Hackerangriff auf D-Trust – IG Med fordert sofortigen Stopp der elektronischen Patientenakte

Die Interessengemeinschaft Medizin (IG Med) fordert Gesundheitsminister Karl Lauterbach und die gematik GmbH eindringlich auf, die Einführung (Rollout) der elektronischen Patientenakte (ePA) umgehend zu stoppen. Hintergrund ist ein Hackerangriff auf D-Trust, einer Tochtergesellschaft der Bundesdruckerei (Epoch Times berichtete). Die Cyberattacke ereignete sich am 13. Januar 2025 – zwei Tage vor der offiziellen Einführung.

IG Med: Lauterbach muss politische Verantwortung übernehmen

Wie die IG Med auf ihrer Internetseite mitteilte, waren von dem Angriff auch Daten von Ärzten, einschließlich der Ausweisnummern der elektronischen Heilberufsausweise (eHBA) betroffen. Zeitgleich warnten verschiedene Ärztekammern vor Phishing-Mails. Mit ihnen sei es möglich, gezielt weitere sensible Informationen von Ärzten abzugreifen.

„Angesichts dieser alarmierenden Sicherheitsvorfälle sowie der bereits bekannten Authentifizierungsproblematik, die der Chaos Computer Club (CCC) auf seinem letzten Kongress offenlegte, muss der Rollout unverzüglich gestoppt werden – auch in den Testregionen“, fordert Dr. Ilka Enger, Vorsitzende der IG Med. „Unsere wiederholten Warnungen wurden bislang ignoriert, und nun sind die befürchteten Risiken bittere Realität.“

Die Kombination eines kompromittierten Heilberufsausweises mit einem gebrauchten Konnektor (Sicherheitskomponente) stelle ein „massives Einfallstor“ in die Telematik-Infrastruktur dar. Aktuell sei die ePA „glücklicherweise“ nur in Testregionen verfügbar. Doch eine Sicherheitslücke dieser Tragweite würde bei einer bundesweiten Einführung den potenziellen Zugriff auf die Gesundheitsdaten von rund 70 Millionen Versicherten ermöglichen.

„Das Vorgehen von Gesundheitsminister Karl Lauterbach ist angesichts dieser Pannen als grob fahrlässig zu bewerten“, kritisierte Dr. Steffen Grüner, stellvertretender Vorsitzender der IG Med. „Sollte der Minister den Rollout nicht umgehend stoppen, macht er sich mitschuldig an einem massiven Datenschutzverstoß. Sollte er bereits vor dem Rollout über den Hackerangriff informiert gewesen sein, muss er die politische Verantwortung übernehmen und seinen Rücktritt erklären.“

Die IG Med fordert ein sofortiges Moratorium für die elektronische Patientenakte, bis sämtliche Sicherheitslücken umfassend geschlossen und die Integrität der Telematikinfrastruktur vollständig gewährleistet sind. Datenschutz und Patientensicherheit müssen oberste Priorität haben, „alles andere ist unverantwortlich“.

Angeblich keine sensiblen Daten von Hackerattacke betroffen

Wie die Ärztekammer Nordrhein unter Berufung auf Aussagen von D-Trust mitteilte, sind von der Hackerattacke keine sensiblen Zugangsdaten (wie Passwörter) oder Zahlungsinformationen betroffen. Auch die Funktion und Sicherheit der ausgegebenen elektronischen Heilberufsausweise und Praxisausweise (SMC-B) seien nicht beeinträchtigt. Diese könnten laut D-Trust weiterhin „wie gewohnt genutzt werden“.

Der CCC hatte die Sicherheitslücken in der elektronischen Patientenakte in der Vergangenheit mehrfach angemahnt. Bei einem Vortrag auf dem 38. Chaos Communication Congress (27. bis 30. Dezember 2024) habe man zeigen können, dass „das Vertrauen in die elektronische Patientenakte (ePA) derzeit nicht gerechtfertigt ist“. In der Folge hätten sich viele Experten aus dem Gesundheitswesen „erschüttert über die Analyse und die demonstrierten technischen und organisatorischen Mängel gezeigt“, heißt es auf der Internetseite des CCC.

Das Fraunhofer-Institut hatte die Sicherheitsmaßnahmen der ePA im Oktober 2024 insgesamt als angemessen bezeichnet und monierte nur geringe Mängel. Dies sei ein Vorgehen, das beim CCC Stirnrunzeln erzeugte. Die „freudige Feststellung“ der gematik GmbH: „Gutachten bestätigt: ePA für alle ist sicher“, sei eine „halluzinierte Fehldiagnose.“ So kritisierte Calvin Baus, Sprecher des CCC: „Die ePA in ihrem aktuellen Zustand auszurollen, ist angesichts ihrer besorgniserregenden Sicherheitsprobleme eine falsche Entscheidung. Denn die Behauptung, dass die ePA sicher ist, trifft nicht zu. Dass Bundesgesundheitsminister Karl Lauterbach dies wahrheitswidrig und unverfroren behauptet, leugnet die belegten und beweisbaren Schwachstellen.“

Probleme teilweise länger als zehn Jahre bekannt

Die aufgezeigten Probleme seien den Verantwortlichen bei der gematik GmbH und im Ministerium „teilweise schon länger als ein Jahrzehnt bekannt“. Sie würden aber „weiter heruntergespielt und nicht ernst genommen“. Da die Schwachstellen auch jetzt noch kleingeredet würden, sei es nun überfällig, die technischen Details des „teuren Mammutprojekts offenzulegen“.

Die elektronische Patientenakte werde nicht ans Netz gehen, wenn es auch nur ein Restrisiko für einen großen Hackerangriff geben sollte, versicherte Bundesgesundheitsminister Lauterbach am 9. Januar (Epoch Times berichtete). Zuvor hatte er schon mehrfach bekundet, dass die Sicherheit der ePA im Zuge ihres bundesweiten Starts gewährleistet sei.

Für die in der Testphase teilnehmenden 300 Gesundheitseinrichtungen in den Pilotregionen sollen laut Bundesamt für Sicherheit in der Informationstechnik zusätzliche Schutzmaßnahmen ergriffen werden. Ein endgültiges Datum für die bundesweite Einführung der ePA stehe nicht fest. Die Arztpraxen befinden sich somit weiter in der Warteschleife.