Es gibt eine Veranstaltung im Jahr, auf der mit Garantie irgendeine gigantische Sicherheitslücke bekannt wird: der Chaos Communication Congress des Chaos Computer Clubs. Diesmal hat sich das Treffen der deutschen Hackerelite die elektronische Patientenakte (ePA) vorgenommen; und fand Lücken, so groß wie Scheunentore.
Im kommenden Jahr soll sie für alle Versicherten eingeführt werden, und es bedarf eines Widerspruchs, um sich dieser Art der Aktenführung zu entziehen, bei der alle Gesundheitsdaten auf zentralen Rechnern gespeichert werden, auf die mit einer Chipkarte zugegriffen werden kann.
Das Bundesgesundheitsministerium macht die ePA unter anderem mit dem Versprechen schmackhaft, auch die Patienten selbst könnten so jederzeit Einblick in ihre Akte nehmen.
"Im Rahmen Ihrer Behandlung können alle beteiligten Leistungserbringer auf die in der ePA gespeicherte Krankengeschichte (z.B. Arztberichte, Befundberichte) zugreifen. Das spart Zeit und erleichtert den Behandlungsprozess erheblich!"
Schließlich könne man "jederzeit festlegen und kontrollieren, wer welche Zugriffsrechte hat, und diese ändern". "Sie können selbst entscheiden, ob Sie anderen Menschen den Einblick in Ihre persönliche ePA ermöglichen."
Wenn es denn dabei bliebe, lautet das Resultat der Computerprofis.
"Der Angriff hatte einen Aufwand von etwa einer Stunde, war remote durchführbar und ermöglichte Vollzugriff auf eine ePA bzw. alle für diese Leistungserbringer freigegebenen ePAs", berichteten Bianca Kastl und Martin Tschirsich. Die "Leistungserbringer" sind die behandelnden Ärzte. Das heißt, alle Akten einer Praxis standen nach einer Stunde Arbeit offen. Dabei wurde unter anderem eine Lücke genutzt, die bereits seit 2012 bekannt ist.
Aber mit mehr Aufwand gibt es auch mehr Ergebnis: mit einem Monat Aufwand erzielten die Profis einen "Vollzugriff auf alle ePAs". Alle. Von jedem.
Es brauche eine "unabhängige und belastbare" Bewertung der Sicherheitsrisiken, so das Fazit von Kastl und Tschirsch. Viele dieser Sicherheitslücken seien "bereits seit Jahren bekannt", aber offenkundig wurden sie nicht geschlossen.
Nun gibt es durchaus Institutionen, die an sämtlichen Daten interessiert sind, deren sie habhaft werden können. Wie ist das mit der CIA? Ein Monat Arbeit, und alle Daten aller deutschen Versicherten stehen offen und können genutzt werden, für Erpressungen beispielsweise? Nur wenige Daten würde man so ungern frei im Umlauf sehen wie das, was sich in der Patientenakte findet. Was, wenn solche Daten abgeschöpft und verkauft werden? Gestohlene Daten aus allen möglichen Rechnern werden im Darknet vertrieben; gibt es dort also demnächst auch Patientenakten zu erwerben?
Sicherheit sei das "A und O für die ePA und für das Vertrauen der Menschen in die ePA", hieß es zuvor aus dem Bundesgesundheitsministerium. Zu den von den IT-Profis erhobenen Vorwürfen gibt es bisher noch keine Stellungnahme.
Mehr zum Thema - Zum Wohl der Patienten? Kaum Widerspruch gegen elektronische Patientenakte
