Die Sicherheitsforscher des CCC deckten gleich mehrere kritische Schwachstellen im ePA-System auf. In praktischen Demonstrationen zeigten sie, wie sich mit vergleichsweise geringem technischen Aufwand Zugriff auf fremde Patientenakten erlangen lässt. Besonders besorgniserregend war der Nachweis, dass sich über Schwachstellen in den Beantragungsportalen und Ausgabeprozessen gültige Heilberufs- und Praxisausweise beschaffen lassen. Zudem gelang es den Sicherheitsforschern, aufgrund von Spezifikationsmängeln im System Zugriffstoken für die elektronischen Patientenakten beliebiger Versicherter zu generieren, ohne dass dafür die jeweiligen Gesundheitskarten physisch vorliegen oder eingelesen werden mussten - ein fundamentales Sicherheitsproblem, das die Vertraulichkeit der gesamten gespeicherten Gesundheitsdaten in Frage stellt.
Bundesärztekammer-Präsident Klaus Reinhardt spricht sich aktuell deutlich gegen eine Nutzung der ePA in ihrer jetzigen Form aus. Die identifizierten Schwachstellen im System seien zu gravierend, um Patienten eine Teilnahme empfehlen zu können. Besonders alarmierend sind die vom CCC demonstrierten Zugangsmöglichkeiten zu fremden Gesundheitsdaten. Die Sicherheitsforscher konnten nachweisen, dass sich mit relativ geringem Aufwand gültige Heilberufs- und Praxisausweise beschaffen lassen. Zudem wurden Mängel in der Systemspezifikation aufgedeckt, die es ermöglichen, Zugriffstoken für die elektronischen Patientenakten beliebiger Versicherter zu generieren - ohne dass die entsprechenden Gesundheitskarten physisch vorliegen müssen.
Besondere Brisanz erhält die Diskussion durch die Position des Berufsverbands der Kinder- und Jugendärztinnen und -ärzte (BVKJ). Dessen Präsident Michael Hubmann kritisiert scharf, dass die Verantwortlichen die Sicherheitsprobleme herunterspielen. Der BVKJ hat bereits Ende November 2024 in einem Schreiben an das Bundesgesundheitsministerium, die Bundesdatenschutzbeauftragte und die Gematik auf spezifische Risiken für minderjährige Patienten hingewiesen. Ein zentrales Problem ist dabei die fehlende Möglichkeit, den ehemals Berechtigten den Zugang zu sensiblen Daten wieder zu entziehen.
Bundesgesundheitsminister Karl Lauterbach reagierte auf die Kritik mit der Zusicherung, die ePA erst dann einzuführen, wenn alle Hackerangriffe technisch unmöglich gemacht werden können. Diese Aussage wird in Fachkreisen allerdings skeptisch aufgenommen, da die absolute Sicherheit in digitalen Systemen kaum zu gewährleisten ist.
Für die ärztliche Praxis bedeutet die aktuelle Situation eine schwierige Abwägung. Einerseits bietet die ePA erhebliche Potenziale für eine bessere Versorgungskoordination und Vermeidung von Doppeluntersuchungen. Andererseits stehen Ärzte in der Verantwortung, die sensiblen Gesundheitsdaten ihrer Patienten zu schützen. Das geplante Opt-out-Verfahren, bei dem Versicherte aktiv widersprechen müssen, wenn sie die ePA nicht nutzen möchten, verschärft diese Problematik zusätzlich.
Der BVKJ empfiehlt seinen Mitgliedern derzeit, Eltern zum Widerspruch für ihre Kinder zu raten, bis die Datenschutzprobleme gelöst sind. Die Bundesärztekammer vermeidet zwar eine explizite Opt-out-Empfehlung, macht aber deutlich, dass die bestehenden Sicherheitsrisiken vor einer breiten Einführung beseitigt werden müssen.
Für die behandelnden Ärzte ergibt sich daraus die Notwendigkeit, ihre Patienten umfassend über die aktuellen Risiken aufzuklären. Dabei sollte auch darauf hingewiesen werden, dass eine spätere Teilnahme an der ePA möglich bleibt, wenn die Sicherheitsprobleme behoben sind. Die grundsätzliche Idee einer digitalen Patientenakte wird von der Ärzteschaft weiterhin befürwortet - allerdings nur unter der Voraussetzung einer funktionalen und sicheren Umsetzung.
Die kommenden Monate werden zeigen, ob das Bundesgesundheitsministerium und die Gematik die aufgezeigten Schwachstellen effektiv beheben können. Bis dahin ist erhöhte Wachsamkeit im Umgang mit der ePA geboten.