Die elektronische Patientenakte: Ein Datenschutzunglück in Zeitlupe?

Die Einführung der elektronischen Patientenakte (ePA) wird politisch als Meilenstein der Digitalisierung im Gesundheitswesen verkauft, gleichzeitig warnen Sicherheits- und Datenschutzexperten seit Jahren vor gravierenden Schwachstellen. Durch das Opt-out-Verfahren stehen faktisch die Gesundheitsdaten von rund 70 Millionen Versicherten im Fokus – oft ohne ausreichende Transparenz über Risiken und Schutzmechanismen.

Gefährliche Schwachstellen im System

Die Telematikinfrastruktur (TI) bildet das Rückgrat der ePA und soll eine sichere Übertragung und Speicherung medizinischer Daten gewährleisten. In der Praxis zeigten sich jedoch wiederholt Sicherheitslücken in Konnektoren und Praxisnetzwerken, die Angreifern Remote-Zugriff auf hochsensible Daten ermöglichten. Unsachgemäße Installationen führten dabei teils dazu, dass Praxisverwaltungssysteme direkt aus dem öffentlichen Internet erreichbar waren.

Noch kritischer ist der Umgang mit der Kartennummer ICCSN auf der elektronischen Gesundheitskarte. Seit 2016 ist ein Angriff bekannt, bei dem unzureichende Validierung der ICCSN dazu genutzt werden kann, auf fremde ePAs zuzugreifen. Durch das Generieren oder Manipulieren von Kartennummern lässt sich eine ePA eines anderen Versicherten ansprechen, ohne dass dies im System zuverlässig erkannt wird.

Organisatorische und strukturelle Probleme

Neben technischen Schwachstellen spielt das Berechtigungs- und Identitätsmanagement eine zentrale Rolle. Patienten können oft nicht fein granular steuern, welche Leistungserbringer auf welche Datensätze zugreifen dürfen, was insbesondere bei sensiblen Diagnosen problematisch ist. Hinzu kommen unsichere Prozesse bei der Ausgabe von Gesundheitskarten, dokumentierte Social-Engineering-Fälle und unzureichende IT-Sicherheitsstandards in vielen Praxen.

Erschwerend wirkt eine mangelnde Transparenz seitens der verantwortlichen Stellen. Kritische Hinweise aus der Sicherheitscommunity, etwa von Forschungsteams, die ihre Ergebnisse regelmäßig auf dem Chaos Communication Congress vorstellen, wurden lange Zeit nur zögerlich aufgenommen. Patienten wird damit häufig ein trügerisches Sicherheitsgefühl vermittelt, während strukturelle Risiken bestehen bleiben.

Was sich ändern muss

Um die ePA zu einem vertrauenswürdigen Werkzeug zu machen, braucht es unabhängige Sicherheitsprüfungen durch Stellen, die nicht der Gematik oder dem Bundesgesundheitsministerium unterstellt sind. Die Ergebnisse solcher Audits sollten transparent veröffentlicht werden, damit Betroffene und Fachöffentlichkeit die tatsächliche Risikolage einschätzen können. Parallel dazu muss das Versichertenstammdatenmanagement – insbesondere die Validierung der ICCSN – technisch so gehärtet werden, dass bekannte Angriffe ausgeschlossen sind.

Auf organisatorischer Ebene sind verpflichtende Zwei-Faktor-Authentifizierung, robuste Schulungs- und Supportangebote für Praxen sowie sichere, dokumentierte Prozesse bei der Kartenausgabe nötig. Ein granulareres Berechtigungsmanagement, in dem Patienten selbst definieren können, wer auf welche Daten zugreift, ist essenziell, um sensible Informationen kontextabhängig zu schützen.

Fazit

Die elektronische Patientenakte besitzt zweifellos das Potenzial, Versorgung zu verbessern und Abläufe zu vereinfachen. In ihrem aktuellen Zustand überwiegen jedoch die Risiken: technische Schwachstellen, mangelnde Transparenz und unzureichende Zugriffskontrolle machen die ePA zu einem Datenschutzrisiko auf Zeit. Erst wenn Sicherheit und Datenschutz von Beginn an als nicht verhandelbare Grundanforderungen behandelt werden, kann die ePA das leisten, was die Versprechen der Digitalisierung in Aussicht stellen.

• Tags:
• Epa
• Telematik
• Gesundheitskarte
• Opt-Out