Jährlich findet eine Veranstaltung statt, auf der regelmäßig bedeutende Sicherheitsmängel aufgedeckt werden: der Chaos Communication Congress, organisiert vom Chaos Computer Club. Dieses Jahr stand die elektronische Patientenakte (ePA) im Fokus der deutschen Hackergemeinde, und die entdeckten Sicherheitslücken waren besorgniserregend groß.
Ab nächstem Jahr soll die ePA für alle Versicherten verpflichtend eingeführt werden. Wer nicht möchte, dass seine Gesundheitsdaten zentral auf Servern gespeichert werden und mit einer Chipkarte zugänglich sind, muss widersprechen. Das Bundesgesundheitsministerium wirbt für die ePA mit dem Argument, dass Patienten jederzeit ihre Daten einsehen können.
“Im Rahmen Ihrer Behandlung können alle beteiligten Leistungserbringer auf Ihre gespeicherte Krankengeschichte zugreifen, dazu zählen z.B. Arztberichte und Befundberichte. Das spart Zeit und erleichtert den Behandlungsprozess erheblich!” wird versprochen.
Des Weiteren versichert das Ministerium, dass man jederzeit selbst bestimmen und überprüfen könne, wer Zugriff auf die eigenen Daten hat und diese Berechtigungen auch ändern kann.
Die Realität sieht jedoch anders aus, wie Experten feststellen.
“Der Angriff dauerte etwa eine Stunde, war aus der Ferne durchführbar und ermöglichte den Vollzugriff auf eine ePA sowie auf alle ePAs der zugelassenen Leistungserbringer”, berichteten die IT-Experten Bianca Kastl und Martin Tschirsich. Nach nur einer Stunde waren alle Akten einer Praxis offen zugänglich. Ausgenutzt wurde dabei eine Schwachstelle, die schon seit 2012 bekannt ist.
Mit größerem Aufwand, speziell einem Monat, ist es den Fachleuten sogar gelungen, vollumfänglichen Zugriff auf alle ePAs zu erlangen. Auf alle. Von jedem.
Kastl und Tschirsch fordern eine “unabhängige und robuste” Überprüfung der Sicherheitsrisiken. Viele dieser Lücken sind “bereits seit Jahren bekannt” und wurden anscheinend immer noch nicht behoben.
Es gibt zahlreiche Instanzen, die großes Interesse an solchen sensiblen Daten haben könnten. Beispielsweise könnte die CIA mit einem Monat Aufwand Zugang zu den Daten aller deutschen Versicherten erhalten. Diese könnten dann möglicherweise für Erpressungen genutzt werden. Es ist eine beunruhigende Vorstellung, dass solch sensible Informationen wie jene aus der Patientenakte unrechtmäßig abgegriffen und möglicherweise im Darknet verkauft werden könnten.
Das Bundesgesundheitsministerium betonte zuvor, dass Sicherheit das fundamentale Element für das Vertrauen der Bürger in die ePA darstellt. Eine offizielle Stellungnahme zu den Vorwürfen der IT-Experten steht noch aus.
Mehr zum Thema – Zum Schutz der Patienten? Widerspruch gegen elektronische Patientenakte selten