Wie die Plattform BR24 des Bayerischen Rundfunks am 31. Dezember 2024 mitteilte, haben IT-Experten schon jetzt umfängliche Sicherheitsmängel bei der elektronischen Patientenakte (ePA) nachweisen können – kurz, bevor diese in den Modellregionen (Hamburg, sowie Teilen von Franken und Nordrhein-Westfalen) eingeführt werden soll.
Im Rahmen des Chaos Communication Congress (CCC), der zwischen den Jahren in Hamburg stattfand, gaben die Sicherheitsexperten Martin Tschirsich und Bianca Kastl bekannt, dass sie gravierende Sicherheitsmängel bei der ePA aufgedeckt haben. Mit einem einfachen Telefonanruf bei den Krankenversicherungen könnte man, so die beiden Experten während ihres Vortrages, eine elektronische Gesundheitskarte auf einen beliebigen Namen bestellen – und das mit einem Zeitaufwand von maximal 10 bis 20 Minuten. Da die neue Version der ePA 3.0 beim Einsatz in Praxen keine PIN-Eingabe voraussetzt, reicht der Besitz einer elektronischen Gesundheitskarte aus, um auf sensible Gesundheitsdaten zugreifen zu können. Als ob dies nicht schon ausreichend Anlass zur Sorge gibt, konnten M. Tschirsich und B. Kastl noch weitere Schwachstellen nachweisen: Unter bestimmten technischen Voraussetzungen ist es möglich, digitale Zugriffsschlüssel für die ePA eines beliebigen Versicherten zu erstellen – und das ohne eine tatsächlich vorliegende Gesundheitskarte. Erschreckend hierbei ist, dass schon der gehackte Zugang einer einzigen Praxis ausreichen könnte, um Zugriff auf bis zu 1500 Patientenakten zu erlangen. Die für die Entwicklung und den Vertrieb der ePA zuständige Gematik hat auf die nachgewiesenen Sicherheitslücken reagiert und schreibt in ihrem Statement vom 27. Dezember 2024, dass die vom CCC beschriebenen Angriffsszenarien auf die neue ePA zwar technisch möglich seien, die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich seien. Hierfür müssten verschiedene Voraussetzungen erfüllt sein, wie die illegale Beschaffung eines Institutionsausweises mit der dazugehörigen PIN, der Vertrag mit einem Zugangsdienst und eine technisch komplexe Manipulation. Man stünde im intensiven Austausch mit den zuständigen Sicherheitsbehörden und habe bereits technische Lösungen zum Unterbinden der Angriffsszenarien konzipiert. Vor dem bundesweiten Rollout hat die Gematik nun verschiedene ergänzende Sicherheitsmaßnahmen ergriffen, so z. B. eine zusätzliche Verschlüsselung der Krankenversichertennummer, und will die eigenen Überwachungsmaßnahmen noch verstärken. Dem CCC reichen diese Aussagen und Maßnahmen nicht, er fordert ein Ende der ePA in der aktuellen Form.