Elektronische Krankenakte ePA: Potenziell sind alle Daten gefährdet

ePA in der Kritik

Elektronische Krankenakte ePA: Potenziell sind alle Daten gefährdet
In wenigen Tagen soll die elektronische Patientenakte (ePA) starten. Und sie soll besonders sicher sein. Wie sich nun zeigt, ist sie genau das aber nicht.
Autor: Sebastian Thöing • 30.12.2024


Rund 70 Millionen gesetzlich Versicherte sollen in Deutschland künftig automatisch eine elektronische Patientenakte (ePA) erhalten. Es sei denn, sie widersprechen aktiv. Experten sehen jedoch jetzt, kurz vor dem Start, erhebliche Sicherheitsmängel bei der Umsetzung, wie Golem berichtet.

Mit der Einführung der neuen elektronischen Patientenakte, auch ePA 3.0 genannt, sehen IT-Sicherheitsexperten die Daten von Millionen Versicherten gefährdet. Die Umstellung von einem freiwilligen zu einem verpflichtenden System in der Telematik-Infrastruktur (TI) des Gesundheitswesens erhöhe die Angriffsfläche erheblich. Der Sicherheitsforscher Markus Tschirsich und sein Team hatten bereits 2019 beim Chaos Communication Congress auf Schwachstellen hingewiesen – damals jedoch nur für die freiwillige Nutzung der ePA.

Das durchaus recht komplexe Zusammenspiel von Patienten, Ärzten, Apotheken, IT-Dienstleistern und der halbstaatlichen Gematik böte Angreifern an mehreren Stellen Angriffsflächen. Eine besonders schwerwiegende Lücke bestehe in der Authentifizierung über Gesundheitskarten. Hier würden zentrale Sicherheitsmerkmale wie kryptografische Prüfungen umgangen, wodurch der Zugriff auf beliebige Patientenakten möglich würde.


Zugang leicht gemacht

Die IT-Sicherheitsforscher schilderten drei Schwachstellen, die sich vergleichsweise einfach ausnutzen lassen:

• Ungesicherte Kartennummern
  
  
• Angreifbare Herausgeberportale
  
  
• Sicherheitslücken bei Zugangsgeräten
  

Die Sicherheitslücken haben laut dem IT-Experten David Kastl das Potenzial, das Vertrauen in die Digitalisierung des Gesundheitswesens erheblich zu schädigen. Trotzdem warnten die Forscher vor pauschalen Empfehlungen zum Opt-out: Jeder Versicherte müsse individuell entscheiden, ob der Sicherheitsbedarf die Nutzung der ePA rechtfertige. Für 2026 ist ein verbessertes Authentifizierungssystem geplant, jedoch sei Skepsis angebracht, ob dies rechtzeitig und ausreichend umgesetzt werde.


quelle: connect.de

Meine Reden...

die regierigen versager kriegen es nicht gebacken!


ePA ist nur ein weiterer beweis.

Ärzteschaft empfiehlt Widerspruch zu ePA für alle
Kurz vor dem Start der ePA für alle ist die Verunsicherung groß. Die Ärzte sehen noch "große Einfallstore" für Hacker.

Friedhelm Greis
8. Januar 2025, 11:38 Uhr

Aus Sicht der Ärzteschaft sollten Patienten die elektronische Patientenakte (ePA) für alle vorerst nicht nutzen. Der Präsident der Bundesärztekammer (BÄK), Klaus Reinhardt, sagte am 7. Januar 2025, er empfehle seinen Patienten derzeit die ePA nicht. Die möglichen Einfallstore seien zu groß, berichtete das Ärzteblatt.

Der Präsident des Berufsverbands der Kinder- und Jugendärztinnen und -ärzte (BVKJ), Michael Hubmann, sagte dem Bericht zufolge:

Zitat:

"Es ist frustrierend, wie die Verantwortlichen versuchen, eine für professionelle Angreifer leicht zu überwindende Datenlücke kleinzureden und den Eindruck zu erwecken, die ePA würde die Datensicherheit in Deutschland sicherstellen."

Lauterbach will alle Hackerangriffe unmöglich machen

Hintergrund der Äußerungen ist ein Vortrag auf dem 38. Chaos Communication Congress (38C3) im Dezember 2024 in Hamburg. Darin zeigten die Sicherheitsforscher Bianca Kastl und Martin Tschirsich vom Chaos Computer Club (CCC) unter anderem, dass es theoretisch mit verhältnismäßig geringem Aufwand möglich ist, Zugang zu sämtlichen freigeschalteten Patientenakten zu erhalten.

Bundesgesundheitsminister Karl Lauterbach (SPD) kommentierte die Erkenntnisse am 4. Januar 2025 mit den Worten:

Zitat:

"Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind. Daran wird schon länger gearbeitet."

Das Bundesgesundheitsministerium hält hingegen am geplanten Zeitplan fest. Das vom CCC beschriebene "theoretische Problem" werde "vor der Einführung der ePA für alle gelöst sein", teilte das Ministerium zum Jahresanfang mit.


Mehr Datenschutz für Kinder gefordert

Die Kinder- und Jugendärzte sehen aktuell nicht nur Sicherheits-, sondern auch Datenschutzprobleme bei der ePA. "So gibt es etwa keine Lösung, wie ehemals Berechtigten der Zugang zu sensiblen Daten entzogen werden kann", teilte der Verband mit.

Verbandspräsident Hubmann sagte weiter:

Zitat:

"Wir begrüßen die digitale Patientenakte ausdrücklich (...) aber sie muss funktional und sicher sein. Was wir hier erleben, ist nichts anderes als ein Blindflug. Wenn der Chaos Computer Club ohne große Hürden auf alle ePAs zugreifen kann, ist es nur eine Frage der Zeit, bis andere das auch schaffen."

Rund 70 Millionen Versicherte der gesetzlichen Krankenkassen sollen künftig eine ePA erhalten. Wer dies nicht möchte, muss dem aktiv widersprechen (Opt-out-Lösung). Je nach Einstellung könnten bestimmte Leistungserbringer wie Ärzte oder Apotheken Zugriff auf die Daten erhalten. In der Regel autorisieren Patienten die Zugriffsrechte, wenn sie beispielsweise bei einem Arztbesuch ihre elektronische Gesundheitskarte (eGK) in das Lesegerät stecken.

quelle: golem.de

Interesse an gehackten Krankenakten können aber wohl nur Dienstgeber haben, mich interessiert es nicht ob Franzi Husten hat, oder die Josefine Syphilis.

Das Kasperltheater gibt es in Österreich schon länger. Obwohl ich mich von der ELGA abgemeldet hatte, bekomme ich Verschreibungen auch vom praktischen Arzt, die vorher nur ein Facharzt ausstelle - wie geht das?

Andererseits verarscht man die Leute und muss Befunde selbst beschaffen und selbst zu OP-Terminen bringen.

Ähnlich verhält es sich mit den Fingerabdrücken für Reisepässe. Ich glaube nicht daran, dass dies zum ausschliesslichen Zweck des Reisepasses ist und da keiner Zugriff drauf hat.

Es ist noch schlimmer, denn die welche Zugriff auf Deine Daten haben werden selbst nicht kontrolliert....

Ebenso ist es mit den Krankendaten der ePA die "pseudonymisiert" an irgendwelche Datenkraken verramscht werden.

Elektronische Patientenakte:
Rund jeder 30. widerspricht der ePA für alle
Einige Millionen Versicherte dürften der ePA schon widersprochen haben. Vertreter der Zivilgesellschaft äußern "erhebliche Bedenken" wegen der Sicherheitslücken.

Friedhelm Greis
14. Januar 2025, 14:15 Uhr

Kurz vor dem Start der Pilotphase zur elektronischen Patientenakte (ePA) für alle verzeichnen die gesetzlichen Krankenkassen nur eine geringe Widerspruchsquote. Auf Anfrage von Golem.de teilte die AOK mit, dass die Quote Anfang Januar bei rund 2,7 Prozent gelegen habe. Bei der DAK widersprachen einem Sprecher zufolge drei Prozent der Versicherten dem Anlegen der ePA.

Nach Angaben der Barmer reichten bislang etwa 370.000 der 8,6 Millionen Versicherten einen Widerspruch gegen die ePA ein. Das entspreche einem Anteil von 4,3 Prozent. Bei der Techniker Krankenkasse (TK) liegt der Anteil bei sechs Prozent, was etwa 700.000 Versicherten entspricht.

AOK, Barmer, TK und DAK haben zusammen fast 47 Millionen Versicherte. Hochgerechnet auf 70 Millionen gesetzlich Versicherte hätten demnach mehr als zwei Millionen Personen bislang einen Widerspruch eingelegt.


CCC enthüllt Sicherheitslücken

Nach einem Vortrag auf dem 38. Chaos Communication Congress in Hamburg ist eine Debatte um die Sicherheit der ePA entbrannt. Selbst Ärzteverbände empfehlen inzwischen den Patienten, aus Sicherheitsgründen das neue System vorerst nicht zu nutzen.

Der AOK zufolge führten die entsprechenden Berichte jedoch nicht zu einem signifikanten Anstieg der Widersprüche. "Wir verzeichnen in den letzten Wochen einen leichten Anstieg der Widersprüche auf insgesamt niedrigem Niveau. Das hängt aber eher damit zusammen, dass der initiale Versand der Informationsbriefe an die Versicherten zur Einführung der ePA inzwischen abgeschlossen ist und damit ein vollständigeres Bild vorliegt", sagte ein Sprecher.

Die DAK teilte dazu mit: "Die Widerspruchszahlen sind in der jüngsten Vergangenheit etwas angestiegen. Dieser Anstieg war jedoch zu erwarten, je näher die Einführung der ePA für alle rückt."

Die Barmer räumte ein: "Wir beobachten einen leichten Anstieg bei der Zahl der Widersprüche. Viele Menschen erledigen solche administrativen Aufgaben am Jahresanfang." Die Entwicklung in den vergangenen Tagen könne möglicherweise auch auf die Berichterstattung über die Sicherheitslücken zurückzuführen sein.


Kritik aus der Zivilgesellschaft

Angesichts der bekanntgewordenen Sicherheitslücken fordern fast 30 zivilgesellschaftliche Organisationen, dass die "erheblichen Bedenken" vor dem Start der ePA "glaubhaft und nachprüfbar ausgeräumt werden". Die Schließung der offenen Sicherheitslücken sei "dafür eine grundlegende Voraussetzung, aber alleine nicht ausreichend", heißt es in einem offenen Brief, der unter anderem vom Chaos Computer Club (CCC), vom Verbraucherzentrale Bundesverband (VZBV), von der Freien Ärzteschaft und vom Digitalverein D64 unterzeichnet wurde.

In mehreren Modellregionen startet die Pilotphase am 15. Januar 2025. Der bundesweite Start ist für den 15. Februar 2025 geplant. Dem offenen Brief zufolge darf der bundesweite Start "erst nach einer gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen erfolgen".

Zudem werden die Krankenkassen aufgefordert, transparenter über die Sicherheitsrisiken der ePA neutral zu informieren. "Eine pauschale Aussage wie 'Die ePA ist sicher.' ist ungeeignet. Das Vertrauen der Versicherten in die Datensicherheit der ePA kann nur mit maximaler Transparenz über die getroffenen Maßnahmen gewonnen beziehungsweise wiederhergestellt werden", heißt es.


Warnung vor Erpressungspotenzial

Die Freie Ärzteschaft kritisierte in einer Stellungnahme zudem das Fehlen von Sicherheitsmechanismen bei der ePA. "Für jede Aktion beim Online-Banking nutzen wir eine 2-Faktor-Authentifizierung. Nur bei den sensibelsten Daten, die wir haben, gibt es diese Sicherheit nicht", sagte die stellvertretende Bundesvorsitzende Silke Lüder.

Bemängelt wird darüber hinaus, dass etwa zwei Millionen Menschen in Deutschland potenziell auf ePA-Daten zugreifen könnten. "Das ist ein Unding – und das würde die ärztliche Schweigepflicht künftig abschaffen! Jeder Mitarbeiter einer Apotheke oder etwa einer Fußpflegepraxis kann nach Stecken der Karte sehen, ob der Patient zum Beispiel eine erektile Dysfunktion, psychische Probleme oder eine Geschlechtskrankheit hat. Das Erpressungspotential ist ungeheuerlich", sagte der Bundesvorsitzende Wieland Dietrich.

Kritik am Berechtigungsmanagement äußerte auch der offene Brief der zivilgesellschaftlichen Organisationen: "Diese Kritik spiegelt berechtigte Interessen Betroffener. Die genannten Aspekte müssen zeitnah aufgegriffen und berücksichtigt werden."

Bislang sieht das Berechtigungsmanagement vor, dass Versicherte bestimmten Leistungserbringern wie Ärzten oder Apotheken einen Zugriff auf die Daten erteilen können. In der Regel autorisieren Patienten die Zugriffsrechte, wenn sie beispielsweise bei einem Arztbesuch ihre elektronische Gesundheitskarte (eGK) in das Lesegerät stecken. Sobald Versicherte in einer medizinischen Einrichtung ihre elektronische Gesundheitskarte einlesen lassen, geben sie damit generell den kompletten Zugriff auf die Daten frei. Zudem gilt die Freigabe für das gesamte Personal der Einrichtung.


Nachtrag vom 14. Januar 2025, 14:59 Uhr

Wir haben die Angaben der Barmer im ersten und sechsten Absatz ergänzt.


Nachtrag vom 15. Januar 2025, 11:23 Uhr

Wir haben die Angaben zur TK im ersten und zweiten Absatz ergänzt.


quelle: golem.de

Privat zum Arzt, Privatrezept oder erst gar nicht hingehen ist die einzige Sicherheit.
An das ganze Geschwätz glaube ist seit 38 Jahren nicht mehr.

Auch Krankheiten im Zusammenhang mit Berechtigungen (Waffen, Führerschein,...) sollte man nicht auf Krankenkasse behandeln lassen, um jedweden Zugriff der behörden zu verhindern.
Diese Missbrauchsgefahr halte ich für höher, als dass mich jemand wegen einer Krankheit erpressen könnte.

Wie lange ist K.Lauterbach noch Gesundheitsminister in D.?

Finde den Fehler!

Wenn ich mir die "Liste der österreichischen Gesundheitsminister" auf Wiki ansehe, waren ALLE unnötig, manche halt nur "nicht auffällig" wie die letzten in der Liste.

noch viel schlimmer haben´s die aus bayern von der cdu gemacht.
dann kommen scgon die der cdu.
also der klabautermann steht nicht alleine

...bayern ist speziell.

Nicht nur wegen c$u sondern vor allem wegen den ganzen Gruppen- und Gauleitern.

Die ePA für alle kommt ohne den versprochenen Mehrwert, noch dazu unsicher. Ehrliche Kommunikation? Fehlanzeige. Schluss mit den Märchen, fordert Marie Koch.



Mit dem Start der elektronischen Patientenakte gehen viele Versprechen einher. Die Daten seien sicher und geschützt, auch vor Wasserschäden. Tatsächlich fühlen sich viele im Regen stehen gelassen. (Bild: heise online / mack)



Noch kurz vor dem Start der "elektronischen Patientenakte für alle" hatte Gesundheitsminister Karl Lauterbach vor Pressevertretern an einem Patienten versucht, die Vorteile einer elektronischen Patientenakte zu demonstrieren. Ob ihm das wirklich gelungen ist? Unwahrscheinlich. Bei dem Schauspiel ließ sich der Doktor dabei filmen, wie er die mit einer analogen Blutdruckmanschette gemessenen Daten abliest und sie in ein Praxisverwaltungssystem einträgt. Von der neuen elektronischen Patientenakte jedoch keine Spur und auch in den Testregionen wird sie zum jetzigen Zeitpunkt schwer zu finden sein.


Die neue Patientenakte soll Versicherte mündig machen, sagt Lauterbach. Gleichzeitig entmündigt er die Versicherten, indem er ihnen die ePA automatisch aufdrückt – sofern sie nicht widersprechen. Ein mündiger Patient hätte sich selbst für eine ePA entscheiden können, aber diese Entscheidung wurde ihm abgenommen. Stattdessen betont das Bundesgesundheitsministerium, man könne die ePA auch ohne App nutzen – fragen Sie dafür am besten Ihren Arzt oder Apotheker. Um die ePA tatsächlich selbst "aktiv" nutzen zu können, müssen Versicherte sich registrieren und die App ihrer Krankenkassen herunterladen. Falls die App eines Tages läuft, kann sie höchstwahrscheinlich erstmal nicht mehr als die bisherige.


Warnungen gab es schon lange


Lauterbach will sich für die ePA feiern lassen, mehr noch als für das E-Rezept und die elektronische Arbeitsunfähigkeitsbescheinigung. Getreu dem Motto "koste es, was es wolle" oder "nach mir die Sintflut" – aber macht nichts. Die Gesundheitsdigitalisierung hat ja noch keine Milliarden verschlungen und die Versicherten erhalten derzeit auch keine Informationsschreiben von ihren Krankenkassen zu den bislang höchsten Beitragssteigerungen – Ironie off. Früh genug hatte die Industrie darauf aufmerksam gemacht, dass die Umsetzungszeit zu kurz ist und die ePA zum Start kein fertiges Produkt sein wird.


Wie lange er sich noch feiern lassen kann, bis die Maskerade auffliegt und die Märchen auserzählt sind? Unklar. Wie so vieles. Insbesondere der Nutzen der ePA – zumindest im ersten Jahr – und auch der Nutzen der ePA-Daten für die Forschung. "Die Daten werden nie von Unternehmen, sondern von Wissenschaftlern ausgewertet", verspricht Lauterbach dazu. Wieder eines von vielen Versprechen, die der Minister nicht halten kann. Und es kann ihm als privat Versicherter auch egal sein, denn bislang ist die Weitergabe zu Forschungszwecken nur für gesetzlich Versicherte geplant.


Vertrauen aufs Spiel gesetzt


Immer wieder betont er, wie wichtig Vertrauen für die Vorhaben rund um die ePA ist. Doch an mehreren Ecken lauern Gefahren. Noch rühmen sich die Krankenkassen für die bislang unter den Erwartungen liegende Widerspruchsquote, während sich gleichzeitig viele Versicherte nicht ausreichend aufgeklärt fühlen und es wohl auch nicht mehr werden. Ist das Vertrauen erst einmal weg, ist es schwierig, es zurückzugewinnen. Darüber sind sich alle einig. Dennoch wird das Vertrauen aufs Spiel gesetzt, aller Warnungen von Sicherheitsexperten und Datenschützern zum Trotz. Statt sie mehr einzubeziehen, wurden sie entrechtet. Erst nach Vorführung der Sicherheitslücken wird gehandelt.


Um seine Ziele nicht zu gefährden, beschwichtigt der Minister. Lauterbachs voreiliges Versprechen absoluter Sicherheit war naiv und wurde schnell zurückgenommen. Denn inzwischen ist auch bei Lauterbach angekommen: 100-prozentige Sicherheit gibt es nicht. Das Bundesgesundheitsministerium sollte alles daransetzen, unsere sensibelsten Daten bestmöglich zu schützen, statt unhaltbare Versprechungen zu machen. Stattdessen darf man gespannt sein, was noch auf uns zukommt.

(mack)


Quelle: heise.de

Zitat:

Original von Muad'Dib ...bayern ist speziell. Nicht nur wegen c$u sondern vor allem wegen den ganzen Gruppen- und Gauleitern.

...das hört sich schon so nach "nazi-scheiffe" an

Nein, ist da ist halt historisch.