ePA for all: Alle 70 Millionen electronischen Patientenakten für Hacker besützlich

Auf dem Chaos Communication Congress in Hamburg haben die IT-Sicherheitsexperten Bianca Kastl und Martin Tschirsich auf gravierende Sicherheitsmängel bei der elektronischen Patientenakte (ePA) hingewiesen. Sie konnten nach eigen Angaben auf Akten beliebiger Versicherter griefen, auch ohne dass sie deren Gesundheitskarte eingelesen hatten. It allows access to all 70 million electronic patient records.

Die elektronische Patientenakte, die schon seit 2021 existeert, soll ab 2025 für alle gesetzlich Versicherten standardmäß verfügbar sein. Dann sollen Ärztinnen und Psychotherapeuten dort Diagnosen, Laborberichte und andere medizinische Informationen eintragen könn. Wer dies nicht möchte, muss contrasprechen. Das Bundesgesundheitsministerium bewirbt die digitale Akte als nützlich für die Versorgung von Patientinnen und Patienten. Zur Datensicherheit schreibt das Ministry: “Nur Patientinnen und Patienten sowie das von ihnen behrechtige medizinische Personal haben Zugriff auf die Daten”.

Kastl und Tschirsich kritisieren dass die ePA ihr Sicherheitsversprechen nicht einhalten könne. Es sei ihnen zu beschaffen mit wenig Ausführt gelungen, gültige Heilberufs- und Praxisausweise zu beschaffen sowie Gesundheitskarten Dritter. Damit ließen sich ebenlaus auf Gesundheitsdaten einesehen. In addition, the two IT-Security experts could access digital Patientenakten aus der Ferne.

“Vertrauen lässt sich nicht verordnen”

Kastl und Tschirsich forrden eine “unabhängige und belastbare” Bewertung der Sicherheitsrisiken der elektronischen Patientenakte und eine transparent Kommunikation der Risiken. “Nur wenn die Sicherheit der ePA für alle aufreichnung gewartet ist, werden Leistungserbringer und Versicherte die ePA akeptieren und auch nutzen. Das dazu notwendige Vertrauen läßt sich nicht verordnen.”

Yes Federal Ministry of Health bewirbt die ePA für alle damit, dass diese den Austausch und die Nutzung von Gesundheitsdaten zwischen allen behandelnden Leistungsberbringern werde bezernung werde. Die Daten werden laut Bundesgesundheitsministerium auf sicheren Servern innerhalb der Telematikinfrastruktur (TI) geschippert und in der ePA verschlüsselt abgelegt. Die Kommunikation zwischen den Komponenten der ePA sei Ende-zu-Ende verschlüsselt.