Die elektronische Patientenakte: Ein Datenschutzunglück in Zeitlupe?

Die elektronische Patientenakte (ePa) soll das Gesundheitswesen modernisieren, steht jedoch wegen gravierender Sicherheits- und Datenschutzprobleme in der Kritik. Schwächen in der Infrastruktur, unsichere Gesundheitskarten und fehlende Transparenz gefährden 70 Millionen Patienten.

Die elektronische Patientenakte: Ein Datenschutzunglück in Zeitlupe?
Photo by National Cancer Institute on Unsplash

Die Einführung der elektronischen Patientenakte (ePA) wird von der deutschen Regierung als Meilenstein zur Modernisierung des Gesundheitswesens gefeiert. Die Idee klingt verheißungsvoll: Ein digitaler Safe für medizinische Daten, zugänglich für Patienten und Ärzte – jederzeit und überall. Doch zwischen Vision und Wirklichkeit klafft eine besorgniserregende Lücke. Datenschutz- und Sicherheitsexperten schlagen seit Jahren Alarm und warnen vor gravierenden Schwachstellen, die die ePA zu einer tickenden Zeitbombe machen könnten.

Besonders brisant wird das Thema durch das sogenannte Opt-out-Verfahren. Statt sich aktiv für eine ePA zu entscheiden, erhalten alle Versicherten diese automatisch, sofern sie nicht ausdrücklich widersprechen. Damit stehen potenziell 70 Millionen Datensätze im Fokus von Datenmissbrauch und Identitätsdiebstahl – eine Entscheidung, die weitreichende Konsequenzen hat.

Gefährliche Schwachstellen im System

Das Gesundheitswesen ist ein komplexes Netzwerk mit zahlreichen Akteuren, unterschiedlichen Interessen und oft unzureichenden Sicherheitsstandards. Diese Mischung birgt erhebliche Risiken. Sicherheitsforscher wie Martin und Bianca, die regelmäßig auf dem Chaos Communication Congress (CCC) ihre Erkenntnisse präsentieren, haben erschütternde Schwachstellen offengelegt. Ihre Warnungen verdeutlichen, dass die ePA in ihrer aktuellen Form weit entfernt von einem sicheren System ist.

1. Sicherheitsmängel in der Telematik-Infrastruktur (TI)

Die TI bildet das Rückgrat der ePA und soll die sichere Übertragung und Speicherung von Patientendaten gewährleisten. Doch Realität und Anspruch klaffen auseinander. Sicherheitslücken in Konnektoren, welche die Praxen mit der TI verbinden, ermöglichen Angreifern, sich remote Zugriff auf hochsensible Daten zu verschaffen.

Beispiel: Unsachgemäße Installationen führten dazu, dass Praxisnetzwerke über das öffentliche Internet zugänglich waren. Angreifer konnten dadurch vollständigen Zugriff auf alle Patientendaten einer Praxis erhalten.

2. Schlampige Ausgabe von Gesundheitskarten

Die Gesundheitskarte, der Schlüssel zur ePA, wird oft mit alarmierender Nachlässigkeit ausgegeben. Sicherheitsforscher dokumentierten Fälle, in denen Karten durch einfache E-Mails oder Telefonanrufe auf fremde Namen bestellt werden konnten. Solche Karten ermöglichen es, unrechtmäßig auf ePAs zuzugreifen. Auch wenn dies keine direkte Schwachstelle der ePa ist, spielen solche Social-Engineering dennoch eine große Rolle in der Sicherheit der Infrastruktur.

3. Schwache IT-Sicherheit in Praxen

Viele Arztpraxen verfügen nicht über die notwendigen Ressourcen, um ihre IT-Systeme professionell zu schützen. Veraltete Software, schlechte Netzwerksicherheit und fehlendes Know-how machen sie zu leichten Zielen für Angreifer.

💡
Martin und Bianca konnten allein durch Internetsuchen unzählige ungesicherte Praxisverwaltungssysteme aufspüren.

4. Intransparenz und fehlende Kommunikation

Die Gematik, die für die Entwicklung und den Betrieb der TI verantwortlich ist, hält sich mit Informationen über Sicherheitsrisiken zurück. Kritiker werden ignoriert oder beschwichtigt, während Patienten oft ein falsches Sicherheitsgefühl vermittelt wird.

5. Schwächen im Versichertenstammdatenmanagement

Eine gravierende Schwachstelle im Versichertenstammdatenmanagement betrifft die fehlerhafte Prüfung der Kartennummer (ICCSN) auf der elektronischen Gesundheitskarte. Dieser seit 2016 bekannte Angriff ermöglicht es, durch Manipulation der ICCSN auf fremde elektronische Patientenakten zuzugreifen.

Der Angriff funktioniert wie folgt: Die ICCSN dient als eindeutige Identifikationsnummer der Gesundheitskarte, mit der die ePA des jeweiligen Versicherten verknüpft wird. Da die Telematikinfrastruktur jedoch keine ausreichende Validierung der Kartennummer vornimmt, können Angreifer durch gezieltes Generieren von Kartennummern fremde ePAs ansprechen. Dies geschieht, indem ein Angreifer eine manipulierte Gesundheitskarte mit einer gefälschten ICCSN erstellt, die auf die ePA eines anderen Versicherten verweist. Wird diese gefälschte Karte im System verwendet, erhält der Angreifer Zugriff auf die zugehörige ePA, ohne dass dies vom System erkannt wird.

6. Mangelndes Berechtigungsmanagement

Patienten können nicht individuell festlegen, welche Ärzte oder Institutionen auf welche Daten zugreifen dürfen. Diese pauschalen Freigaben sind besonders problematisch bei sensiblen Diagnosen wie psychischen Erkrankungen oder HIV.


Was muss sich ändern?

Die ePA könnte das Gesundheitswesen modernisieren, doch dafür müssen grundlegende Probleme gelöst werden. Dringender Handlungsbedarf besteht in den folgenden Bereichen:

1. Unabhängige Sicherheitsüberprüfung

Eine unabhängige Stelle, die nicht unter der Kontrolle der Gematik oder des Bundesgesundheitsministeriums steht, muss die Sicherheit der ePA überprüfen. Die Ergebnisse dieser Prüfungen sollten transparent veröffentlicht werden, um Vertrauen aufzubauen.

💡
Independence of Audit (Unabhängigkeit der Prüfung):
Dieser Begriff wird oft im Kontext von Sicherheitsprüfungen, Governance und Compliance verwendet. Er beschreibt die Notwendigkeit, dass eine Prüfung oder Überprüfung durch eine unabhängige Instanz durchgeführt wird, um Interessenkonflikte zu vermeiden.

2. Verschärfung der Sicherheitsstandards

  • Zwei-Faktor-Authentifizierung sollte obligatorisch werden.
  • IT-Sicherheit in Praxen muss durch Schulungen und Ressourcen verbessert werden.
  • Die Prozesse zur Ausgabe von Gesundheitskarten müssen sicherer gestaltet werden.

3. Granulares Berechtigungsmanagement

Patienten müssen selbst festlegen können, wer auf welche Daten zugreift. Diese Flexibilität ist entscheidend, um sensible Informationen zu schützen und kontextuelle Integrität sicherzustellen.

4. Transparenter Entwicklungsprozess

Datenschutzexperten und Sicherheitsspezialisten sollten frühzeitig in die Entwicklung eingebunden werden. Kritische Stimmen müssen ernst genommen, Sicherheitslücken frühzeitig identifiziert und behoben werden.


Fazit

Die elektronische Patientenakte birgt enormes Potenzial, die Gesundheitsversorgung zu verbessern. Doch derzeit überwiegen die Risiken: Sicherheitsmängel, Datenschutzprobleme und ein mangelhaftes Berechtigungsmanagement machen die ePA zu einem Datenschutzzugunglück in Zeitlupe.

Es liegt nun an der Politik und den Verantwortlichen, die notwendigen Schritte zu unternehmen, um die ePA zu einem sicheren und vertrauenswürdigen Werkzeug für die digitale Gesundheitsversorgung zu machen. Nur so kann das Vertrauen der Patienten zurückgewonnen und eine zukunftsfähige Digitalisierung des Gesundheitswesens gewährleistet werden.


Hinweis:

Wer sich noch tiefer mit den Sicherheitsproblemen der elektronischen Patientenakte beschäftigen möchte, findet im Vortrag „Konnte bisher noch nie gehackt werden – Die elektronische Patientenakte kommt jetzt für alle“ des CCC weiterführende Informationen. Der Vortrag zeigt detailliert die Schwachstellen auf und beleuchtet, warum die aktuelle Umsetzung der ePA aus sicherheitstechnischer Sicht problematisch ist. Die Aufzeichnung ist unter media.ccc.de verfügbar.