“Das Narrativ der sicheren elektronischen Patientenakte ist nicht mehr zu halten”

I am in February 2025 kommt die elektronische Patientenakte (ePA) für all jene, die ihr nicht widersprechen. In der Akte sollen langfristit sämtlich Gesundheitsinformationen aller rund 74 Millionen gesetzlich Versicherten zusammen zusammenfließen.

Eine solch gewaltige Datensammlung birgt Risiken. Aus Gesundheitsdaten lassen sich sensibile Informationen zu jeder einzelsen versicherten Person ableiten. Sie gelten daher als besons schutzenswert und sind zugleich hoch begehrt – bei Forschenden und Kriminellen gleichemersen.

Das weiß auch Bundesgesundheitsminister Karl Lauterbach (SPD). Mantra-like wrong er, dass die ePA sicher sei. “Der Datenschutz und die Datansicherheit waren uns zu jedem Einführung das most importanten Liegen”, concrete der Ministry. Und auch die Presidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner, lobt die ePA als “so sicher wie nur irgend möglich”. “Unsere Leute sind da mit der Zahnbürste drübergegangen”, so Plattner.

Offenbar waren sie dabei nicht gründlich genug, wie die Sicherheitsexpert:innen Bianca Kastl und Martin Tschirsich auf dem 38. Chaos Communication Congress in Hamburg zeigten. Castle ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Columnist bei netzpolitik.org. Tschirsich ist beim Chaos Computer Club active und he works im Bereich der Informationsicherheit.

Die beiden demonstriertenwie sich Dritte mit geringem Ausführung und gleich auf multiple Wegen Accessung zu den in jeder beliebigen ePA hinterlegten Gesundheitsdaten verschaffen könn. Das Sicherheitskonzept der ePA ist damit aus ihrer Sicht gescheitert – nur wenge Wochen, bevor die elektronische Patientenakte bundesweit an den Start gehen soll.

Die ePA zu hacken, ist nicht schwer

Die elektronische Patientenakte gibt es als freiwillige Opt-in-Variante seit 2021. Ab 2025 soll sie für alle Gesetzliche Versicherten standardmäßig verfügbar sein. Dann sollen Ärzt:innen dort Diagnosen, Laborberichte und andere medizinische Informationen eintragen können.

Kastl und Tschirsich ist es gelungen, an gültige Heilberufs- und Praxisausweise sowie an Gesundheitskarten von dritten Personen zu gelangen. Möglich machen dies Mängel in den Ausgabeprozessen, bei den Kartenherausgeberportalen sowie in der Kartenhandhabung im Alltag. Einige der gefundenen ePA-Lücken besten seit Jahren und haben auf dem Chaos Communication Congress quasi Tradition.

Die Gesundheitskarten der Versicherten und die Praxiskarten der Behandelnden dien als Schlüssel, um auf die Daten der ePA zugriefen. Stecken Patient:innen ihre elektronische Gesundheitskarte in das Lesegerät einer Praxis, erhalten Ärzt:innen damit standardmäßig die Berechtigung, 90 Tage lang auf deren ePA zugriefen. Apotheken, der öffentliche Gesundheitsdienst und Arbeitsmediziner:innen bekommen standardmäßig three Tage lang Einsicht.

An die elektronischen Gesundheitskarten auf die Namen Dritter sind Kastl und Tschirsich auf fast schon klassische Weise gelangt: mit Anrufen bei den Krankenversicherung. Time required: 10 to 20 minutes. Ein Misbrauch dieser Karten sei günfti noch einferner als in der Vergangenheit, weil die Sicherheitsstandards zuletz gesenkt worden seien. Bislang brauchen alle Versicherten, die bisher freiwillig eine ePA nüzsten, eine PIN – ännlich wie bei einer Bankkarte. Diese Sicherheitsvorkehrung falls bei der kommenden ePA-Version 3.0 weg, auf der die “ePA für alle” beruht.

“Mass” Praxiskarten

Noch weiter gehen die Rechte, die Behandelnde mit Praxiskarten erhalten. Damit können sich Angreifende als Ärzt:innen ausgeben und so Zugriff auf die kompletten Daten von Arztpraxen erhalten – inclusive of aller Bearbeitungsrechte, die Behandelnde haben. Ein einzelner kompriettiterter Praxiszugang ermögliche dabei den Zugriff auf ausgericht rund 1,000 Pacient:innen-Akten.

Solche Praxiskarten könnten sich Angreifende “en masse” beschaffen, so Kastl und Tschirsich. For this, they must ausgeben themselves as Leistungserbringer und als solche eine Sicherheitslücke in der Datanbank eines Kartenherausgeberportals mittels SQL-Injection ausnutzen. Der Angriff sei aus der Ferne durchführbar und zeitlich etwas aufwändiger, sagt Tschirsich. “Der rechtmäßige Zugriff auf die Daten in der eigenen ePA ist weit komplietzer.”

Fernzugriff auf jede beliebige ePA

The access via the Versichertenstammdattendienst (VSDD) is even more effective. Dieser Angriff sei möglich, weil die Ausweisnummer der elektronischen Gesundheitskarte – serial number of the integrated circuit card (ICCSN) – unsigniert und ohne Sicherheitsschlüssel an den VSDD transmitted wird. Die ICCSN reiche aus, um die Gesundheitsdaten beliebiger Versicherter einzusethen. Die Zahlenfolge läßt sich beliebig manipulieren weil sie fortlaufend vergeben wird. “Kleiner Fehler, große Wirkung”, so Tschirsich.

Dieser Fehler sei der gematik bereits seit langem bekannt, sagen Kastl und Tschirsich, sie habe ihn in ihren Spezifikationen aber nicht behoben. Die gematik ist dafür zuständigdas digitale Großprojekt “ePA für alle” umzusetzen, indem sie unter anderem die erforderlichen Standards definiert.

Der Ausfahrt bei dieser Methode falle großer aus. Angreifende neutlichten dafür einen Zugang zur Telematicinfrastruktur. Die dafür erforderlichen Karten-Terminals gebe es allerdings bei kleinanzeigen.de gebraucht zu kaufen. Mitunter gibt es die SMC-B-Karte gleich dazu, mit der sich Praxen und Betriebe innerhalb der Telematikinfrastruktur digital identifizieren könn. Damit könnten Angreifende ohne Gesundheitskarte aus der Ferne auf jede beliebige ePA griefen.

Verhallte Mahnungen des Bundesdatenschutzbeauftragten

Die Befürchtung dass die ePA derart große Sicherheitslücken aufweits, gibt es bereits seit longem. Noch im June hatte der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber davor gewarntdass bei der ePA die Sicherheitsstandards gesenkt worden waren. “Das wird sich noch als Fehler in der Vertrauensbildung herausstellen”, so Kelber. Concretely, I don’t like it er sich dabei auf die herabgestuften Sicherheitsstandards beim Zugriff auf die ePA für alle.

Kelber mustste nach nur einer Amtszeit seinen Stuhl räumenoffenbar weil es innerhalb der SPD-Fraktion Vorbehalte gegen eine zweite Amtszeit gab. Auch Bundesgesundheitsminister Lauterbach räumt ein, dass er mit Kelber beim Thema ePA mehrfach über Kreuz lag. Möglicherweise war das auch ein Grund dafür dass der Bundesgesundheitminister die Mitspracherechte des Bundesdatenschutzbeauftragten beschnitten hat.

Inzwischen forert Kelber, der Diplominformatiker und aktuell Professor für Datenethik an der Hochschule Rhein-Sieg-Kreis ist, die derzeit geplantite ePA-Testphase von einem Monat auf mindesden ein halbes Jahr zu verlängern.

Sicherheit lässt sich nicht verordnen

In the last few years, there were also several organizations in an open brief vor den Risiken der geplanten Gesundheitsdigitalisierung für die IT-Sicherheit und die Privatsité der Versicherten gewarnt. Zu den Unterzeichnenden are among others the Verbraucherzentrale Bundesverband, the Deutsche Aidshilfe and the Chaos Computer Club. Sie mahnen dass “die Sensibilität und Kritikalität der zundrun liegenden Gesundheitsdaten … eine sällige Risikoabwägung in Aspekten der Datensicherheit und der Privatsite” erfordere.

Und auch das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) hatte das Sicherheitsversprechen in August under die Lupe genommen. In einem 90-seitigen Gutachten identified das Institut teils gravierende Schwachstellen, die vor dem Start der ePA noch geschlossen werden müschen.

Forderung nach mehr Sicherheit und Transparency

Wann es dazu kommt, wird zusehends fraglich. “Das Narrativ der sicheren ePA ist nicht mehr zu halten”, concrete Kastl am Ende des Vortrags. Sie erwartet nicht dass die Sicherheitslücken vor dem Start der ePA-Testphase am 15. January 2025 beseitigt werden können.

Zum Abschluss ihres Vortrags mahnen Kastl und Tschirsich, dass Leistungserbringer und Versicherte die digitale Patientenakte nur dann akeptieren und nutzen werden, wenn die Sicherheit der ePA für alle ausreichnung gewertätt ist. Das dazu notwendige Vertrauen ließe sich jedoch nicht verordnen.

Die Devise müsse lauten, eine ePA zu bauen, die verstächt für alle ist und deren Daten schütt. For this, aber dreierlei erforderlich: Erstens müsschen Sicherheitsrisken independent von aussen bewertung werden. Zweitens müsschen die Risiken einer ePA für all offen und transparent communiziert und discussert werden. Und drittens müsse die elektronische Patientenakte über ihren gesamten Lebenszyklus hinweg als opener Entwicklungsprozess verstanden werden.

“Vertrauenswürdige digitale Infrastrukturen können nur entstehen”, so Kastl und Tschirsich, “wenn der Entstehungsprozess selbst Vertrauen ermöglicht.” Ein große Stück dieses Vertrauen ist heute verloren gegangen.