Digitales Chaos: Elektronische Patientenakte schon vor Start gehackt

Das nächste digitale Großprojekt der Ampel-Regierung steht vor einem Scherbenhaufen. Kaum hatte Bundesgesundheitsminister Karl Lauterbach vollmundig verkündet, die elektronische Patientenakte (ePA) sei nun absolut sicher vor Hackerangriffen, wurde das System erneut geknackt. Die ethischen Hacker des Chaos Computer Clubs (CCC) haben eine weitere gravierende Sicherheitslücke im System aufgedeckt - ein Desaster für die Digitalisierungsstrategie der Bundesregierung.

Vom digitalen Vorzeigemodell zum Sicherheitsalbtraum

Wie bereits in unserem ausführlichen Hintergrundbericht zur elektronischen Patientenakte dargelegt, birgt die zentrale Speicherung sensibler Gesundheitsdaten erhebliche Risiken. Die jüngsten Entwicklungen bestätigen unsere kritische Einschätzung auf dramatische Weise.

Nachdem bereits Ende letzten Jahres massive Sicherheitslücken aufgedeckt wurden, sollte ein zusätzlicher Prüfwert aus Versicherungsbeginn und Adressdaten den unbefugten Zugriff verhindern. Doch auch diese "Sicherheitsmaßnahme" erwies sich als durchlässig wie ein Schweizer Käse. Die CCC-Experten konnten demonstrieren, wie sich die vermeintlich schützenden Daten automatisiert aus dem System der elektronischen Ersatzbescheinigung auslesen lassen.

Notbremse gezogen - System teilweise lahmgelegt

Die Betreiberfirma Gematik musste in einer Notfallreaktion die elektronische Ersatzbescheinigung komplett vom Netz nehmen. Ein weiterer Rückschlag für die ohnehin schleppend verlaufende Digitalisierung des deutschen Gesundheitswesens. Zwar beteuert die Gematik, es gebe bislang keine Hinweise auf tatsächliche unbefugte Zugriffe - doch das klingt mehr nach Beschwichtigung als nach überzeugender Sicherheitsgarantie.

Lauterbachs leere Versprechen

Besonders pikant: Noch vor wenigen Tagen hatte Minister Lauterbach vollmundig verkündet, die ePA würde erst starten, wenn "alle Hackerangriffe technisch unmöglich" seien. Ein Versprechen, das sich nun als gefährliche Fehleinschätzung entpuppt. Es stellt sich die Frage, ob der Minister die technischen Herausforderungen unterschätzt hat oder ob hier bewusst beschönigt wurde.

Grundlegende Bedenken bleiben bestehen

Die aktuelle Entwicklung bestätigt die fundamentalen Zweifel an der Sicherheitsarchitektur der elektronischen Patientenakte. Wenn selbst wohlmeinende Hacker immer wieder neue Schwachstellen finden, wie sicher können unsere hochsensiblen Gesundheitsdaten dann vor professionellen Cyberkriminellen sein? Die Bundesregierung wäre gut beraten, das Projekt noch einmal grundlegend zu überdenken, statt mit der Brechstange eine möglicherweise fatale Lösung durchzudrücken.

Die fortlaufenden Sicherheitsprobleme der elektronischen Patientenakte zeigen einmal mehr: Nicht alles, was digital ist, ist auch automatisch besser. Manchmal ist der altbewährte Weg - in diesem Fall die dezentrale Aufbewahrung von Patientendaten - der sicherere. Doch diese Erkenntnis scheint in den Berliner Ministerien noch nicht angekommen zu sein.