Während Millionen Deutsche im Januar 2025 auf die automatische Einrichtung ihrer elektronischen Patientenakte warten, sorgt eine aktuelle Entdeckung des Chaos Computer Clubs (CCC) für Aufsehen: Erneut wurden gravierende Sicherheitslücken im System gefunden. Besonders brisant: Die Gematik, verantwortlich für die digitale Gesundheitsinfrastruktur, musste sofortige Notfallmaßnahmen ergreifen. Was ist passiert, und was bedeutet das für uns als Patienten?
Was genau wurde entdeckt?
Der CCC hat mehrere kritische Schwachstellen im Authentifizierungssystem der elektronischen Patientenakte (ePA) aufgedeckt. Konkret gelang es den Sicherheitsforschern, die verschlüsselte Kommunikation zwischen dem Authentifizierungsdienst und den Anwendungen der Krankenkassen zu manipulieren.
Das Erschreckende daran: Mit dieser Methode konnten sie unbefugt auf sensible Patientendaten zugreifen, obwohl sie keine gültigen Zugangsdaten besaßen. Die Angriffsmethode war zudem so konzipiert, dass sie kaum Spuren hinterließ – ein Albtraum für die Datensicherheit im Gesundheitswesen.
Die elektronische Patientenakte: Ein kurzer Überblick
Die elektronische Patientenakte wurde bereits 2021 eingeführt, fristete jedoch lange ein Nischendasein mit mageren Nutzungszahlen. Das soll sich nun ändern: Ab 2025 wird die ePA für alle gesetzlich Versicherten automatisch eingerichtet – sofern sie nicht aktiv widersprechen (Opt-out-Verfahren).
Die Idee hinter der ePA ist prinzipiell sinnvoll: Alle wichtigen Gesundheitsdaten eines Patienten werden an einem zentralen, digitalen Ort gesammelt und können – mit Zustimmung des Patienten – von Ärzten und anderen Behandlern eingesehen werden. Befunde, Röntgenbilder, Medikationspläne: Alles soll verfügbar sein, wenn es benötigt wird. Das verspricht eine bessere Behandlungsqualität und weniger Doppeluntersuchungen.
Doch genau hier liegt das Problem: In der ePA werden hochsensible Daten gespeichert, die besonders schützenswert sind. HIV-Diagnosen, psychische Erkrankungen, Schwangerschaftsabbrüche – all das sind Informationen, die bei unbefugtem Zugriff erheblichen Schaden anrichten können.
Wie schwerwiegend sind die entdeckten Lücken?
Die vom CCC gefundenen Sicherheitslücken müssen als äußerst ernst eingestuft werden. Die Forscher demonstrierten einen praktisch durchführbaren Angriff, der es ermöglichte:
- Unbefugten Zugriff auf die ePA zu erlangen
- Sensible Gesundheitsdaten einzusehen
- Dokumente herunterzuladen
- Unter Umständen sogar Daten zu manipulieren
Besonders alarmierend: Die Gematik sah sich gezwungen, innerhalb kürzester Zeit eine „Sofortmaßnahme“ umzusetzen, um die Sicherheitslücke zu schließen. Das unterstreicht die Dringlichkeit des Problems.
Martin Tschirsich, einer der beteiligten Sicherheitsforscher, betont: „Diese Schwachstellen hätten schon lange vor dem geplanten Opt-out-Start entdeckt und behoben werden müssen.“ Tatsächlich handelt es sich nicht um den ersten Fund dieser Art – schon mehrfach hatte der CCC in der Vergangenheit Sicherheitsprobleme bei der Telematikinfrastruktur nachgewiesen.
Was bedeutet das für uns als Patienten?
Die aktuellen Sicherheitsprobleme werfen wichtige Fragen auf:
Vertrauen: Kann man einem System vertrauen, das wiederholt gravierende Sicherheitslücken aufweist? Die ePA wird nur dann erfolgreich sein, wenn Patienten und Ärzte von ihrer Sicherheit überzeugt sind.
Datenschutz vs. Digitalisierung: Deutschland hinkt bei der Digitalisierung des Gesundheitswesens hinterher. Gleichzeitig haben wir hohe Datenschutzstandards. Die Herausforderung besteht darin, beides zu vereinen – und nicht eines für das andere zu opfern.
Opt-out-System: Ab Januar 2025 muss jeder, der keine ePA haben möchte, aktiv widersprechen. Kritiker sehen darin ein Problem: Viele Menschen könnten unbeabsichtigt in einem System landen, dessen Sicherheit sie nicht einschätzen können.
Wie reagiert die Gematik?
Nach Bekanntwerden der Sicherheitslücken hat die Gematik schnell reagiert. In einer Stellungnahme hieß es, man habe „unverzüglich eine Sofortmaßnahme umgesetzt, um die identifizierte Schwachstelle zu schließen.“ Zudem betonte die Gematik, dass bisher keine Hinweise auf tatsächlichen Missbrauch vorlägen.
Gleichzeitig kündigte sie an, weitere Sicherheitsmaßnahmen zu implementieren und die betroffenen Komponenten einer erneuten Sicherheitsprüfung zu unterziehen. „Wir nehmen die Hinweise des CCC sehr ernst und bedanken uns für die verantwortungsvolle Offenlegung,“ erklärte ein Sprecher.
Fazit: Digitalisierung ja, aber sicher
Der aktuelle Vorfall zeigt einmal mehr die Herausforderungen bei der Digitalisierung des Gesundheitswesens. Einerseits brauchen wir dringend modernere, effizientere Strukturen – andererseits darf dies nicht auf Kosten der Datensicherheit gehen.
Die ePA hat das Potenzial, die Gesundheitsversorgung in Deutschland zu verbessern. Aber nur, wenn das System absolut vertrauenswürdig ist. Der CCC hat mit seinem Fund einen wichtigen Beitrag zur Verbesserung der Sicherheit geleistet – auch wenn die Timing-Kritik kurz vor der breitflächigen Einführung verständlich ist.
Für uns als Patienten bedeutet das: Informieren Sie sich über die elektronische Patientenakte, ihre Vor- und Nachteile. Entscheiden Sie bewusst, ob Sie teilnehmen möchten. Und wenn ja, achten Sie darauf, wer Zugriff auf Ihre Daten erhält. Die Kontrolle über die eigenen Gesundheitsdaten bleibt – trotz aller Digitalisierung – ein hohes Gut.
Die gute Nachricht zum Schluss: Durch die Aufdeckung durch den CCC wurde das System sicherer gemacht, bevor die große Opt-out-Welle beginnt. Es bleibt zu hoffen, dass dies nicht der letzte Sicherheitstest vor dem bundesweiten Rollout war.
