Elektronische Patientenakte gehackt: Zugriff auf 70 Millionen Datensätze

Eines der ersten Projekte, die im Jahr 2025 durchgesetzt werden sollen, ist die elektronische Patientenakte (ePA) für alle. Kurz vor dem Jahresende hatte der Chaos Computer Club eklatante Sicherheitsmängel aufgedeckt: Auf dem Hacker-Kongress 38C3 präsentierten zwei IT-Sicherheitsexperten, wie sie ohne viel Aufwand auf einen Schlag auf alle 70 Millionen Patientenakten zugreifen könnten.

Auf dem Weg: Die ePA auf der Datenautobahn

Die elektronische Patientenakte (ePA) wird ab dem 15. Januar 2025 für alle gesetzlich Versicherten eingeführt, die nicht aktiv widersprochen haben, zuerst ab Mitte Januar in den Modellregionen Hamburg, Franken und Teilen von Nordrhein-Westfalen. Ab dem 15. Februar 2025 ist ein bundesweiter Roll-out geplant, sofern die Tests in den Modellregionen erfolgreich verlaufen.

Die ePA soll ein zentralisiertes, digitales Tool zur Speicherung und Verwaltung der Gesundheitsdaten sein und nach offizieller Lesart den Austausch zwischen Patienten, Ärzten und anderen Akteuren im Gesundheitssystem erleichtern – ein digitaler Speicher für alle Unterlagen, die beim Praxisbesuch oder im Krankenhaus erstellt werden.

70 Millionen Krankenakten auf einen Streich

Nicht einmal drei Wochen vor dem ePA-Roll-out wurde jetzt beim Kongress des Chaos Computer Clubs demonstriert, wie einfach Kriminelle das Datengold abgreifen können. Der CCC teilte mit, wie leicht sie auf unterschiedlichen Wegen auf die elektronischen Patientenakten zugreifen können, nachdem Bianca Kastl und Martin Tschirsich auf dem 38. Chaos Communication Congress die Sicherheitsmängel demonstriert hatten:

„Sicherheitsforscher zeigen unter anderem, wie sie sich mit wenig Aufwand und zum wiederholten Male gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter beschaffen und damit auf Gesundheitsdaten zugreifen konnten. Ursächlich sind erneut Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie im real existierenden Umgang mit den Karten im Feld.“

Der leichte Hack der elektronischen Gesundheitsakte

Zudem demonstrierten die IT-Fachleute, wie Mängel in der Spezifikation es ermöglichen, Zugriffstoken für Akten beliebiger Versicherter zu erstellen. „Dies ist möglich“, so der CCC weiter, „ohne dass die Gesundheitskarten präsentiert oder eingelesen werden müssen. Damit hätten Kriminelle auf einen Schlag Zugriff auf mehr als 70 Millionen Akten.“

Der Fernzugriff auf Patientenakten war möglich über unsicher konfigurierte IT sowohl in den Gesundheitseinrichtungen als auch bei den Dienstleisterzugängen.

Die Daten mit höchsten Sicherheitsstandards geschützt?

Der Chaos Computer Club fordert aufgrund dieser Sicherheitslücken ein „Ende der ePA-Experimente am lebenden Bürger“.

Auf den Vortrag beim CCC-Kongress mit der Demonstration der niedrigschwelligen Hackbarkeit der ePA reagierte Gematik, der zentrale Dienstleister für die Digitalisierung des Gesundheitswesens, der auch die technische Infrastruktur für die ePA entwickelt und betreibt, mit einer Stellungnahme:

„Die vom CCC vorgestellten Angriffsszenarien auf die neue ePA wären technisch möglich gewesen, die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen.“ Grundsätzlich gelte weiterhin: „Die ePA für alle wurde und wird mit höchsten und modernsten Sicherheitsstandards gebaut […]“

Zuvor hatte Gematik ein von ihr in Auftrag gegebenes positives Gutachten des Fraunhofer-Instituts veröffentlicht: „Gutachten bestätigt: ePA für alle ist sicher“, hieß es dort und dass eine moderne Sicherheitsarchitektur es ermögliche, dass die enthaltenen Gesundheitsinformationen in der ePA mit den höchsten Sicherheitsstandards geschützt werden.

Datenschutz Lauterbachs wichtigstes Anliegen

Auch für Karl Lauterbach war der Sicherheitsaspekt maßgeblich: „Der Datenschutz und die Datensicherheit waren uns zu jedem Zeitpunkt der Einführung das wichtigste Anliegen“, so der Gesundheitsminister noch Ende September, 100 Tage vor der Einführung der ePA.

Die elektronische Krankenakte gibt es seit 2021. Vor der Einführung des Opt-out-Verfahrens, bei dem man eine Freischaltung der Akte aktiv ablehnen muss, gab es das Opt-in-Verfahren. Die Patienten mussten aktiv zustimmen, um eine ePA zu nutzen. Zu diesem Zeitpunkt belief sich die Zustimmung auf circa 1 Prozent, was eine sehr niedrige Akzeptanz zeigt. Ab 15. Januar 2025 wird aus der Opt-in- eine Opt-out-Entscheidung. Dies soll die Zahl der ePA-Nutzer vergrößern.

Vorteile betont: Bessere Übersicht und wenige Doppelbehandlungen

Befürworter der ePA betonen die Vorteile: Grundsätzlich können alle Leistungserbringer sofort auf alle relevanten Daten zugreifen, ohne diese extra anfordern zu müssen. Damit sei eine Zeitersparnis verbunden, auch weniger Papierdokumente und die einfache Weiterleitung von Befunden.

Eine bessere Versorgung soll durch schnelleren Informationsaustausch zwischen Ärzten gewährleistet werden. Das Risiko doppelter Untersuchungen sinke. Generell gewährleiste die ePA dadurch eine bessere Übersicht, dass die gesamte Krankengeschichte an einem Platz gespeichert sei.

Von langer Hand vorbereitet: Daten für Datenkraken

Aber die ePA soll nicht nur individuelle Vorteile bringen: „Durch die Möglichkeit der freiwilligen Datenfreigabe wird ab 2023 auch die Forschung und damit die gesamte Gesellschaft im Sinne einer verbesserten Gesundheitsversorgung von der Nutzung der Daten profitieren“, hieß es schon in dem Entwurf des Bundesministeriums für Digitales und Verkehr für eine Digitalstrategie aus dem Jahr 2022.

Inzwischen wird immer klarer: Interessierten Unternehmen stehen sehr lukrative Vorteile ins Haus, denn Gesundheitsminister Lauterbach hat Ende 2024 angekündigt, den Datenschatz mit „Meta, OpenAI und Google“ heben zu wollen:

„Hieß es bei Verabschiedung der entsprechenden Gesundheitsgesetze noch ‚wir wollen Daten für die Forschung und ggf. Pharma-Industrie’, bestätigt Gesundheitsminister Lauterbach, dass man in ‚Verhandlungen mit Meta, OpenAI und Google zwecks Zugriff auf die Gesundheitsdaten stehe“, schreibt IT-Sicherheitsexperte Günter Born in seinem IT-BlogBorn-City.de Damit nahm er Bezug auf einen Artikel des „Ärztenachrichtendienstes“ über den Auftritt von Bundesgesundheitsminister Karl Lauterbach (SPD) am 28. November 2024 auf der digital health conference dhc 2024 in Berlin.

Hier verwies der Gesundheitsminister „auf die globale Bedeutung dieses Gesundheitsdatensatzes“. Auch die elektronische Patientenakte füttere ein in ein entstehendes System, „das größte Digitalprojekt, was es in Deutschland jemals gegeben hat“, was einen der größten Datensätze weltweit entstehen lasse.

System anfällig für Fehler und Missbrauch

Kritiker wie der CCC und andere IT-Experten bemängeln aber vor allem die fehlende Datensicherheit der ePA. IT-Sicherheitsexperte Günter Born warnt in seinem Blog Born-City.de: „Selbst ohne Datenschutzvorfall oder Missbrauch bietet eine solche elektronische Patientenakte Fallen ohne Ende. Der gläserne Patient mit seiner Akte, gespeist aus Daten irrender und unfähiger Protagonisten (Laborergebnisse vertauscht, fehlerhafte Diagnose und so weiter), wird Wirklichkeit. Das alles gepaart mit technischen Unzulänglichkeiten öffnet Willkür und Fehlentscheidungen Tür und Tor.“

Der gläserne ePA-Patient

Dr. med. Michael Spitzbart weitet seine Kritik am Missbrauchspotenzial der ePA in einer Stellungnahme auf seinem Facebook-Profil noch aus. Da heißt es unter anderem:

„Ich persönlich möchte, dass möglichst wenig Daten von mir gespeichert werden. Doch der übergriffige Staat will immer mehr Informationen speichern, um dann – sobald 2028 der digitale Euro eingeführt wird – alles in einer Wallet zu verwalten. Bankkonto, Impftstatus, CO2-Fußabdruck, Reiseverhalten etc. pp. – Spätestens dann ist der Bürger gläsern, und andere entscheiden, ob oder wofür man sein Geld ausgibt.“

Der elektronischen Krankenakte widersprechen

So geht’s: Der Widerspruch ist nicht nur digital, sondern auch per Anruf oder direkt in der Kundenberatung der Krankenkasse möglich. Geht der Widerspruch ein, wird die Akte entweder erst gar nicht angelegt oder, wenn sie schon angelegt sein sollte, wieder gelöscht.

---