Die COVID-19-Pandemie ist Geschichte, aber die Lehren aus den damaligen Sicherheitslücken bei digitalen Gesundheitszertifikaten sind heute wichtiger denn je. Ein Blick zurück auf die Schwachstellen im Apotheken-System zeigt, wie wichtig robuste Sicherheitsmaßnahmen für digitale Gesundheitsdaten sind – besonders vor dem Hintergrund der heutigen umfassenden Digitalisierung im Gesundheitswesen.
Was 2021 als Sicherheitsleck bei COVID-Impfzertifikaten begann, wirkt heute wie ein Vorbote für die komplexeren Herausforderungen der digitalen Gesundheitsversorgung. Damals entdeckten IT-Sicherheitsexperten, wie einfach es war, sich Zugang zum System der Apotheken zu verschaffen und Impfzertifikate auszustellen. Heute, im Jahr 2026, stehen wir vor ähnlichen, aber deutlich komplexeren Sicherheitsfragen bei der elektronischen Patientenakte (ePA), digitalen Rezepten und KI-gestützten Gesundheitsdiensten.
Was damals schiefging – und was wir daraus gelernt haben
Rückblick: Zwei IT-Sicherheitsexperten hatten 2021 das System zur Ausstellung digitaler Impfzertifikate unter die Lupe genommen. Während Apotheken, die Mitglied im Deutschen Apothekenverband waren, automatisch registrierten Zugriff erhielten, gab es rund 480 Apotheken mit Gastzugang. Die Forscher erstellten eine fiktive „Sonnen Apotheke“, reichten gefälschte Dokumente ein und erhielten binnen zwei Tagen Zugang zum System.
Der gravierendste Fehler: Es war möglich, eine nicht existierende Telematik-ID anzugeben. Diese eindeutigen Kennungen für medizinische Betriebe hätten eigentlich eine einfache Verifikation ermöglicht. Nach der Aufdeckung durch das Handelsblatt wurde das System temporär gestoppt.
Heute: Elektronische Patientenakte und neue Herausforderungen
Die Lehren von damals sind heute relevanter denn je. Seit 2024 ist die elektronische Patientenakte (ePA) für alle gesetzlich Versicherten verfügbar und wird intensiv genutzt. Die digitale Gesundheitsinfrastruktur umfasst mittlerweile:
• Volldigitalisierte Rezepte: Das E-Rezept ist Standard, physische Rezepte gehören der Vergangenheit an
• KI-gestützte Diagnostik: Algorithmen unterstützen Ärzte bei der Auswertung von Befunden
• Telemedizin 2.0: VR-gestützte Fernbehandlungen und KI-Chatbots für Erstberatungen
• Blockchain-basierte Gesundheitsdaten: Sichere, dezentrale Speicherung kritischer Patienteninformationen
Jede dieser Technologien bringt neue Sicherheitsrisiken mit sich. Die Angriffsfläche ist exponentiell gewachsen.
Aktuelle Sicherheitsstandards: Was sich verbessert hat
Die Gesundheitsindustrie hat aus den Fehlern von 2021 gelernt. Heute gelten verschärfte Standards:
Zero-Trust-Architektur: Jeder Zugriff wird kontinuierlich verifiziert, auch von bereits authentifizierten Nutzern. Die Telematikinfrastruktur (TI) 3.0 implementiert diese Prinzipien konsequent.
Biometrische Mehrstufenauthentifizierung: Apotheken und Arztpraxen nutzen heute Fingerabdruck- und Gesichtserkennung zusätzlich zu klassischen Zugangsdaten.
Blockchain-Verifikation: Neue Gesundheitszertifikate werden in einer dezentralen Blockchain gespeichert, was Fälschungen praktisch unmöglich macht.
KI-basierte Anomalieerkennung: Machine-Learning-Algorithmen erkennen verdächtige Zugriffsmuster in Echtzeit und schlagen automatisch Alarm.
Neue Bedrohungen: KI-generierte Angriffe
Parallel zu den verbesserten Sicherheitsmaßnahmen sind auch die Angriffsmethoden raffinierter geworden. Cyberkriminelle nutzen heute KI, um:
• Deepfake-Identitäten für gefälschte Praxisanmeldungen zu erstellen
• Automatisierte Social-Engineering-Angriffe gegen Praxispersonal durchzuführen
• Synthetische Patientendaten zu generieren, die von echten kaum zu unterscheiden sind
Besonders problematisch: KI-Tools sind heute so zugänglich, dass auch weniger versierte Angreifer sophisticated Attacks durchführen können.
Was Patienten heute wissen müssen
Als Patient habt ihr heute deutlich mehr Kontrolle über eure digitalen Gesundheitsdaten:
Transparenz: Die ePA-App zeigt euch jeden Zugriff auf eure Daten in Echtzeit an. Ihr seht, wer wann welche Informationen abgerufen hat.
Granulare Berechtigungen: Ihr könnt einzelnen Ärzten oder Apotheken spezifische Zugriffsrechte erteilen – nur auf bestimmte Datentypen, nur für begrenzte Zeiträume.
Automatische Sicherheitswarnungen: Bei verdächtigen Aktivitäten erhaltet ihr sofort Push-Benachrichtigungen.
Datenportabilität: Eure Gesundheitsdaten gehören euch. Ihr könnt sie jederzeit exportieren und zu anderen Anbietern mitnehmen.
Ausblick: Quantenverschlüsselung und Post-Quantum-Kryptografie
Die nächste Revolution steht bereits vor der Tür: Quantencomputer bedrohen die heutigen Verschlüsselungsmethoden. Deutschland investiert massiv in „Quantum-Safe“ Gesundheitssysteme:
• Post-Quantum-Kryptografie: Neue Verschlüsselungsalgorithmen, die auch Quantenangriffen standhalten
• Quantenschlüsselaustausch: Theoretisch unknackbare Kommunikation zwischen kritischen Gesundheitseinrichtungen
• Hybride Sicherheitssysteme: Kombination aus klassischer und Quantenverschlüsselung
Die ersten Pilotprojekte laufen bereits in Universitätskliniken.
Fazit: Sicherheit als kontinuierlicher Prozess
Die Sicherheitslücke bei den Impfzertifikaten von 2021 war ein Weckruf. Sie hat gezeigt, wie wichtig es ist, Sicherheit von Anfang an mitzudenken – nicht als nachträglichen Add-on.
Heute haben wir robustere Systeme, aber auch komplexere Bedrohungen. Die Digitalisierung im Gesundheitswesen schreitet unaufhaltsam voran, und mit ihr wachsen sowohl die Chancen als auch die Risiken.
Wichtig ist: Sicherheit ist kein Zustand, den man einmal erreicht, sondern ein kontinuierlicher Prozess. Die Erfahrungen von 2021 haben uns gelehrt, wachsam zu bleiben und Transparenz zu fordern. Journalisten und Sicherheitsforscher, die Schwachstellen aufdecken, leisten einen wertvollen Dienst – auch wenn das manchmal unbequem ist.
Als Nutzer digitaler Gesundheitsdienste solltet ihr informiert bleiben, eure Rechte kennen und die verfügbaren Sicherheitsfeatures aktiv nutzen. Die Zukunft der digitalen Gesundheitsversorgung ist vielversprechend – aber nur, wenn wir alle unseren Teil zur Sicherheit beitragen.
Zuletzt aktualisiert am 24.02.2026
