„Konnte bisher noch nie gehackt werden: Die elektronische Patientenakte kommt – jetzt für alle!“ Es war der – erwartete – Paukenschlag in der Digitalisierungsszene für das Gesundheitswesen, als kurz vor Jahresschluss beim alljährlichen Kongress des Chaos Computer Clubs Martin Tschirsich und seine Hacker-Kollegin Bianca Kastl live und online verfolgbar Wege aufzeigten, wie Angreifer mit erstaunlich wenig Mühe an Daten in der elektronischen Patientenakte herankommen könnten.

Im „ÄrzteTag“-Podcast beschreiben die beiden Gesundheits-IT-Spezialisten nochmals, wie sie vorgegangen sind, um auf die Akten zuzugreifen, welchen Aufwand sie dafür betreiben mussten – und welche Konsequenzen das haben sollte.

Um drei Szenarien geht es: den Zugriff auf eine bestimmte Akte, den Zugriff auf Akten von Patienten, die in einer Arztpraxis behandelt werden, und den Zugriff auf potenziell alle ePA.

„Wir sind in der glücklichen Situation, dass die ePA für alle noch nicht live ist“, betonte Martin Tschirsich. Man könne also durchaus noch reagieren, um das Sicherheitskonzept noch zu verbessern. Seit August seien die Hacker mit der gematik und den Sicherheitsbehörden im Kontakt. So arbeite die gematik daran, einen massenhaften Datenabfluss, der im dritten Szenario möglich wäre, zu verhindern.

Wären PIN-Nummern als Zugriffsschutz besser gewesen?

Kastl und Tschirsich stellen im Podcast infrage, ob die Entscheidung zugunsten einer einfacheren Handhabbarkeit ganz auf PIN-Nummern für den Zugriffsschutz zu verzichten, klug gewesen sei.

Sie legen nochmals den Finger in die Wunde, dass das Sicherheitsbewusstsein in den Organisationen, zum Beispiel in den Krankenkassen, bei der Ausgabe von elektronischen Gesundheitskarten, noch zu gering ausgeprägt sei. Und es sei nach wie vor zu leicht, an ausrangierte Hardware zu kommen, die es ermögliche, in die Telematikinfrastruktur einzudringen.

Nicht zuletzt teilen die beiden IT-Spezialisten ihre Gedanken dazu, wie vertrauenswürdig die ePA für alle angesichts der bisher noch offensichtlichen Sicherheitslücken ist und wie sie selbst zur Entscheidung über einen individuellen Opt-out aus der ePA stehen.

BÄK-Präsident Klaus Reinhardt hatte sich zuletzt dazu skeptisch geäußert und formuliert, er würde aktuell Patienten nicht empfehlen, die ePA zu nutzen.