Die elektronische Patientenakte (ePA) »für alle« kommt. Die ePA ist eine Art digitaler Ordner, in dem alle wichtigen Informationen zur Gesundheit und Krankheitsgeschichte gespeichert werden.
Für gesetzlich Versicherte beginnt der Rollout ab dem 15. Januar 2025 und die Krankenkassen stellen den Versicherten automatisch eine ePA zur Verfügung, sofern kein Widerspruch eingelegt wird.
Sicherheitsforscher weisen jedoch auf gravierende Sicherheitslücken hin, die bereits bei der Einführung 2020 für Aufsehen sorgten.
Viele Sicherheitsprobleme existieren nach wie vor
Die beiden Sicherheitsforscher Bianca Kastl und Martin Tschirsich demonstrieren, wie sich Dritte mit (zum Teil) geringem Aufwand Zugang zur ePA verschaffen können. Ein zentraler Punkt ist dabei die Ausgabe von Gesundheitskarten. Den vollständigen Vortrag findet ihr hier:
Zum Hintergrund: Für den Zugang zur ePA benötigt man entweder den elektronischen Personalausweis und eine PIN oder eben die Gesundheitskarte mit der dazugehörigen PIN. Die PIN für die elektronische Gesundheitskarte (eGK) erhalten Versicherte von ihrer Krankenkasse.
Im Mittelpunkt der Kritik stehen erneut Schwachstellen bei den Ausgabeprozessen, den Beantragungsportalen sowie der Handhabung dieser Karten in den Arztpraxen.
- Die beiden Sicherheitsforscher erklären, wie schnell und vergleichsweise einfach die Beantragung von Gesundheitskarten auf fremde Namen geht (etwa 20 Minuten, so die Forscher).
- Wie heise.de schreibt, sind auf den Chipkarten auch die kryptographischen Identitäten gespeichert, die den sicheren Zugang zur ePA gewährleisten sollen. Diese werden jedoch nicht verwendet, um die Echtheit der Karte zu authentifizieren.
- Die Forscher fanden zudem heraus, dass sie durch gezieltes Ausnutzen von Schwachstellen in der Lage waren, sogenannte Zugriffstoken für Arztpraxen zu generieren. Damit erhielten sie die Berechtigung, die Gesundheitsakten beliebiger Versicherter einzusehen, ohne zuvor physisch mit einer Gesundheitskarte interagieren zu müssen.
Deutlich aufwendiger, aber dennoch möglich, ist die Ausnutzung von Sicherheitslücken im Identitätsnachweisverfahren der ePA-Infrastruktur, um einen umfassenden Zugriff auf das System zu und somit allen ePAs zu erlangen. Die Forscher beziffern den Zeitaufwand auf etwa einen Monat.
Auf Basis all dieser gravierenden Sicherheitslücken wäre nach Angaben der beiden Forscher der Zugriff auf mehr als 70 Millionen Patientenakten möglich.
»Das notwendige Vertrauen lässt sich nicht verordnen«
Wie der Innovationsverbund Öffentliche Gesundheit schreibt, muss die Sicherheit der ePA für alle unbedingt gewährleistet sein, um das Vertrauen der Versicherten zu gewinnen. Gerade Personen, die von der ePA profitieren könnten, würden sie aufgrund von Risikoerwägungen möglicherweise nicht nutzen, so die Forscher.
Die Experten formulieren daher drei zentrale Forderungen:
- Unabhängige und belastbare Bewertung von Sicherheitsrisiken
- Transparente Kommunikation von Risiken gegenüber Betroffenen
- Offener Entwicklungsprozess über den gesamten Lebenszyklus
Inzwischen hat sich die gematik, der Betreiber der ePA-Infrastruktur, zu Wort gemeldet. Diese räumt zwar die Sicherheitsmängel ein, bezeichnet aber »die praktische Umsetzung in der Realität« als »nicht sehr wahrscheinlich«. Immerhin bekräftigen sie den Austausch mit den zuständigen Sicherheitsbehörden.
ePA kann widersprochen werden
Wie eingangs erwähnt, erhalten alle gesetzlich Versicherten im Jahr 2025 automatisch eine persönliche elektronische Patientenakte – sofern sie dem nicht widersprechen.
Die Nutzung der ePA ist also grundsätzlich freiwillig. Nähere Informationen zum Widerspruch gibt es bei der jeweiligen Krankenkasse.
Die Krankenkassen bieten dazu online ein Widerspruchsformular an, das ihr mit euren Versichertendaten ausfüllen müsst.
![Elden Ring: Gegner ist so gewaltig, dass er das Spiel zerstört - und ein Modder hat ihn geweckt [Best of GameStar]](http://images.cgames.de/images/gamestar/256/gs-elden-ring-mod_6177990.jpg)
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.