damit auch der nach ihrer Verantwortung für die Sicherheitslücken.

Eine gute Nachricht hielt die vergangene Woche aber immerhin bereit. Dem BSI zufolge gibt es bereits „eine endgültige technische Lösung für die bislang skizzierten Angriffsszenarien“. Das Konzept „Proof of Patient Presence“ (PoPP) sieht demnach vor, dass sich Versicherte in der Arztpraxis persönlich identifizieren müssen, bevor Daten aus ihrer ePA abgefragt werden können. Allerdings könne die Gematik die Sicherheitsvorkehrung nicht vor dem Jahr 2026 implementieren.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Teilen:
Gesamten Artikel lesen

Ähnliche Artikel

E-Book-Reader: eine Übergangslösung

E-Book-Reader: eine Übergangslösung

Mehr lesen
Mein E-Book Reader ist kaputt

Mein E-Book Reader ist kaputt

Mehr lesen
Meine persönliche Erfahrung mit Nextcloud – Ein Kommentar

Meine persönliche Erfahrung mit Nextcloud – Ein Kommentar

Mehr lesen
Konkurrenz für Apple Pay: Paypal ermöglicht kontaktloses Bezahlen an der Ladenkasse

Konkurrenz für Apple Pay: Paypal ermöglicht kontaktloses Bezahlen an der Ladenkasse

Mehr lesen
Ückück und das Fediverse: Sind wir wirklich (nur) eine Alternative?

Ückück und das Fediverse: Sind wir wirklich (nur) eine Alternative?

Mehr lesen
Künstliche Intelligenz: Umfrage: Abhängigkeit von ausländischen KI-Anbietern zu hoch

Künstliche Intelligenz: Umfrage: Abhängigkeit von ausländischen KI-Anbietern zu hoch

Mehr lesen