Mit radikaler Verweigerung brachte die kenianische Zivilgesellschaft eine geplante Mega-Datenbank ihrer Regierung zu Fall. Wie das gelang und warum der Kampf noch nicht gewonnen ist, berichtete Inklusionsaktivist Mustafa Mahmoud Yousif auf dem 39. Chaos Communication Congress in Hamburg.

Hoffnung in verzweifelten Zeiten zu stiften ist keine leichte Aufgabe, das macht Mustafa Mahmoud Yousif gleich zu Beginn seines Vortrags klar. Und doch hat sich der Menschenrechtsaktivist genau das vorgenommen. Er ist nach Hamburg auf den 39. Chaos Communication Congress gekommen, um von der Kraft der Zivilgesellschaft zu berichten und Mut zu machen. Er spricht über den erfolgreichen Protest einer Bürger:innenbewegung gegen ein digitales Identifikationssystem in Kenia.

Das Problem mit dem „Huduma Namba“ genannten System ist schnell umrissen: In einer riesigen zentralen Datenbank wollte die kenianische Regierung 2019 die Bevölkerung erfassen. Diese sollte zahlreiche Angaben über sie beinhalten, von Größe, Alter, Landbesitz und Stammeszugehörigkeit über Einkommens- und Bildungslevel bis zu Angaben über Familienangehörige. Auch biometrische Daten und DNA sollten erfasst werden.

Nur wer registriert ist, sollte Zugang zu staatlichen Leistungen bekommen, etwa sein Kind auf eine Schule schicken können. Die Regierung wollte sich zudem das Recht einräumen, Daten mit autorisierten Stellen zu teilen – auch mit Unternehmen, fürchtete die kenianische Zivilgesellschaft. Mit den umfangreichen Daten könnten zudem Profile von Personen erstellt werden, so die Sorge. In einem Land, in dem staatlichen Stellen nicht zu trauen sei, eine echte Gefahr, so der Ko-Vorstandsvorsitzende des Instituts für Staatenlosigkeit und Inklusion.

Koloniales Echo

Huduma Namba sollte zur „einzigen Quelle der Wahrheit“ über die Menschen in Kenia werden, erklärt Yousif. Und das in einem Land, das unter britischer Kolonialherrschaft alles andere als gute Erfahrungen mit Identitätssystemen gemacht hat. Denn für die Kolonialherren war die Identitätskontrolle ein Herrschaftsinstrument, mit dem sie die unterdrückte Bevölkerung spalten und in ihrer Bewegungsfreiheit einschränken konnte.

Die Briten hätten das Land in 42 Regionen für 42 Stämme geteilt, mit der Hauptstadt Nairobi als 43. Bezirk. Schwarze Menschen, so Yousif, mussten jederzeit Ausweisdokumente, die sogenannten Kipande, bei sich tragen und der Polizei vorlegen. Die Dokumente enthielten Angaben über die Identität der Personen, wo sie lebten und in welchen Gebieten sie sich aufhalten durften. „Sie haben die Menschen in Ethnien und Bezirke unterteilt, damit sie nicht gemeinsam aufbegehren können“, so Yousif.

Im digitalen Zeitalter seien Daten zum neuen Rohstoff geworden, der nicht mehr in klassischen Minen, sondern beim Data Mining gewonnen wird. Statt auf Datenminimierung zu setzen, wie es aus Perspektive des Datenschutzes geboten wäre, habe die kenianische Regierung bei „Huduma Namba“ deshalb auf Datenmaximierung gesetzt.

In einer übereilten Roll-out-Phase von nur sechs Monaten habe die kenianische Regierung versucht, die Bevölkerung zur Registrierung zu drängen. Gerade ohnehin marginalisierte Gruppen, etwa Menschen ohne gültige Dokumente, seien jedoch gefährdet gewesen, zurückgelassen zu werden, kritisiert Yousif. Kinder, deren Eltern teils kenianische Staatsangehörige und geflüchtete Personen seien, wären auf Dauer als Geflüchtete registriert und dem Risiko der Staatenlosigkeit ausgesetzt worden.

Radikale Verweigerung

Weil es an einer politischen Opposition zu dem Projekt fehlt, habe es an der Zivilgesellschaft gelegen, Widerstand zu organisieren. Zahlreiche Nichtregierungsorganisationen hätten sich zusammengeschlossen, um in Sozialen Medien gegen den ID-Zwang mobil zu machen.

Insbesondere die junge Generation sei auf die Kampagne angesprungen. „Sie hatten das Gefühl, dass sie in ein System gezwungen werden, bei dem nicht Menschen, sondern Unterdrückung im Mittelpunkt stehen.“ Die Antwort darauf war radikale Verweigerung: Als die Regierung damit gedroht habe, nicht-registrierte Menschen des Landes zu verweisen, trendete der Hashtag #deportme, also „schiebt mich ab“. Zum Schlachtruf der Bewegung wurde der Slang-Begriff „Hatupangwingwi“, das in etwa „Wir lassen uns nichts vorschreiben“ bedeutet.

Auch traditionelle Medien hätten das Thema und dem Protest zu mehr Wucht verholfen. NGOs klagten zudem auf Basis des neuen kenianischen Datenschutzgesetzes. Mit Erfolg: Das Verfassungsgericht erklärte die Datenbank für ungültig, unter anderem, weil eine Datenschutz-Folgenabschätzung fehlte. Erhobene DNA-Daten dürfen zudem nur dann genutzt werden, wenn entsprechende Schutzvorkehrungen getroffen werden.

2022 wählten die Menschen in Kenia eine neue Regierung, die einen Neuanfang versprach und erstmalig Vertreter:innen der Zivilgesellschaft mit an den Tisch holte.

Der Kampf geht weiter

Doch damit endete der Kampf für Mustafa Mahmoud Yousif und seine Mitstreier:innen nicht. Auch die neu aufgesetzte Datenbank „Maisha Namba“ soll umfangreiche Daten über die Menschen Kenias enthalten. Auch hier fehlen der Zivilgesellschaft ausreichende Schutzmechanismen, um Bürger:innen vor Profilbildung und Diskriminierung zu schützen.

Doch Yousif gibt die Hoffnung nicht auf. Immerhin: Statt einer überhasteten Registrierungsphase werden Menschen Stück für Stück und ab Geburt registriert. Und die Verantwortlichkeiten für das Projekt sind jetzt klarer geregelt, sagt der Aktivist. „Wir wissen jetzt, wen wir verklagen müssen.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mastodon galt vielen als Alternative zu Twitter, nachdem Elon Musk die kommerzielle Plattform übernommen hatte. Marco Wähner sprach auf dem 39. Chaos Communication Congress darüber, warum das dezentrale Netzwerk mehr als nur eine Alternative ist und was wir als Zivilgesellschaft tun müssen, um dessen Idee zu stärken.

Gut drei Jahre ist es her, dass Elon Musk Twitter gekauft hat. Viele Nutzer:innen verloren daraufhin ihr digitales Wohnzimmer. Und schnell wurde klar, dass die Plattform fortan der Willkür eines einzelnen Tech-Unternehmers unterliegt. Als Musk Mitarbeiter:innen aus dem Kern-Team entließ und die Bezahlversion für das umgetaufte Twitter einführte, verließen viele die Plattform und wandten sich Mastodon zu.

Das Versprechen hinter Mastodon: Das dezentrale Netzwerk entzieht sich der Kontrolle einer einzelnen Person. Denn hier geht es nicht um Profit, sondern vielmehr um eine digitale Gemeinschaft von Menschen, die die Kontrolle über ihre Kommunikationskanäle selbst in die Hand nehmen. Aber können dezentrale Netzwerke dieses Versprechen einlösen? Und wie dezentral sind sie tatsächlich?

Mit diesen Fragen beschäftigte sich Marco Wähner auf dem Chaos Communication Congress in Hamburg. Im Interview spricht der Soziologe über seine Forschung. Wähner arbeitet am Center for Advanced Internet Studies (CAIS) als wissenschaftlicher Mitarbeiter in der Abteilung Research Data and Methods.

„Wir haben eine Zentralität innerhalb der Dezentralität“

netzpolitik.org: Du forschst zu dezentralen Netzwerken. Was ist deine Motivation?

Marco Wähner: Ich wollte wissen: Sind dezentrale Netzwerke der Goldstandard, der selbst nicht hinterfragt werden muss? Dafür habe ich mir unter anderem das Fediverse angeschaut.

netzpolitik.org: Was ist die wesentliche Erkenntnis deiner Untersuchung?

Wähner: Es gibt auf der einen Seite die Idee der Dezentralität. Auf der anderen Seite kann man allerdings auch in dezentralen Netzwerken einen Trend zur Zentralität beobachten. Im deutschsprachigen Ökosystem von Mastodon kann man etwa beobachten, dass sich 80 Prozent der Nutzer:innen mit ihren Accounts auf nur 14 Instanzen verteilen. Wenn man bedenkt, dass das gesamte Ökosystem aus etwa 240 Instanzen besteht, veranschaulicht das eine starke Konzentration. Da haben wir eine Zentralität innerhalb der Dezentralität.

netzpolitik.org: Woran liegt das?

Wähner: Wir haben uns daran gewöhnt, dass soziale Medien uns eine Atmosphäre bieten, in der alles für uns vorkonfiguriert ist. Auf Mastodon hat man viele Mitgestaltungsmöglichkeiten, aber es ist auch Aktivität erforderlich. Nutzer:innen müssen sich aktiv darin einbringen, die digitale Infrastruktur zu pflegen. Wir kriegen hier die Chance, uns technologisch von großen Plattformen unabhängiger zu machen, aber dafür müssen wir auch etwas tun.

Außerdem lässt sich eine Parallele zu den Anfängen des Internets ziehen. Das hat als dezentrales Konstrukt angefangen, inzwischen kam es hier aber zur Zentralisierung. Das liegt daran, dass Menschen nur einen Bruchteil des Internets für Informationen, Wissen und Austausch nutzen. Regelmäßig besuchen sie nur wenige Websites.

Ein wesentlicher Faktor ist aber auch die Monopolbildung technologischer Konzerne. Es gibt starke Machtkonzentrationen auf wenige Plattformen und wenige Unternehmen, die hinter diesen Plattformen stecken. Ich finde das Bild einer vor Banalitäten blinkenden Einkaufs-Mall passend, wo immer unterschiedliche Verkaufsangebote dargestellt werden, die so mehr oder weniger über die ursprüngliche Idee des Internets drübergebaut worden ist. Und ich denke, dass wir das Potenzial des Internets nicht ausnutzen. Vielmehr ist es geprägt durch Konsum, durch Warenangebote.

Das Prinzip des Gemeinguts

netzpolitik.org: Warum kam es zu dieser Entwicklung hin zu Zentralisierung und Monopolen?

Wähner: Das ist eine komplexe, aber nicht überraschende Entwicklung. Und sie hängt vor allem damit zusammen, dass Angebote, Zugänge und Inhalte monetarisiert wurden. Hierdurch wurde die Monopolstellung einzelner Unternehmen stark begünstigt.

netzpolitik.org: Was unterscheidet dezentrale Netzwerke davon?

Wähner: Das zentralisierte Internet folgt dem Prinzip des Privateigentums. Dort entscheidet eine zentrale Autorität, was mit einer Infrastruktur passiert, wer Zugang hat und Ähnliches. Diese Autorität ist allein durch Eigentum legitimiert. Ein gutes Symbolbild dafür ist Elon Musk, der ein Waschbecken in die Büros von Twitter hineinträgt. Als neuer Eigentümer konnte er das machen.

Das löste bei vielen ein Störgefühl aus, denn Twitter wurde als öffentlich-digitaler Raum verstanden und genutzt. Wie instabil so ein öffentlicher Raum ist, zeigte sich, als sich jemand als Privateigentümer durchgesetzt hat.

Dezentrale Netzwerke folgen dem Prinzip des Gemeinguts. Dementsprechend gibt es keine zentrale Autorität, die darüber entscheidet, wie Ressourcen verteilt werden, wer Zugang zum Netzwerk hat, wie das Netzwerk wächst. Hier geht es um Selbstverwaltung.

Es braucht die zivilgesellschaftliche Basis

netzpolitik.org: Könnte da die öffentliche Hand unterstützen?

Wähner: Wichtig ist die Frage, wer hat die zentrale Autorität. Die sollte nicht bei der öffentlichen Hand liegen, sondern bei der Zivilgesellschaft.

Gleichwohl könnte man hier aber gesetzgeberisch aktiv werden. Ein Weg könnte darin bestehen, dass die Arbeit einzelner Akteure aus der Zivilgesellschaft, die digitale Infrastruktur für die Gemeinschaft zur Verfügung stellen, als gemeinnützig anerkannt wir. Zudem ist das digitale Ehrenamt sicher ein guter Weg, wenn sich Menschen im digitalen Raum ehrenamtlich engagieren.

Behörden und andere öffentliche Einrichtungen sollten Mastodon nutzen und ihre Inhalte dort zur Verfügung stellen. Damit können sie dem Netzwerk auch Schub verleihen. Doch es braucht die zivilgesellschaftliche Basis, um sich von einzelnen Personen und Akteuren unabhängig zu machen.

Eine echte Option zur bestehenden Zentralität

netzpolitik.org: Was ist deine Forderung?

Wähner: Angesichts des Trends zu Zentralisierung bei dezentralen Netzwerken wie Mastodon müssen wir uns als Zivilgesellschaft eines bewusst machen: Wir brauchen dauerhaft Power, damit wir mittel- und langfristig dezentrale Alternativen haben.

Es ist einfach, monetäre Interessen zu mobilisieren. Gemeinschaftliche Interessen bringen immer Zielkonflikte mit. Wenn wir wollen, dass dezentrale Netzwerke frei von Profitdenken bleiben, müssen wir in Zukunft Organisationen, Vereine und Nichtregierungsorganisationen stärken. Die können schon jetzt ihre Mitglieder mobilisieren. Sie sind in der Lage, digitale Infrastrukturen zur Verfügung zu stellen und auch Anknüpfungspunkte für Menschen zu schaffen, um dezentrale Netzwerke zu nutzen.

netzpolitik.org: Also seid aufmerksam und sorgt dafür, dass dezentrale Netzwerke dezentral bleiben?

Wähner: Vor allem sollten sie Menschen über die Bubble hinaus mitnehmen, also auch aus der breiten Zivilgesellschaft. Überwindet den Zielkonflikt der digitalen Ungleichheit. Wir sollten uns immer fragen, wie wir Menschen befähigen, Teil dieser Netzwerke zu werden und sich damit auseinanderzusetzen. Und wie wir das als echte Option zur bestehenden Zentralität in die öffentliche Debatte tragen.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt.

Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.

Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.

Die Sicherheitslücken betrafen die Ausgabepro­zesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.

„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.

Eine Kaskade an Problemen

Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.

Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.

„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.

So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.

EUDI-Wallet: Fehler, die sich wiederholen

Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.

Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.

Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.

Signierte Daten, bitte schnell

In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.

Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“

Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.

Sichere Kanäle versus signierte Daten

Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.

Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).

Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.

Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.

Kritik von vielen Seiten

Dieses Siegel macht die Daten allerdings auch überaus wertvoll für Datenhandel und Identitätsdiebstahl, so die Warnung der Bundesdatenschutzbeauftragten, mehrerer Sicherheitsforscher:innen und zivilgesellschaftlicher Organisationen.

Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“.

Und der Verbraucherschutz Bundesverband sprach sich im November 2024 in einem Gutachten ebenfalls klar gegen signierte Daten aus.

Risiken werden individualisiert

An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.

Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.

Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In wenigen Tagen beginnt die Pilotphase für die elektronische Patientenakte. Gesundheitsminister Lauterbach versichert, dass bis zu ihrem bundesweiten Start sämtliche Sicherheitsprobleme gelöst sind. Mit Gewissheit überprüfen lässt sich das nicht. Derweil wächst die Kritik aus der Ärzt:innenschaft.

Karl Lauterbach (SPD) ist offenbar schon in Feierlaune: „In der nächsten Woche beginnt Pilotphase. Fristgerecht, sicher. Nach 20 Jahren…“ verkündete der Bundesgesundheitsminister gestern nach einem Pressetermin in Köln. Lauterbach hatte in einer Arztpraxis die elektronische Patientenakte (ePA) präsentiert. „Die Daten der Bürger sind sicher“, so der Minister vor Ort. Gäbe es „auch nur ein Restrisiko für einen großen Hackerangriff“, würde die ePA „nicht ans Netz gehen“.

Der Gesundheitsminister bezog sich damit auf die Enthüllungen von zwei Sicherheitsforschenden auf dem 38. Chaos Communication Congress. Bianca Kastl und Martin Tschirsich hatten dort gleich mehrere Sicherheitslücken der „elektronischen Patientenakte für alle“ (ePA) präsentiert. Sie betreffen die Ausgabepro­zesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende könnten aus der Ferne auf jede beliebige ePA zugreifen, so ihr Fazit.

Der Lackmustest für die ePA startet bereits in wenigen Tagen, wenn am 15. Januar die Pilotphase in Hamburg, Franken und Nordrhein-Westfalen beginnt. Mehr als 250 Arzt- und Zahnarztpraxen sowie Apotheken und Krankenhäuser setzen die ePA dann in ihrem Berufsalltag ein. Ab dann wird sich zeigen, ob es den Verantwortlichen tatsächlich gelungen ist, die ePA innerhalb weniger Wochen abzusichern.

Fest steht schon jetzt, dass es in der Vergangenheit ähnliche Versprechen gab, die sich als übereilt erwiesen. Und sicher überprüfen lassen sich die Versprechen des Bundesgesundheitsministers nicht. Denn eine unabhängige und belastbare Risikobewertung der ePA fehlt weiterhin. Auch deshalb haben Ärzt:innenverbände und die Opposition bislang nur wenig Vertrauen in die ePA. Manche fordern gar, dass Lauterbach „die Reißleine zieht“.

Gematik sieht erst jetzt Handlungsbedarf

Seit den Enthüllungen des CCC bemühen sich die politischen Verantwortlichen um Schadensbegrenzung – rhetorisch wie technisch. Das führt mitunter zu widersprüchlichen Aussagen. Einerseits werten sie die Sicherheitslücken als „theoretisches Problem“ und als „potenzielle Schwachstelle“. Andererseits beteuern sie, „mit Hochdruck“ an technischen Lösungen zu arbeiten, um diese Lücken zu schließen.

So bezeichnet die gematik die Angriffsszenarien des CCC als „nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen“. Die gematik definiert als „nationale Agentur für digitale Medizin“ unter anderem die technischen Standards für die ePA. Im November sagte gematik-Geschäftsführer Florian Hartge, dass die gematik den Start der ePA für alle – im Vergleich zur ersten ePA, des Kommunikationsdienstes KIM und des E-Rezepts – am besten vorbereitet habe.

Nach den Enthüllungen im Dezember hat die gematik nun nachbessern müssen. Dank eines Maßnahmenpakets, das die Agentur gemeinsam mit dem Bundesgesundheitsministerium (BMG) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt habe, könne die ePA für alle nun „sicher von Praxen, Krankenhäusern, Apotheken und natürlich von Patient:innen genutzt werden“, so ein gematik-Sprecher gegenüber netzpolitik.org.

Dass die vom CCC aufgezeigten Sicherheitsprobleme der gematik vertraut sein sollten, verneint die Agentur auf Anfrage nicht. Der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber hatte bereits im Oktober 2022 auf eine sehr ähnliche Sicherheitslücke hingewiesen wie die zuletzt demonstrierte. Diese technische Schwachstelle habe bis zum Dezember 2024 jedoch „keinen akuten Handlungsbedarf“ erfordert, so die gematik. Erst der Vortrag des CCC habe „eine neue Risikobetrachtung notwendig gemacht“.

Verzögerte Reaktion auf Sicherheitslücke

Hinzu kommt, dass die von Kastl und Tschirsich genutzte Sicherheitslücke auch einen anderen Fachdienst der gematik betrifft: das E-Rezept. Konkret geht es dabei um eine Schwachstelle im Versichertenstammdaten-Management (VSDM), das Apotheken für den Zugriff auf das E-Rezept nutzen, wie ein Sprecher der Bundesdatenschutzbeauftragten (BfDI) auf Anfrage von netzpolitik.org mitteilt. Mit ihr können Angreifende falsche Nachweise vom VSDM-Server beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt.

Nach eigenen Angaben informierten Kastl und Tschirsich die Agentur schon im vergangenen August über ihre Erkenntnisse. Doch erst vier Monate später reagierte die gematik mit einem Update. „Die Risiken, die wir auf dem Kongress in Hamburg demonstrierten, waren seit August bekannt. Aber erst mit dem praktischen Nachweis wird hektisch gehandelt“, so das Resümee von Martin Tschirsich in einem Interview mit der taz.

Der Sicherheitsforscher unterstreicht in dem Gespräch erneut, dass es für die ePA eine unabhängige und belastbare Risikobewertung brauche. Die gleiche Forderung haben Kastl und Tschirsich in ihrem Vortrag erhoben. Bislang aber haben weder das BMG, noch die gematik oder das BSI diese aufgegriffen.

„Das Narrativ der sicheren elektronischen Patientenakte ist nicht mehr zu halten“

BSI greift erneut zur Zahnbürste

Auch dem BSI sei das auf dem Chaos Communication Congress „vorgestellte Gesamtszenario“ nicht bekannt gewesen, so ein Sprecher auf Anfrage von netzpolitik.org. Das nun erstellte Maßnahmenpaket gegen die „potenzielle Schwachstelle“ begegne „sowohl auf technischer als auch organisatorischer Ebene Zugriffsversuchen durch nicht autorisierte Personen angemessen“.

Doch auch dem BSI sollte die Lücke nach den Warnungen des damaligen Bundesdatenschutzbeauftragten Ulrich Kelber ebenfalls vertraut gewesen sein. Dennoch versicherte das BSI im Juni vergangenen Jahres, die sicherheitstechnischen Anforderungen der ePA für alle gewissenhaft geprüft zu haben. „Diese Architektur garantiert ein angemessenes Sicherheitsniveau“, so das BSI damals.

Auch BSI-Präsidentin Claudia Plattner lobte die ePA im vergangenen Juni als „so sicher wie nur irgend möglich“. „Unsere Leute sind da mit der Zahnbürste drübergegangen“, so die Behörden-Chefin.

BMG: Nur noch „technische Kleinigkeiten“ lösen

Vor diesem Hintergrund ist es erstaunlich, wie zuversichtlich sich der Bundesgesundheitsminister derzeit gibt. Alle Baustellen, die für die Pilotphase relevant seien, habe man geschlossen, so Lauterbach. Während des Probelaufs könnten nur die für diesen registrierten Ärzt:innen auf die Daten ihrer Patient:innen zugreifen. Ein Missbrauch sei in dieser Zeit daher „völlig ausgeschlossen“.

Bis zum bundesweiten Rollout müsse man nur noch einige technische „Kleinigkeiten“ lösen, betont der Minister, im Zweifel brauche man „noch ein paar mehr Wochen“. Danach werde das BSI sicher „grünes Licht“ geben, so Lauterbach. Inzwischen ist auch der April als Startmonat für den Rollout im Gespräch.

Und der Minister denkt auch schon einen großen Schritt weiter. Patient:innen könnten ihre Gesundheitsdaten später dann auch in Verbindung mit sogenannter Künstlicher Intelligenz nutzen. „Das ist eine Art der Medizin, die man sich bisher noch gar nicht vorstellen kann“, so Lauterbach.

Ärzt:innen kritisieren Blindflug

Die Zuversicht des Gesundheitsministers teilen längst nicht alle. Vielmehr mehren sich in der Ärzt:innenschaft die Stimmen derer, die sich gegen die baldige Einführung der ePA aussprechen.

Der Präsident der Bundesärztekammer (BÄK), Klaus Reinhardt, sagte gegenüber dem Ärzteblatt, er könne seinen Patient:innen die ePA derzeit nicht empfehlen. Die möglichen Einfallstore seien zu groß, so Reinhardt.

Der Berufsverband Deutscher Psychologinnen und Psychologen (BDP) sowie dessen Fachsektion Verband Psychologischer Psychotherapeut*innen (VPP) prüfen derzeit, welche Empfehlungen sie ihren Verbandsmitgliedern in Zusammenhang mit ePA-Widerspruchsrechten unterbreiten, die „ethisch sinnvoll und rechtlich vertretbar“ sind. Die Verbände fordern „gesetzlich Versicherte transparent über bestehende Datenschutzrisiken aufzuklären und schließen sich den Forderungen von Sicherheitsexpert*innen nach einer ‚unabhängigen und belastbaren Bewertung von Sicherheitsrisiken‘ an.“

Noch deutlicher äußert sich der Präsident des Berufsverbands der Kinder- und Jugendärztinnen und -ärzte (BVKJ), Michael Hubmann. Er sei frustriert darüber, „wie die Verantwortlichen versuchen, eine für professionelle Angreifer leicht zu überwindende Datenlücke kleinzureden“. „Was wir hier erleben, ist nichts anderes als ein Blindflug“, so Hubmann. „Wenn der Chaos Computer Club ohne große Hürden auf alle ePAs zugreifen kann, ist es nur eine Frage der Zeit, bis andere das auch schaffen.“ Lauterbach müsse die Reißleine ziehen und ein sicheres System an den Start bringen.

Der Gesundheitsminister glaubt indes, dass sich diese Vorbehalte schon bald auflösen werden. „Ich bin ganz sicher“, sagte er auf dem gestrigen Pressetermin in Köln, „dass die Ärzteschaft, die Kinderärzte und die Ärztekammer die ePA empfehlen werden in dem Moment, wo wir in den Pilotregionen gezeigt haben, dass sie in der Praxis funktioniert und einwandfrei sicher ist.“

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.