Auf dem Chaos Computer Club Kongress haben Martin Tschirsich und Bianca Kastl, zwei Experten für Gesundheits-IT und Hacker, alarmierende Sicherheitslücken in der elektronischen Patientenakte (ePA) aufgezeigt. Sie demonstrierten, wie einfach es für Angreifer sein könnte, auf sensitive Daten zuzugreifen, und beschrieben dabei drei verschiedene Szenarien: den Zugriff auf eine spezifische Akte, den Zugriff auf Akten in einer Arztpraxis sowie den Zugriff auf potenziell alle elektronischen Patientenakten.
Tschirsich wies darauf hin, dass die ePA für alle noch nicht live ist, was der Gelegenheit dient, das Sicherheitskonzept zu verbessern. Seit August 2023 stehen die Hacker in Kontakt mit gematik sowie Sicherheitsbehörden, um einen massenhaften Datenabfluss zu verhindern. Beide Experten kritisieren zudem die Entscheidung, auf PIN-Nummern für den Zugriffsschutz zu verzichten, um die Benutzerfreundlichkeit zu erhöhen, und hinterfragen das geringe Sicherheitsbewusstsein in Organisationen wie Krankenkassen, die elektronische Gesundheitskarten ausgeben. Laut Tschirsich sei es zu einfach, an ausrangierte Hardware zu gelangen, die den Zugang zur Telematikinfrastruktur ermöglicht. Diese Bedenken teilt auch BÄK-Präsident Klaus Reinhardt, der Patienten derzeit davon abrät, die ePA zu nutzen, wie Spektrum berichtete.
Einführung der elektronischen Patientenakte
Am 15. Januar 2025 wird die AOK allen Versicherten, die nicht widersprochen haben, eine persönliche elektronische Patientenakte zur Verfügung stellen. Über 27 Millionen Versicherte sind betroffen, und die Bereitstellung der ePA wird voraussichtlich bis Ende Februar 2025 andauern. In den Modellregionen Hamburg, Franken, Nordrhein und Westfalen-Lippe arbeiten seit dem 15. Januar 2025 ausgewählte Arztpraxen und Gesundheitseinrichtungen mit der ePA.
Das Ziel dieser Modellregionen ist es, wichtige Erfahrungen mit der Technik und Organisation zu sammeln. Nach erfolgreichem Testbetrieb soll die bundesweite Nutzung im 2. Quartal 2025 starten, sofern alle technischen, organisatorischen und datenschutzrechtlichen Anforderungen erfüllt sind. Der Testbetrieb wird dabei helfen, mögliche Herausforderungen frühzeitig zu identifizieren und zu lösen, wobei Sicherheit und Funktionalität der ePA oberstes Gebot sind, wie AOK berichtet.
