Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt.

Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.

Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.

Die Sicherheitslücken betrafen die Ausgabepro­zesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.

„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.

Eine Kaskade an Problemen

Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.

Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.

„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.

So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.

EUDI-Wallet: Fehler, die sich wiederholen

Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.

Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.

Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.

Signierte Daten, bitte schnell

In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.

Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“

Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.

Sichere Kanäle versus signierte Daten

Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.

Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).

Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.

Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.

Kritik von vielen Seiten

Dieses Siegel macht die Daten allerdings auch überaus wertvoll für Datenhandel und Identitätsdiebstahl, so die Warnung der Bundesdatenschutzbeauftragten, mehrerer Sicherheitsforscher:innen und zivilgesellschaftlicher Organisationen.

Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“.

Und der Verbraucherschutz Bundesverband sprach sich im November 2024 in einem Gutachten ebenfalls klar gegen signierte Daten aus.

Risiken werden individualisiert

An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.

Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.

Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Unmittelbar vor der Pilotphase der elektronischen Patientenakte richten sich knapp 30 zivilgesellschaftliche Organisationen in einem offenen Brief an den Gesundheitsminister. Sie fordern, alle berechtigten Sicherheitsbedenken „glaubhaft und nachprüfbar“ auszuräumen und machen Lauterbach ein Gesprächsangebot.

Der Bundesgesundheitsminister wirbt derzeit verstärkt um Vertrauen: Die „elektronische Patientenakte für alle“ (ePA) sei sicher, versichert Karl Lauterbach (SPD) kurz vor Start der Pilotphase der ePA am 15. Januar. Das digitale Großprojekt werde „nicht ans Netz gehen, wenn es auch nur ein Restrisiko für einen großen Hackerangriff geben sollte“.

Ende Dezember hatten zwei Sicherheitsforschende auf dem Chaos Communication Congress gleich mehrere Sicherheitslücken der ePA vorgestellt. Angreifende könnten aus der Ferne auf jede beliebige ePA zugreifen, so ihr Fazit.

Knapp drei Wochen später ist Karl Lauterbach davon überzeugt, dass alle für die Pilotphase relevanten Baustellen geschlossen sind. Bis zum bundesweiten Rollout gebe es nur noch technische „Kleinigkeiten“ zu lösen, so der Minister vor wenigen Tagen bei einem Pressetermin.

Forderung nach Sicherheitsgarantien

Diese Zusage reicht knapp 30 Organisationen und Verbänden offenkundig nicht aus. In einem offenen Brief formulieren sie fünf notwendige Maßnahmen, die gewährleisten, dass „die ePA langfristig zu einem Erfolg werden kann“. Zu den Unterzeichnern gehören unter anderem der Chaos Computer Club, der Deutsche Paritätische Wohlfahrtsverband, der Verbraucherzentrale Bundesverband, der Innovationsverbund Öffentliche Gesundheit (InÖG), der Deutsche Rheuma-Liga Bundesverband und die Deutsche Aidshilfe.

Sie fordern, dass vor einem bundesweiten Start der ePA „alle berechtigten Bedenken … glaubhaft und nachprüfbar ausgeräumt werden“. Dafür müssten Patient*innen, Ärzt*innen und Organisationen der digitalen Zivilgesellschaft „substanziell“ einbezogen werden. Erst nach „einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen“ dürfe der bundesweite ePA-Start erfolgen, so die Unterzeichner.

Über die Testphase hinaus sollten Expert*innen aus Wissenschaft und Zivilgesellschaft unabhängige Sicherheitsprüfungen durchführen. Da Sicherheitslücken selbst dann nicht ausgeschlossen seien, müssten Risiken immer transparent kommuniziert werden. Außerdem brauche es einen offenen Prozess der Weiterentwicklung. Dieser Prozess sollte auch die Kritik vieler Organisationen aufgreifen, die die Verantwortlichen bislang nicht berücksichtigt haben.

Offener Brief als Gesprächsangebot

„Wir tun gut daran, Gesundheitssysteme nicht aus Sicht der Mehrheit zu denken, sondern aus Sicht derer, die von solchen Systemen diskriminiert werden“, sagt Bianca Kastl. Sie ist Vorsitzende des InÖG und Kolumnistin bei netzpolitik.org. „Unsichere und nicht an den individuellen Bedarf nach Vertraulichkeit angepasste Lösungen schließen gerade diejenigen Menschen aus, die am meisten von der Digitalisierung des Gesundheitswesens profitieren könnten“.

Seit langem kritisieren zivilgesellschaftliche Organisationen etwa die vollständige Medikationsübersicht in der ePA. „Aus dieser Liste gehen sensible Infos hervor, die Patient*innen berechtigterweise nicht mit allen Ärzt*innen teilen möchten, weil sie Diskriminierung zu fürchten haben“, sagt Manuel Hofmann, Fachreferent für Digitalisierung bei der Deutschen Aidshilfe. „Man denke an HIV-Medikamente oder Psychopharmaka.“

Ihren Brief verstünden die Organisationen als ein Gesprächsangebot, um die Weiterentwicklung der ePA konstruktiv mitzugestalten, sagt Hofmann. „Wenn wir langfristig gute Lösungen etablieren wollen, müssen verschiedene Perspektiven und Interessen in Einklang gebracht werden. Dafür müssen Gesprächsangebote aber auch angenommen werden“, so Hofmann.

---

Offener Brief im Wortlaut

---

Sehr geehrter Herr Bundesminister Lauterbach,

wir sind überzeugt, dass Deutschland und Europa eine gut gemachte digitale Infrastruktur des Gesundheitswesens benötigen und eine patient*innenorientierte ePA dazu einen wesentlichen Beitrag leisten kann. In den weiteren Entwicklungsprozess möchten wir uns daher konstruktiv einbringen. Zum Start der ePA haben wir zum jetzigen Zeitpunkt allerdings erhebliche Bedenken.

Sicherheitsforscher*innen zeigten Ende 2024 auf dem Kongress des Chaos Computer Clubs gravierende Sicherheitslücken der ePA und der zugehörigen IT-Infrastruktur. In Kombination hätten diese Lücken Unbefugten einen Vollzugriff auf die Patient*innenakten aller 70 Millionen gesetzlich Versicherten erlaubt. Darüber hinaus sind wesentliche Schwächen im Umfeld der ePA weiterhin ungelöst, zum Beispiel Prozesse der Ausgabe von Gesundheitskarten.

Alle berechtigten Bedenken müssen vor einem bundesweiten Start der ePA glaubhaft und nachprüfbar ausgeräumt werden. Die nun gefundenen Sicherheitslücken zu schließen, ist dafür eine grundlegende Voraussetzung, aber alleine nicht ausreichend.

Die Bereitstellung einer Testinstanz der geplanten Infrastruktur sowie die Einführung über eine Testphase begrüßen wir. Das aktuelle Beispiel zeigt, wie Sicherheitslücken vor dem Start identifiziert werden können statt – wie bei ähnlichen Projekten in der Vergangenheit – erst im laufenden Betrieb. Ein Datenleck konnte so verhindert werden. Eine öffentliche Begutachtung durch Wissenschaft, zivilgesellschaftliche Akteur*innen und unabhängige Expert*innen ist eine wichtige Kontrollinstanz. Auf diese Weise werden Risiken im Vorfeld identifiziert, beseitigt und so letztlich auch das Vertrauen in die ePA gestärkt.

Damit die ePA langfristig zu einem Erfolg werden kann, sind aus unserer Sicht folgende Maßnahmen notwendig:

1. Der Start in den Modellregionen darf nur unter zusätzlichen Sicherheitsmaßnahmen erfolgen, die eine unmittelbare Ausnutzung der bekannten Lücken verhindern. Diese sind transparent zu kommunizieren. Grundsätzlich begrüßen wir den Start in Modellregionen, um die ePA schrittweise zu erproben.
2. Bei der Bewertung des ePA-Starts in den Modellregionen müssen Patient*innen, Ärzt*innen und Organisationen der digitalen Zivilgesellschaft substanziell einbezogen werden. Hierfür braucht es ein echtes Mitspracherecht für diese Akteure, statt eines bloßen Rederechts für einzelne Organisationen in den Gremien der Gematik. Ein bundesweiter Start darf erst nach einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen erfolgen.
3. Expert*innen aus Wissenschaft und Digitaler Zivilgesellschaft müssen die Möglichkeit erhalten, eine belastbare Bewertung von Sicherheitsrisiken vorzunehmen, zum Beispiel durch Veröffentlichung aller Quelltexte, Bereitstellung einer Testumgebung und transparente Kommunikation von Updates. Dazu gehört auch eine rechtliche Absicherung der Arbeit von Sicherheitsexpert*innen sowie die Förderung unabhängiger Sicherheitschecks.
4. Sicherheitslücken können bei technischen Systemen generell nie ausgeschlossen werden. Daher müssen neben den Vorteilen einer ePA den Nutzer*innen auch Risiken transparent gemacht werden. Unter anderem müssen die Krankenkassen dem Auftrag nachkommen, ihre Versicherten neutral zu informieren. Eine pauschale Aussage wie „Die ePA ist sicher.“ ist ungeeignet. Das Vertrauen der Versicherten in die Datensicherheit der ePA kann nur mit maximaler Transparenz über die getroffenen Maßnahmen gewonnen beziehungsweise wiederhergestellt werden.
5. Viele Organisationen haben sich in den Entwicklungsprozess der ePA eingebracht und Kritik geäußert, zum Beispiel an Mängeln im Berechtigungsmanagement. Diese Kritik spiegelt berechtigte Interessen Betroffener. Die genannten Aspekte müssen zeitnah aufgegriffen und berücksichtigt werden. Auch nach dem Start der ePA muss es dauerhaft einen offenen Prozess der Weiterentwicklung geben, um unterschiedliche Interessen miteinander in Einklang zu bringen und in die weitere Planung und Umsetzung zu integrieren. Ziel muss eine ePA sein, die einen größtmöglichen Nutzen für Patient*innen und Leistungserbringer*innen gleichermaßen hat und sich so positiv auf Gesundheitswesen und Gesellschaft auswirkt.

In einen konstruktiven Prozess, der den Nutzen für Patient*innen in den Vordergrund stellt, bringen wir uns gerne ein.

Mit freundlichen Grüßen

Mitzeichnende Organisationen in alphabetischer Reihenfolge

1. AG KRITIS
2. Ärzteverband MEDI Baden-Württemberg
3. BAG Selbsthilfe
4. Berufsverband Deutscher Psychologinnen und Psychologen e. V. (BDP)
5. Björn Steiger Stiftung
6. Bundesverband Neurofibromatose
7. Bündnis für Datenschutz und Schweigepflicht (BfDS)
8. Chaos Computer Club
9. D64 – Zentrum für digitalen Fortschritt
10. Deutsche Aidshilfe
11. Deutsche Alzheimer Gesellschaft­­
12. Deutsche DepressionsLiga
13. Deutsche Hörbehinderten Selbsthilfe (DHS)
14. Deutsche Multiple Sklerose Gesellschaft, Bundesverband
15. Deutsche Rheuma-Liga Bundesverband
16. Deutscher Paritätischer Wohlfahrtsverband – Gesamtverband
17. dieDatenschützer Rhein Main
18. Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF)
19. Freie Ärzteschaft e. V.
20. Gen-ethisches Netzwerk
21. Humanistische Union
22. Innovationsverbund Öffentliche Gesundheit (InÖG)
23. Kinder- und JugendlichenpsychotherapeutInnen in Westfalen-Lippe e.V.
24. LAG Selbsthilfe Rheinland-Pfalz
25. Landesvereinigung Selbsthilfe Berlin
26. Patientenrechte und Datenschutz e. V.
27. SUPERRR Lab
28. Verbraucherzentrale Bundesverband

Einzelpersonen in alphabetischer Reihenfolge

1. Kristina Achterberg, Kinder- u. Jugendlichenpsychotherapeutin, Kösching
2. Matthias Bauer, Kinder- u. Jugendlichenpsychotherapeut, Kösching
3. Regine Bielecki, Psychologische Psychotherapeutin, Mönchengladbach
4. Anke Domscheit-Berg, Abgeordnete des Bundestages und Digitalpolitische Sprecherin der Gruppe DIE LINKE im Bundestag
5. Prof. Dr. rer. nat. Peter Gerwinski, Arbeitsgruppe Hardwarenahe IT-Systeme, Hochschule Bochum – Technik, Wirtschaft, Gesundheit
6. Juliane Göbel, Psychotherapeutin, Bernstadt auf dem Eigen
7. Katharina Groth, Psychologische Psychotherapeutin, Geisenheim
8. Sabine Grützmacher, MdB, Bündnis 90/Die Grünen
9. Dr. Sven Herpig, Lead for Cybersecurity Policy and Resilience, interface
10. Prof. Ulrich Kelber, Parlamentarischer Staatssekretär a.D.
11. Julia Rasp, Psychotherapeutin in Ausbildung
12. Elisabeth Reich, Psychologische Psychotherapeutin, Marburg
13. Thomas Schäfer, Bündnis 90/Die Grünen, Sprecher der Bundesarbeitsgemeinschaft Digitales und Medien, München
14. Katharina Schwietering, Psychotherapeutin, Pinneberg
15. E. Walther, Psychotherapeutin
16. Katharina Wendling, Psychologische Psychotherapeutin, Köln
17. Benedikt Wildenhain, Wissenschaftlicher Mitarbeiter, Hochschule Bochum

Der offene Brief mit allen Unterzeichnenden und Zitaten ist hier veröffentlicht.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Digitalisierungslösungen im Gesundheitsbereich sind entscheidende Technologien für eine moderne Gesundheitsversorgung. Sie unterstützen Forschende, Krankheiten besser und schneller zu verstehen und zu behandeln. Gleichzeitig werden im Gesundheitsbereich die sensibelsten personenbezogenen Daten verarbeitet.

Die heutige Degitalisierung möchte ich einleiten mit den Worten der aktuellen Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI), Louisa Specht-Riemenschneider. Aus ihrer Vorstellung in der Bundespressekonferenz ist bei mir vor allem der Gedanke der Gleichzeitigkeit hängen geblieben, der uns in der durchaus turbulenten Zeit für die Digitalisierung des Gesundheitswesens helfen kann.

Nach dem Talk zur elektronischen Patientenakte auf dem 38C3, dem letzten Chaos Communication Congress, wurden meinem „Partner in Crime“ Martin Tschirsich und mir durchaus viele Fragen gestellt, speziell zur Informationssicherheit des Konstrukts der sogenannten ePA für alle. Es gibt gerade viel Berichterstattung, das Narrativ der sicheren Patientenakte wird zumindest stark infrage gestellt.

Nicht selten folgt darauf immer wieder die Frage: Wenn jetzt beispielsweise die gematik gewisse Maßnahmen umsetzt, sind wir dann sicher? Ich glaube nicht, dass sich diese Frage mit Ja oder Nein beantworten lässt. Die Frage nach Informationssicherheit lässt sich aber auch nicht mit einem „hundertprozentige Sicherheit gibt es eh nicht“ wegwischen. Das ist oftmals eine faule Ausrede, technischen, organisatorischen und tiefergehenden strukturellen Murks durchgehen zu lassen, was uns am Ende nur allen gemeinsam schadet.

Weil es so scheint, dass Informationssicherheit in diesen Tagen, speziell im Kontext des digitalen Gesundheitswesens in Deutschland, immer noch in den Kinderschuhen steckt, muss ich dazu heute wieder auf diesen Aspekt der Gleichzeitigkeit hinweisen. Bisher scheinen wir nicht wirklich von einer Gleichzeitigkeit von erwünschten Vorteilen und damit unweigerlich verbundenen Nachteilen auszugehen, das aber nicht nur im digitalen Gesundheitswesen.

16.000 bis 58.000

In den letzten Tagen wird Gesundheitsminister Karl Lauterbach nicht müde zu erwähnen, dass wir jetzt die Digitalisierung des Gesundheitswesens brauchen. Weil dadurch zum Beispiel zehntausende Todesfälle wegen Medikamentenunverträglichkeiten vermieden werden könnten. Anfang Januar sprach er von Zehntausenden vermeidbaren Todesfällen in den Tagesthemen und wird nicht müde, dies immer wieder zu wiederholen.

Eine mögliche Vermeidung von Todesfällen durch Medikamentenunverträglichkeit, sei es durch Doppelverschreibungen oder Verschreibung von Medikamenten mit Wechselwirkungen, ist nicht unrealistisch, wenn es gut läuft. Das kann daher als großer Nutzen der Funktion der elektronischen Medikationsliste der ePA gesehen werden.

Aber: Bereits die konkrete Zahl, wie viele Todesfälle durch Medikamentenunverträglichkeit genau jährlich in Deutschland auftreten und damit anteilig vermieden werden könnten, ist nicht genau belegbar. Laut Auswertungen der Wissenschaftlichen Dienste des Bundestages von 2020 liegt die Zahl der Todesfälle durch Medikamentenunverträglichkeit zwischen 16.000 und 58.000, die Wissenschaftlichen Dienste attestierten auch, dass genaue Daten diesbezüglich nicht existieren.

Es gibt hier also ein digitales Präventionsparadox: Die Größe des zu lösenden Problems, das durch Digitalisierung reduziert werden soll, kann mangels Digitalisierung nicht genau bestimmt werden. Gleichzeitig können wir wohl aber alle darin übereinstimmen, dass es sinnvoll ist, Digitalisierung dazu sinnstiftend nutzen zu wollen, um die Zahl von Todesfällen durch Medikamentenunverträglichkeit mittels Digitalisierung senken zu wollen.

70.000.000

Kurz vor Einführung der ePA für alle zeigt das Dashboard der gematik die ziemlich genaue Zahl von bisher 1.907.784 ePAs in der bisher laufenden Form der ePA als Opt-in. Eine Form der ePA, die sich also immerhin etwa 1,9 Millionen Menschen aktiv beschafft haben.

Die genaue Anzahl der möglicherweise bald entstehenden ePa für alle ist nicht ganz so einfach zu bestimmen. Aber irgendwie brauchen Menschen im Bereich von Sicherheitslücken ja immer eine Orientierung, wie groß ein digitales Problem überhaupt ist. Wie groß die Gleichzeitigkeit des Problems also ist, denn das ist das besondere bei digitalen Sicherheitslücken: Es sind oftmals die Daten vieler Menschen gleichzeitig betroffen.

Für unseren Talk haben wir versucht, in etwa zu schätzen, wie viele Menschen wohl zum Start der ePA für alle, der Opt-out-ePA, aktiv zum Start widersprechen würden. Also mal angenommen, wir hätten jetzt nicht ein paar größere bis massive Mängel vorher transparent gemacht.

Aus den Kreisen der Krankenkassen wurde Ende Oktober eine eher niedrige Widerspruchsrate von wenigen Prozent vermeldet. Das Bundesgesundheitsministerium vermeldet Stand Februar 2024 etwa 74,3 Millionen Versicherte. Mit ein paar Prozent weniger sind wir dann bei gerundet 70 Millionen ePAs für alle, die ein mögliches Ziel darstellen. Gleichzeitig können wir also wohl darin übereinstimmen, dass der Missbrauch von Gesundheitsdaten bereits durch technische Maßnahmen bestmöglich verhindert werden muss. Nicht nur für „große“ Hackerangriffe auf Millionen auf einmal, wie Lauterbach immerhin inzwischen selbst postuliert, sondern auch für jeden kleinen Angriff auf einzelne Akten.

Es wäre zu vermuten, dass ein technisches Risiko für 70 Millionen Menschen gleichzeitig relativ schnell beseitigt werden würde, wenn es bekannt würde. Nun, massive Sicherheitsmängel im Versichertenstammdatendienst (VSDM), die wir im August an die gematik gemeldet haben, wurden erst dann begonnen zu beheben, als wir mehr Fakten für einen möglichen erfolgreichen Angriff geschaffen haben. Denn erst mit dem praktischen Nachweis wird hektisch gehandelt, um es mit den Worten von Martin in der taz zu sagen. Anders leider nicht. Es ist auch egal, wenn gerade in diesem Moment der Fachdienst zum E-Rezept von der Lücke in VSDM ebenfalls betroffen ist, was jüngst von Seiten der BfDI bestätigt wurde.

In einer Studie zum Opt-out einer elektronischen Patientenakte der Bertelsmann-Stiftung von 2023 wird in Aussagen von Experteninterviews darauf hingewiesen, dass „polarisierende Berichterstattung über angebliche Datenlecks (CCC) kontraproduktiv“ sei. Mit Verlaub, alle anderen Möglichkeiten, um massive Sicherheitslücken zu schließen, waren nicht produktiv. Lediglich die Veröffentlichung und deutliche Illustration der Sicherheitsprobleme mit konkreten Zahlen zum Schaden und Aufwand hat zu einem Handeln geführt.

Eine Sicherheitskultur, die solche Probleme stillschweigend im Hintergrund gelöst hätte, ganz ohne medialen Aufschrei, war leider nicht vorhanden – wieder einmal. Gleichzeitig können wir polarisierende Berichterstattung kontraproduktiv finden, aber auch anerkennen, dass sich ohne eben diese Polarisierung nichts Produktives an der Sicherheit der ePA für alle getan hätte.

Von der gleichzeitigen Gefahr der Anklage nach Hackerparagrafen wollen wir mal gar nicht reden. Diese Gefahr für Hacker*innen, die sich klar ethisch verhalten, steht nach wie vor im Raum, Gesetzentwürfe zur Verbesserung dieser Situation hängen weiter fest.

35 Prozent

Die ePA für alle wurde ganz bewusst als eher sehr zentrale Architektur geplant. Aktensysteme, die auf Servern von Krankenkassen Gesundheitsdaten von Millionen Versicherten zentral speichern, gleichzeitig. Ein Forschungsdatenzentrum Gesundheit, in dem die Daten aller 70 Millionen Versicherten zentral pseudonym abgespeichert werden sollen, um dort gleichzeitig beforscht werden zu können. Pseudonym heißt, dass an den Daten nicht mehr der Klarname hängen wird, die individuellen Datenwerte und ihre möglichen Verkettungen aber erhalten bleiben. Wegen der Einzigartigkeit der eigenen individuellen medizinischen Daten ist ein Risiko einer Reidentifikation technisch gesehen sehr hoch – diese Reidentifikation ist zumindest nach Gesundheitsdatennutzungsgesetz strafbewehrt.

Aber sehr wichtig seien ja die Chancen: Es werde sehr wichtig sein, dass „mit Künstlicher Intelligenz dieser Datensatz nutzbar“ werde, so Karl Lauterbach auf der Digital Health Conference im November letzten Jahres. Gleichzeitig können wir wohl darin übereinstimmen, dass der aktuelle Status Quo der Sicherheitskultur im deutschen digitalen Gesundheitswesen ein Konzept eines zentralen Forschungsdatenzentrums mit pseudonymen Daten der ganzen Bevölkerung zu einem Alptraum macht.

Am Ende fehlt aber vielleicht das Bewusstsein, inwieweit wir, wenn wir Digitalisierung im Gesundheitswesen wollen, auch selbst einen Anteil leisten müssen. Inwiefern wir möglicherweise selbst einer von vielen Einfallsvektoren in einem großen vernetzten digitalen Gesundheitswesen sind. Wir betonen nach dem Vortrag zur ePA auf dem Congress immer wieder, dass wir von Mediziner*innen nicht erwarten können, dass sie eine Praxis mit topsicherer IT selbst ausstatten können. Allerdings ist es wichtig, sich die eigene verbleibende Rolle in einem vernetzten Gesundheitssystem bewusst zu machen.

Anfang Oktober 2023 wurden am Universitätsklinikum Frankfurt am Main Vorbereitungen für einen möglichen Hacker-Angriff entdeckt. Das ist eigentlich gut. Denn nach Auswertungen von Semperis im letzten Jahr sind 35 Prozent aller Gesundheitseinrichtungen mehreren stattfindenden Ransomware-Attacken gleichzeitig ausgesetzt – und merken das gleichzeitig selten selbst.

Leider folgte auf den erfolgreich vermiedenen Angriff an der Uniklinik Frankfurt aber eine Verklärung der eigenen Bedeutung für die IT-Sicherheit im digitalen Gesundheitswesen. „Wenn wir in einer idealen Welt leben würden, dann hätten wir eine elektronische Patientenakte, und es gäbe keine dezentralen Patientendaten, so wie wir es haben. Dann wären 1.900 Krankenhäuser ein weniger attraktives Ziel für Hacker“, sagte der ärztliche Direktor Jürgen Graf der FAZ (€).

Vorbedingung für den unberechtigten Zugriff auf die 70 Millionen ePAs für alle etwa ist der Zugang über eine Leistungserbringerinstitution, etwa ein ahnungsloses Krankenhaus. Ganz egal, wie sich die die Datenhaltung in einer ePA zukünftig gestalten wird, können wir nicht beides haben: Immer schön Zugriff auf Daten aller Versicherten, aber keine Verantwortung für die eigenen Zugangsmöglichkeiten dazu übernehmen. Gleichzeitig können wir also anerkennen, dass wir alle eine gemeinsame Verantwortung für die Digitalisierung im Gesundheitswesen und ihre Sicherheit tragen. Gleichzeitig können wir aber auch anerkennen, dass ein Sicherheitskonzept eines digitalen Gesundheitswesens auch mit immer wieder kompromittierten Praxen oder Krankenhäusern umgehen können werden muss.

Diese Verantwortung für unser aller Sicherheit ist durch die ePA für alle an einigen Stellen größer geworden. Manche haben das vielleicht noch nicht realisiert. Es bleibt viel zu tun. Manchmal alles gleichzeitig.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In wenigen Tagen beginnt die Pilotphase für die elektronische Patientenakte. Gesundheitsminister Lauterbach versichert, dass bis zu ihrem bundesweiten Start sämtliche Sicherheitsprobleme gelöst sind. Mit Gewissheit überprüfen lässt sich das nicht. Derweil wächst die Kritik aus der Ärzt:innenschaft.

Karl Lauterbach (SPD) ist offenbar schon in Feierlaune: „In der nächsten Woche beginnt Pilotphase. Fristgerecht, sicher. Nach 20 Jahren…“ verkündete der Bundesgesundheitsminister gestern nach einem Pressetermin in Köln. Lauterbach hatte in einer Arztpraxis die elektronische Patientenakte (ePA) präsentiert. „Die Daten der Bürger sind sicher“, so der Minister vor Ort. Gäbe es „auch nur ein Restrisiko für einen großen Hackerangriff“, würde die ePA „nicht ans Netz gehen“.

Der Gesundheitsminister bezog sich damit auf die Enthüllungen von zwei Sicherheitsforschenden auf dem 38. Chaos Communication Congress. Bianca Kastl und Martin Tschirsich hatten dort gleich mehrere Sicherheitslücken der „elektronischen Patientenakte für alle“ (ePA) präsentiert. Sie betreffen die Ausgabepro­zesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende könnten aus der Ferne auf jede beliebige ePA zugreifen, so ihr Fazit.

Der Lackmustest für die ePA startet bereits in wenigen Tagen, wenn am 15. Januar die Pilotphase in Hamburg, Franken und Nordrhein-Westfalen beginnt. Mehr als 250 Arzt- und Zahnarztpraxen sowie Apotheken und Krankenhäuser setzen die ePA dann in ihrem Berufsalltag ein. Ab dann wird sich zeigen, ob es den Verantwortlichen tatsächlich gelungen ist, die ePA innerhalb weniger Wochen abzusichern.

Fest steht schon jetzt, dass es in der Vergangenheit ähnliche Versprechen gab, die sich als übereilt erwiesen. Und sicher überprüfen lassen sich die Versprechen des Bundesgesundheitsministers nicht. Denn eine unabhängige und belastbare Risikobewertung der ePA fehlt weiterhin. Auch deshalb haben Ärzt:innenverbände und die Opposition bislang nur wenig Vertrauen in die ePA. Manche fordern gar, dass Lauterbach „die Reißleine zieht“.

Gematik sieht erst jetzt Handlungsbedarf

Seit den Enthüllungen des CCC bemühen sich die politischen Verantwortlichen um Schadensbegrenzung – rhetorisch wie technisch. Das führt mitunter zu widersprüchlichen Aussagen. Einerseits werten sie die Sicherheitslücken als „theoretisches Problem“ und als „potenzielle Schwachstelle“. Andererseits beteuern sie, „mit Hochdruck“ an technischen Lösungen zu arbeiten, um diese Lücken zu schließen.

So bezeichnet die gematik die Angriffsszenarien des CCC als „nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen“. Die gematik definiert als „nationale Agentur für digitale Medizin“ unter anderem die technischen Standards für die ePA. Im November sagte gematik-Geschäftsführer Florian Hartge, dass die gematik den Start der ePA für alle – im Vergleich zur ersten ePA, des Kommunikationsdienstes KIM und des E-Rezepts – am besten vorbereitet habe.

Nach den Enthüllungen im Dezember hat die gematik nun nachbessern müssen. Dank eines Maßnahmenpakets, das die Agentur gemeinsam mit dem Bundesgesundheitsministerium (BMG) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt habe, könne die ePA für alle nun „sicher von Praxen, Krankenhäusern, Apotheken und natürlich von Patient:innen genutzt werden“, so ein gematik-Sprecher gegenüber netzpolitik.org.

Dass die vom CCC aufgezeigten Sicherheitsprobleme der gematik vertraut sein sollten, verneint die Agentur auf Anfrage nicht. Der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber hatte bereits im Oktober 2022 auf eine sehr ähnliche Sicherheitslücke hingewiesen wie die zuletzt demonstrierte. Diese technische Schwachstelle habe bis zum Dezember 2024 jedoch „keinen akuten Handlungsbedarf“ erfordert, so die gematik. Erst der Vortrag des CCC habe „eine neue Risikobetrachtung notwendig gemacht“.

Verzögerte Reaktion auf Sicherheitslücke

Hinzu kommt, dass die von Kastl und Tschirsich genutzte Sicherheitslücke auch einen anderen Fachdienst der gematik betrifft: das E-Rezept. Konkret geht es dabei um eine Schwachstelle im Versichertenstammdaten-Management (VSDM), das Apotheken für den Zugriff auf das E-Rezept nutzen, wie ein Sprecher der Bundesdatenschutzbeauftragten (BfDI) auf Anfrage von netzpolitik.org mitteilt. Mit ihr können Angreifende falsche Nachweise vom VSDM-Server beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt.

Nach eigenen Angaben informierten Kastl und Tschirsich die Agentur schon im vergangenen August über ihre Erkenntnisse. Doch erst vier Monate später reagierte die gematik mit einem Update. „Die Risiken, die wir auf dem Kongress in Hamburg demonstrierten, waren seit August bekannt. Aber erst mit dem praktischen Nachweis wird hektisch gehandelt“, so das Resümee von Martin Tschirsich in einem Interview mit der taz.

Der Sicherheitsforscher unterstreicht in dem Gespräch erneut, dass es für die ePA eine unabhängige und belastbare Risikobewertung brauche. Die gleiche Forderung haben Kastl und Tschirsich in ihrem Vortrag erhoben. Bislang aber haben weder das BMG, noch die gematik oder das BSI diese aufgegriffen.

„Das Narrativ der sicheren elektronischen Patientenakte ist nicht mehr zu halten“

BSI greift erneut zur Zahnbürste

Auch dem BSI sei das auf dem Chaos Communication Congress „vorgestellte Gesamtszenario“ nicht bekannt gewesen, so ein Sprecher auf Anfrage von netzpolitik.org. Das nun erstellte Maßnahmenpaket gegen die „potenzielle Schwachstelle“ begegne „sowohl auf technischer als auch organisatorischer Ebene Zugriffsversuchen durch nicht autorisierte Personen angemessen“.

Doch auch dem BSI sollte die Lücke nach den Warnungen des damaligen Bundesdatenschutzbeauftragten Ulrich Kelber ebenfalls vertraut gewesen sein. Dennoch versicherte das BSI im Juni vergangenen Jahres, die sicherheitstechnischen Anforderungen der ePA für alle gewissenhaft geprüft zu haben. „Diese Architektur garantiert ein angemessenes Sicherheitsniveau“, so das BSI damals.

Auch BSI-Präsidentin Claudia Plattner lobte die ePA im vergangenen Juni als „so sicher wie nur irgend möglich“. „Unsere Leute sind da mit der Zahnbürste drübergegangen“, so die Behörden-Chefin.

BMG: Nur noch „technische Kleinigkeiten“ lösen

Vor diesem Hintergrund ist es erstaunlich, wie zuversichtlich sich der Bundesgesundheitsminister derzeit gibt. Alle Baustellen, die für die Pilotphase relevant seien, habe man geschlossen, so Lauterbach. Während des Probelaufs könnten nur die für diesen registrierten Ärzt:innen auf die Daten ihrer Patient:innen zugreifen. Ein Missbrauch sei in dieser Zeit daher „völlig ausgeschlossen“.

Bis zum bundesweiten Rollout müsse man nur noch einige technische „Kleinigkeiten“ lösen, betont der Minister, im Zweifel brauche man „noch ein paar mehr Wochen“. Danach werde das BSI sicher „grünes Licht“ geben, so Lauterbach. Inzwischen ist auch der April als Startmonat für den Rollout im Gespräch.

Und der Minister denkt auch schon einen großen Schritt weiter. Patient:innen könnten ihre Gesundheitsdaten später dann auch in Verbindung mit sogenannter Künstlicher Intelligenz nutzen. „Das ist eine Art der Medizin, die man sich bisher noch gar nicht vorstellen kann“, so Lauterbach.

Ärzt:innen kritisieren Blindflug

Die Zuversicht des Gesundheitsministers teilen längst nicht alle. Vielmehr mehren sich in der Ärzt:innenschaft die Stimmen derer, die sich gegen die baldige Einführung der ePA aussprechen.

Der Präsident der Bundesärztekammer (BÄK), Klaus Reinhardt, sagte gegenüber dem Ärzteblatt, er könne seinen Patient:innen die ePA derzeit nicht empfehlen. Die möglichen Einfallstore seien zu groß, so Reinhardt.

Der Berufsverband Deutscher Psychologinnen und Psychologen (BDP) sowie dessen Fachsektion Verband Psychologischer Psychotherapeut*innen (VPP) prüfen derzeit, welche Empfehlungen sie ihren Verbandsmitgliedern in Zusammenhang mit ePA-Widerspruchsrechten unterbreiten, die „ethisch sinnvoll und rechtlich vertretbar“ sind. Die Verbände fordern „gesetzlich Versicherte transparent über bestehende Datenschutzrisiken aufzuklären und schließen sich den Forderungen von Sicherheitsexpert*innen nach einer ‚unabhängigen und belastbaren Bewertung von Sicherheitsrisiken‘ an.“

Noch deutlicher äußert sich der Präsident des Berufsverbands der Kinder- und Jugendärztinnen und -ärzte (BVKJ), Michael Hubmann. Er sei frustriert darüber, „wie die Verantwortlichen versuchen, eine für professionelle Angreifer leicht zu überwindende Datenlücke kleinzureden“. „Was wir hier erleben, ist nichts anderes als ein Blindflug“, so Hubmann. „Wenn der Chaos Computer Club ohne große Hürden auf alle ePAs zugreifen kann, ist es nur eine Frage der Zeit, bis andere das auch schaffen.“ Lauterbach müsse die Reißleine ziehen und ein sicheres System an den Start bringen.

Der Gesundheitsminister glaubt indes, dass sich diese Vorbehalte schon bald auflösen werden. „Ich bin ganz sicher“, sagte er auf dem gestrigen Pressetermin in Köln, „dass die Ärzteschaft, die Kinderärzte und die Ärztekammer die ePA empfehlen werden in dem Moment, wo wir in den Pilotregionen gezeigt haben, dass sie in der Praxis funktioniert und einwandfrei sicher ist.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.