Für 230 Arztpraxen in den drei Modellregionen Franken, Hamburg und Nordrhein-Westfalen hat am 15. Januar die Ära der Elektronischen Patientenakte (ePA) begonnen. Danach soll der bundesweite Roll out folgen. Die Integration von 72 Millionen ePAs in die Versorgung ist ein IT-Mega-Projekt mit hohem Risikopotenzial. Recherchen des Chaos Computer Clubs (CCC) haben Sicherheitslücken offengelegt, wonach der unberechtigte Zugriff auf eine einzelne Akte, auf alle in einer Arztpraxis geführten ePAs sowie auf das Gesamtsystem theoretisch möglich sei.
So erhielt der Chaos Computer Club (CCC) offenbar ohne Probleme Zugang zu einer fremden Gesundheitskarte und hackte sich über ausrangierte Hardware in Arztpraxen ein. Zwei Telefonate hätten nach dem CCC-Bericht ausgereicht, um eine Gesundheitskarte für jemand anderen an die eigene Adresse schicken zu lassen. Dadurch sei es leicht gewesen, mit Hackermethoden Zugriff auf die Daten zu erhalten. Dann gaben sich CCC-Hacker als IT-Dienstleister aus und erhielten so Zugriff auf die Praxisdaten eines Niedergelassenen. Restbestände aus aufgegebenen Praxen wie Konnektoren samt Karten seien im Internet zu erwerben. Ausweise für Leistungserbringer lassen sich laut CCC ebenfalls über Schadcodes bei Kartenherausgebern organisieren, so der CCC.
HÄV mahnt Datenschutz und gute Funktionalität an
Für Dr. Markus Beier, Co-Bundesvorsitzender des Hausärztinnen- und Hausärzteverbands (HÄV), steht und fällt die ePA mit der Sicherung des Datenschutzes und einer perfekten Funktionalität der Akte. „Wir sehen den Sinn der ePA, weil wir mehr digitalen Austausch brauchen. Aber wenn sie flächendeckend in die Praxen kommt, muss sie funktionieren. Für alles andere haben wir keine Zeit, weil dann die Versorgung der Patienten massiv leiden würde“, stellte Beier zum ePA-Start fest.
Hannelore König, Präsidentin des Verbandes medizinischer Fachberufe e. V. (vmf), befürchtet, dass die medizinischen Fachangestellten die vielen Fragen der Patienten zum Datenschutz, zum Widerspruchsverfahren und zur Sicherheit nicht beantworten können. Die aufgeworfenen Sicherheitsbedenken müssten unbedingt ausgeräumt werden; sonst dürfe es keinen bundesweiten Roll out der ePA geben. „Alles andere sorgt nur für Frustration in den Praxen.“
gematik hält den Zugriff für unwahrscheinlich
Die gematik räumte danach ein, dass die Angriffsszenarien des CCC technisch möglich wären, aber die praktische Durchführung in der Realität sei nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssten. Dazu zählten zum Beispiel die illegale Beschaffung eines Institutionsausweises (SMC-B Karte), der dazugehörigen PIN, der Vertrag mit einem Zugangsdienst und eine technisch komplexe Manipulation. Die gematik hat trotzdem das Bundesamt für Sicherheit in der Informationstechnik (BSI) angesprochen, um solche Hackerangriffe technisch zu unterbinden.
KBV sieht ePA-Roll out mit „ungutem Gefühl“
Mit der Beschränkung ausschließlich auf Einrichtungen, die an der Erprobung teilnehmen, reagiert die gematik auf die Mängel in der Sicherheitsarchitektur der ePA-Server, auf die der Chaos Computer Club jüngst hingewiesen hat. „Die weitreichendste Schwachstelle ist, dass auf beliebig viele elektronische Patientenakten zugegriffen werden kann, ohne dass eine Gesundheitskarte des Versicherten gesteckt und der Behandlungskontext hergestellt wurde“, sagte KBV-Vorstandmitglied Dr. Sibylle Steiner. Die Kassenärztliche Bundesvereinigung nehme die Schwachstellen, die der Chaos Computer Club entdeckt habe, „sehr ernst“ und blickt mit einem „unguten Gefühl“ auf die doch kurze Testphase und den sehr zeitig angedachten Roll-out Start.
Autor: Franz-Günter Runkel
Bilderquelle: ©nmann77/stock.adobe.com
