70 Millionen Patientendaten: IT-Experten wollen Schwachstellen der elektronischen Patientenakte gefunden haben

Die elektronische Patientenakte (ePA) soll massive Sicherheitslücken haben. Auf dem Chaos Communication Congress in Hamburg haben IT-Sicherheitsexperten erklärt, dass die aktuelle Architektur der ePA potenziellen Angreifern den Zugriff auf Gesundheitsdaten von bis zu 70 Millionen Versicherten ermöglicht – ohne das Einlesen einer Gesundheitskarte.

Die ePA wurde 2021 eingeführt und soll ab 2025 automatisch allen gesetzlich Versicherten zur Verfügung stehen. Standardmäßig werden Diagnosen, Laborergebnisse und andere medizinische Informationen dort gespeichert. Das soll die Behandlung für Patienten verbessern und den Aufwand für Ärzte verringern. Das Bundesgesundheitsministerium hebt die Sicherheit der gespeicherten Daten hervor, die durch Ende-zu-Ende-Verschlüsselung gewährleistet sein soll.

Doch die IT-Experten Bianca Kastl und Martin Tschirsich bezweifeln diese Sicherheitsversprechen. Sie demonstrierten auf dem Hacker-Kongress, wie sie an gültige Heilberufsausweise sowie Gesundheitskarten Dritter gelangten. Auch der Fernzugriff auf elektronische Patientenakten sei ihnen gelungen. Unabhängig überprüfen lassen sich die Angaben zu Sicherheitsmängeln nicht.

Die Experten fordern eine unabhängige Überprüfung der ePA-Sicherheitsarchitektur und eine Aufklärung über bestehende Risiken. „Nur eine belastbare Absicherung der ePA kann das nötige Vertrauen schaffen“, mahnen sie. Vertrauen sei die Grundlage dafür, dass Versicherte und Leistungserbringer die digitale Akte akzeptieren und nutzen.

Der Chaos Communication Congress ist ein mehrtägiges Treffen der internationalen Hackerszene in Deutschland, das vom Chaos Computer Club (CCC) seit 1984 ausgerichtet und organisiert wird. Die Hacker widmen sich dort neben technischen Problem immer auch gesellschaftspolitischen, und insbesondere datenschutzrechtlichen Themen. (Trf)