Die elektronische Patientenakte: Sicherheitsrisiken auf Kosten der Versicherten?Die elektronische Patientenakte: Sicherheitsrisiken auf Kosten der Versicherten?
Die Umstellung der elektronischen Patientenakte auf Opt-Out weckt schwere Sicherheitsbedenken. Der Chaos Computer Club (CCC) warnt vor Zugriffsrisiken für Millionen Gesundheitsdaten.
Mit der Einführung der „ePA für alle“, einer zentralen digitalen Patientenakte, die Daten von über 70 Millionen Versicherten speichert, tritt Deutschland in eine neue Ära der digitalen Gesundheitsverwaltung ein. Doch mit dieser Umstellung von einer freiwilligen Teilnahme (Opt-In) zur automatischen Einbeziehung aller Versicherten (Opt-Out) geraten erneut schwerwiegende Sicherheitsmängel ans Licht.
Zugriff auf Daten mit einfachen Mitteln
Auf dem 38. Chaos Communication Congress (38C3) präsentierten Sicherheitsforscher neue Schwachstellen der ePA, die bereits zuvor bekannt waren, aber bis heute nicht behoben wurden:
- Missbrauch von Gesundheitskarten und Praxisausweisen: Kriminelle könnten diese leicht beschaffen und somit Zugang zu Patientenakten erlangen.
- Unzureichende Prozesse: Unsichere Ausgabeportale und fehlerhafte Handhabung der Zugangskarten machen den Datendiebstahl einfach.
- Manipulation von Zugriffstokens: Forscher zeigten, dass Zugriffstokens erstellt werden können, ohne dass die physische Karte der betroffenen Person nötig ist, was Zugriff auf sämtliche Akten ermöglichen könnte.
IT-Sicherheit: Ein offenes Scheunentor
Besonders gravierend ist der Zugriff über unsicher konfigurierte IT-Infrastrukturen in Kliniken und bei Dienstleistern. Trotz dieser Risiken wird die Initiative „ePA für alle“ weiter ausgedehnt – ein Experiment auf Kosten der Datensicherheit der Versicherten.
Fehlende kritische Prüfung
Während der CCC erhebliche Schwachstellen demonstriert, beurteilte eine KI des Fraunhofer-Instituts das Sicherheitskonzept mit „geringen Mängeln“ als sicher. Diese Diskrepanz unterstreicht den dringenden Bedarf an unabhängigen Bewertungen und einer transparenten Kommunikation von Risiken gegenüber den Betroffenen.
Forderungen für eine sichere ePA
Der CCC fordert:
- Unabhängige Sicherheitsanalysen durch nicht mitbetroffene Akteure.
- Transparenz gegenüber Versicherten und Leistungserbringern über bestehende Risiken.
- Ein offener Entwicklungsprozess, um Vertrauen und Sicherheit langfristig zu gewährleisten.
Nur eine vertrauenswürdige digitale Infrastruktur kann die Akzeptanz der ePA sicherstellen. Dafür müssen jedoch zunächst die Schwachstellen beseitigt werden, bevor sie zur Grundlage der Gesundheitsversorgung aller Versicherten wird.
Autor: Redaktion
Bild Quelle: Symbolbild Pexel
Donnerstag, 09 Januar 2025
