Sicherheitsloch auf Probe

Am Mittwoch startete die »ePA für alle« ihren sogenannten Rollout. In den Modellregionen Hamburg und Umland, Franken sowie Teilen Nordrhein-Westfalens soll die elektronische Patientenakte zunächst einen Monat lang auf Tauglichkeit geprüft werden, um nach erfolgreicher Erprobung dann Mitte Februar bundesweit in Betrieb zu gehen. So will es Bundesgesundheitsminister Karl Lauterbach (SPD). Aber viele andere wollen das nicht. Der Chaos Computer Club (CCC) hatte Ende Dezember bei seinem Jahreskongress ein ganzes Paket an Sicherheitslücken im System bloßgelegt. Seitdem üben Ärzteverbände und Datenschützer massive Kritik an dem Vorhaben und raten dazu, der Einrichtung der Akte wenigstens vorerst zu widersprechen.

Wie berichtet, wird die ePA automatisch für alle gesetzlich Versicherten eingerichtet, es sei denn, man verweigert das aktiv gegenüber der eigenen Krankenkasse. Auch jene, die bereits zugesagt haben, können den Schritt zu jeder Zeit revidieren, woraufhin die Akte gelöscht werden muss. Darin werden sämtliche Daten, die bis dato von Haus- und Fachärzten, Kliniken, Therapeuten, Psychologen und sonstigen Gesundheitsdienstleistern einzeln abgelegt wurden, künftig digital gebündelt, damit sie bei Bedarf schnell und zielgerichtet abzurufen sind. »Schon bei der Einführung werden wir Zehntausenden Menschen das Leben retten können«, sagte Lauterbach in der Vorwoche der Deutschen Presseagentur (dpa). Allerdings werde die ePA »nicht ans Netz gehen, wenn es auch nur ein Restrisiko für einen großen Hackerangriff geben sollte«.

Der IT-Experte Manuel Atug hält das für Augenwischerei. »Wer ein Restrisiko ausschließen will, darf die elektronische Patientenakte gar nicht einführen«, zitierte ihn der Mitteldeutsche Rundfunk (MDR) am Mittwoch. Atug ist Sprecher der Arbeitsgruppe Kritische Infrastrukturen (AG Kritis), einem Verbund von Fachleuten, die sich für mehr Datensicherheit einsetzt. »Es wird keine fünf Jahre dauern, bis die Daten der ePA massiv abgegriffen werden, wenn nichts essentiell geändert wird«, befand Atug. Allein in den zurückliegenden zwei Jahren waren millionenfach Gesundheitsdaten von Versicherten in Australien, Großbritannien und den USA in die Hände von Hackern gefallen. Die Aktivisten vom CCC hatten kurz vorm Jahreswechsel demonstriert, wie sich mit einfachen Mitteln und auf verschiedenen Wegen auf bereits gespeicherte ePA-Informationen zugreifen lässt. In Kombination hätten diese Lücken Unbefugten einen Vollzugriff auf 70 Millionen Patientenakten erlaubt, erklärte der Verband am Dienstag. »Da die Schwachstellen auch jetzt noch kleingeredet werden, ist es überfällig, die technischen Details des teuren Mammutprojekts offenzulegen.«

Während Lauterbach mit Blick auf die Befunde von einem »theoretischen Problem« sprach, nannte die Nationale Agentur für Digitale Medizin (Gematik) die dargebotenen Szenarien »nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen«. Die Gematik betreibt die technische Infrastruktur der ePA. Eines ihres Argumente lautet: »Unberechtigte Zugriffe auf die ePA sind strafbar und können nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen.« Atug wirft den Verantwortlichen Naivität vor. »Wer nicht in Erwägung zieht, dass Geheimdienste und andere organisierte Kriminelle auf diese Daten zugreifen wollen, hat ein strukturelles Defizit.« Frei bedienen sollen sich an dem Datenschatz in Zukunft Pharmakonzerne zu »Forschungszwecken« sowie Techgiganten wie Meta, Google und Open-AI, um damit ihre KI-Systeme zu trainieren.

Vor diesem Hintergrund beklagt die Freie Ärzteschaft ein Primat des Profits und die Täuschung von Patienten und Ärzten. Der Verband, die AG Kritis und das CCC sind drei Beteiligte eines von 56 Organisationen und Einzelpersonen gezeichneten offenen Briefs an Lauterbach mit der Forderung, alle Risiken zu identifizieren und zu beseitigen, bevor das System in den Vollbetrieb geht. Für die Freien Ärzte sind die Gematik und das Lauterbach-Ministerium dazu »nicht in der Lage«, wie ihr Vorsitzender Wieland Dietrich zu Wochenanfang äußerte.