Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt.

Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.

Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.

Die Sicherheitslücken betrafen die Ausgabepro­zesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.

„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.

Eine Kaskade an Problemen

Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.

Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.

„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.

So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.

EUDI-Wallet: Fehler, die sich wiederholen

Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.

Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.

Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.

Signierte Daten, bitte schnell

In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.

Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“

Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.

Sichere Kanäle versus signierte Daten

Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.

Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).

Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.

Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.

Kritik von vielen Seiten

Dieses Siegel macht die Daten allerdings auch überaus wertvoll für Datenhandel und Identitätsdiebstahl, so die Warnung der Bundesdatenschutzbeauftragten, mehrerer Sicherheitsforscher:innen und zivilgesellschaftlicher Organisationen.

Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“.

Und der Verbraucherschutz Bundesverband sprach sich im November 2024 in einem Gutachten ebenfalls klar gegen signierte Daten aus.

Risiken werden individualisiert

An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.

Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.

Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Für Windows 10 bietet Microsoft seit gut einer Woche keinen Support mehr an. Das bringt Nutzer*innen in Zugzwang, darunter auch die Bundesverwaltung. Das zuständige Digitalministerium weiß indes wenig darüber, welche Behörden und wie viele Rechner betroffen sind.

Mitte Oktober hat Microsoft den Support für Windows 10 eingestellt. Nutzer*innen müssten also auf die nächste Windows-Version upgraden – oder sich für ein anderes Betriebssystem entscheiden. Und das besser gestern als heute, wenn sie sich keine Malware einfangen wollen. Wer den Umstieg nicht schafft, kann sich zumindest für begrenzte Zeit noch für grundlegende Sicherheitsupdates (ESU) registrieren.

Auch die Bundesverwaltung nutzt Windows 10, scheint sich auf die Umstellung jedoch bislang kaum vorbereitet zu haben. Sascha H. Wagner, Bundestagsabgeordneter der Linkspartei und im Haushaltsausschuss, hat beim Bundesministerium für Finanzen nachgefragt: Wie viele Rechner laufen mit Windows 10? Wie viel wird die Umstellung auf Windows 11 kosten? Bis wann sollen diese Rechner mit Windows 11 ausgestattet sein?

Auf diese Fragen erhielt er jedoch keine Antwort. Denn entsprechende Informationen liegen nicht gesammelt und verfügbar vor. Um sie beantworten zu können, müsste das zuständige Bundesministerium für Digitales und Staatsmodernisierung erst „umfangreiche Erhebungen“ vornehmen, so das BMF in seinem nicht-öffentlichen Antwortschreiben.

Keine Ressourcen, um betroffene Rechner zu zählen

Auch die Fragen, wie viele Rechner der Bundesverwaltung mit dem Support-Ende von Windows 10 unbrauchbar werden und wie teuer es wird, neue Geräte mit Windows 11 anzuschaffen, lässt das BMF offen.

Der Aufwand, hierzu Informationen einzuholen, übersteige den Umfang einer „ansonsten üblichen Einzelberichtsanforderung“, heißt es. Linken-Politiker Wagner sagt: „Dass das Digitalministerium unter Karsten Wildberger nicht weiß, wie der erzwungene Umstieg von Windows 10 auf Windows 11 in der Bundesverwaltung umgesetzt wird, ist erschreckend.“

Dabei wurde ein zentrales Lizenzmanagment für den Bund schon im Jahr 2019 beschlossen. Fortschritte verspricht der Bund seit Jahren. Die Idee hinter dem lange angekündigten Projekt ist, dass Bundesbehörden Informationen zu Lizenzen offen einsehen können.

Nicht zuletzt die Kritik des Bundesrechnungshofs gab hier den Ausschlag: Der bemängelte mehrfach (PDF), dass Transparenz zwischen Bundesbehörden fehle. Das wiederum führe dazu, dass Behörden Software häufig nicht wirtschaftlich einsetzen. Dabei käme es häufiger zu Über- oder Unterlizenzierungen. Wüssten Behörden, was andere einkaufen und zu welchen Konditionen, könnten sie Lizenzen zwischen Behörden tauschen und hätten auch bei Einkaufsgesprächen eine bessere Verhandlungsposition.

Keine Ressourcen, um Lizenzen zentral zu verwalten

Doch der Plan einer Zentralstelle konnte laut BMF „mangels entsprechender Ressourcen“ bislang nicht umgesetzt werden. Es gibt also noch immer keine zentrale Stelle, die Informationen zu Lizenzen bei den Ministerien und anhängigen Behörden einfordert und zentral veröffentlicht. Zwar könnten Behörden inzwischen über ein Lizenzverwaltungstool ein rechtssicheres und wirtschaftliches Lizenzmanagement aufbauen, so das BMF. Doch seien Behörden nicht dazu verpflichtet, eines zu betreiben.

Statt das Projekt des Lizenzmanagements für den Bund weiter voranzubringen, will das BMDS nun einen zentralen Datenpool im Bund aufbauen. Darin sollen laut BMF auch die Lizenzinformationen der einzelnen Häuser zusammenlaufen.

Das Support-Ende von Windows 10 bringt den Bund samt Verwaltung hier anscheinend nicht aus der Ruhe. Das könnte daran liegen, dass Microsoft zumindest Sicherheitsupdates weiter fließen lässt – für Organisationen und Behörden können dabei jedoch pro Gerät Kosten anfallen. Dabei müsste es eigentlich darum gehen, „die Abhängigkeit und die explodierenden Kosten für Microsoft-Produkte zu reduzieren“, so Wagner.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Wenn in Kürze die Entscheidung fällt, ob Europa eine verpflichtende Chatkontrolle bekommt, ist auch die Haltung der Bundesregierung maßgeblich. Doch der Digitalminister mag sich lieber nicht positionieren. Digitale Weichenstellungen und gefährliche Formen technisierter Massenüberwachung sieht er offenbar nicht als sein Metier. Eine Einordnung.

In wenigen Tagen steht die Entscheidung an, ob es in Europa eine verpflichtende Chatkontrolle geben wird oder ob sich erneut keine ausreichende Mehrheit im Rat der EU-Länder dafür findet. Die deutsche Haltung wird maßgeblich dafür sein, ob die Front der ablehnenden EU-Staaten gegen den Vorschlag der EU-Präsidentschaft Dänemarks stehenbleibt.

Hintergrund ist ein jahrelanger Streit über einen Entwurf der EU-Kommission für eine Verordnung zur massenhaften Chat-Überwachung, die dem Kampf gegen digitale Gewaltdarstellungen von Kindern dienen soll. Die geplante Chatkontrolle würde alle Anbieter von Messenger- und weiterer Kommunikationsdienste, auch solche mit Ende-zu-Ende-Verschlüsselung, zum Scannen nach Missbrauchsfotos und -videos verpflichten. Betroffen wären auch Signal, Threema oder WhatsApp, die von vielen Millionen Menschen genutzt werden.

In den vergangenen Jahren hat sich Deutschland ablehnend gezeigt und sich gegen das automatisierte Scannen verschlüsselter Kommunikation, aber auch gegen die Umgehung von Ende-zu-Ende-Verschlüsselung und das Client-Side-Scanning positioniert. Ob die neue Bundesregierung das genauso hält, ist noch offen. Wir haben daher die Bundesregierung zu der Haltung befragt, die sie bei der anstehenden Entscheidung einnehmen wird.

Von diesen Ländern hängt ab, wie es mit der Chatkontrolle weitergeht

Das Bundesjustizministerium (BMJ) will sich gegenüber netzpolitik.org nicht in die Karten schauen lassen und antwortet auf die Frage nach der Chatkontrolle-Position nur: „Die Federführung“ liege „innerhalb der Bundesregierung beim Bundesministerium des Innern“. Da sollten wir uns doch hinwenden, meint das BMJ.

Das Bundesinnenministerium (BMI) hat jedoch auch nichts zu sagen: „Wir bitten um Verständnis, dass wir uns zu laufenden Abstimmungen innerhalb der Bundesregierung grundsätzlich nicht äußern.“

„Von der Seitenlinie“

Fragen wir doch die Digitalexperten in der Bundesregierung. Die schwarz-schwarz-rote Koalition hatte schließlich ein neues Ministerium aus der Taufe gehoben, das sich hauptsächlich mit Digitalisierung, digitaler Infrastruktur und Staatsmodernisierung befassen soll. Ein Sprecher des Digitalministeriums (BMDS) antwortet auf Fragen von netzpolitik.org nach der Position des Ministers zur geplanten verpflichtenden Chatkontrolle allerdings nur mit nur zwei Sätzen.

„Wir brauchen Maßnahmen, die wirksam und zugleich angemessen sind. Zu den derzeit auf EU-Ebene vorliegenden Vorschlägen erfolgt eine Positionierung der Bundesregierung unter Federführung des Bundesinnenministeriums.“

Auf weitere Fragen, etwa wie Minister Karsten Wildberger (CDU) zum Aufbrechen von Verschlüsselung oder zum Client-Side-Scanning im Rahmen einer Chatkontrolle steht, wird nicht geantwortet. Der seit Mai amtierende Digitalminister hat außerdem auch keine Position zur freiwilligen EU-Chatkontrolle und den damit verbundenen Risiken für die Privatsphäre.

Das Ministerium verweist stattdessen auf ein Gespräch mit Wildberger vom 11. September. Dort auf die Chatkontrolle angesprochen, äußert sich der Bundesminister folgendermaßen: Er wolle sich in diesen „politischen Prozess“ nicht „von der Seitenlinie“ einbringen. Er werde deswegen seine Meinung nicht dazugeben, da das „nicht hilfreich“ sei, denn dafür „gibt es jetzt einen Prozess“.

Das kann man natürlich anders sehen, ob es für die Diskussionen um eine europaweit verpflichtende Chatkontrolle „hilfreich“ wäre, wenn sich der amtierende Digitalminister von Deutschland nicht an die „Seitenlinie“ stellen, sondern dazu positionieren würde. Allerdings machen seine Äußerungen direkt im Anschluss klar, warum er vielleicht ganz richtig liegt.

Ein Offenbarungseid technischer und politischer Inkompetenz

Wildberger fügt hinzu: „Kinderpornographie“ in Chats, „das geht überhaupt nicht“, das seien Straftatbestände. Davon müsse man aber das Thema der Privatsphäre „säuberlich trennen“. Doch ein zentraler Streitpunkt in der langjährigen Debatte ist es gerade, wie weit man in die Privatsphäre und sogar Intimsphäre von Menschen eingreifen darf, um auf solche Inhalte in ihren Chats zu scannen.

Der Minister postuliert dann, dass er „persönlich eine klare Meinung“ dazu hätte. Die sagt er aber nicht sofort, sondern stellt erstmal folgende Frage in den Raum: „Wie stellen wir sicher, dass wir Rechtsordnung auch in diesem Rahmen sicherstellen?“ Den Versuch einer Antwort auf die wirre Frage macht er nicht. Stattdessen sagt Wildberger: „Wo es um Kinderpornographie geht, am Ende des Tages muss man auch über Deep Fakes reden, da hört bei mir der Spaß auf.“

Kein Mensch mit Herz und Hirn würde die digitalen Darstellungen von Gewalt gegen Kinder in die Kategorie Spaß einsortieren. Die Debatte um die Chatkontrolle dreht sich vielmehr um die Frage, zu welchen technischen Maßnahmen die Anbieter von Messenger-Diensten verpflichtet werden sollten, um solche Inhalte massenhaft zu scannen. Dass diese Inhalte verabscheuungswürdig und strafbar sind, stellt niemand in Abrede.

Auf die Nachfrage, ob Anbieter zur Chatkontrolle verpflichtet werden sollen, bemerkt Wildberger, dass seine Antwort darauf eine „nicht politisch gemeinte Formulierung“ sei: „Da muss es eine Lösung für geben.“ Die Luft brennt förmlich vor Spannung, welche technische Idee der Digitalminister nun favorisieren wird. Doch der oberste Digitalisierer murmelt: „Wie die Lösung jetzt hier genau aussieht, das sollen …“ Da endet sein Satz im Ungewissen. Vielleicht sollen es die Experten richten, vielleicht gibt es einen Prozess.

Zuletzt endet die kurze Passage in dem Gespräch mit dem Versprechen, er werde sich „in die Debatte natürlich“ einbringen, wenn es hilfreich und erforderlich wäre. Aber das Thema sei „ein bisschen komplex“, aber „von der Richtung her“ sei er „klar justiert“.

Dass seine Pressestelle auf die Fragen von netzpolitik.org danach, ob angesichts der gesellschaftlichen und auch wirtschaftspolitischen Bedeutung von sicheren Verschlüsselungsmethoden ein Aufbrechen der Verschlüsselung oder ein Client-Side-Scanning im Rahmen einer Chatkontrolle als probate Mittel gelten können, nicht nur keine Antworten gibt, sondern stattdessen einen Hinweis auf diesen Offenbarungseid technischer und politischer Inkompetenz sendet, spricht Bände über den Minister und die Bedeutung seines Hauses innerhalb der Bundesregierung. Das ist nicht mal „Seitenlinie“, das ist eher die Tribüne hinten oben.

Der falsche Weg

Man fragt sich, unter welchem Stein der Bundesdigitalminister in den letzten Jahren gelebt hat und ob es niemanden in seinem Haus gibt, der ihn dazu briefen konnte, worum es im Streit über die Chatkontrolle geht: um das absichtliche Unterminieren von IT-Sicherheitsmaßnahmen für massenhafte Chat-Scans und um fundamentale Grundrechte.

Wenn in Schutzmaßnahmen wie Verschlüsselung verpflichtende Hintertüren eingebaut werden müssen, tangiert das die Privatsphäre und den Kernbereich privater Lebensgestaltung von Millionen Menschen und unterminiert zudem auf gefährliche Weise die IT-Sicherheit. Darauf weisen seit Jahren alle hin, die beruflich und wissenschaftlich mit IT-Sicherheit zu tun haben. Chatkontrolle ist technisch gesehen schlicht der falsche Weg.

Aber juristisch ist er es auch. Denn dass eine massenhafte anlasslose Überwachung von individueller Kommunikation mit den europäischen Grundrechten konform geht, wird mit guten Argumenten bezweifelt: Der Juristische Dienst des EU-Rats schätzt den aktuellen Vorschlag als rechtswidrig ein. Die Rechtsexperten stützen sich auch auf ein Urteil des Europäischen Gerichtshofs für Menschenrechte (EGMR) aus dem Jahr 2024. Darin heißt es unzweideutig, dass „eine Schwächung der Ende-zu-Ende-Verschlüsselung, die alle Nutzer beträfe,“ gegen die Europäische Menschenrechtskonvention verstößt.

Dass der Digitalminister innerhalb und außerhalb der Bundesregierung zu so wichtigen Fragen in unser digitalisierten Welt keine Position einnimmt, macht ihn zum Komplizen der Befürworter der Chatkontrolle. Gleiches gilt übrigens für die Justizministerin Stefanie Hubig (SPD), deren Nicht-Positionierung angesichts der zweifellos erheblichen Grundrechtseingriffe ebenso blamabel ist.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.