Die elektronische Patientenakte (ePA), habe ich irgendwo letztens gelesen, sei wie die Schwiegermutter: Man kann sie sich nicht aussuchen, aber man muss mit ihr leben. Und wie bei der Schwiegermutter gilt auch hier: Die Intentionen sind meistens gut, aber beim Umsetzen hapert es dann doch gewaltig.
Gleich nach Weihnachten hat der Chaos Computer Club (CCC) auf seiner jährlichen Versammlung der Hacker-Elite der gematik noch ein kleines Päckchen unter den Baum gelegt, wie heise online berichtet (Link). Die Sicherheitsforscher hatten bei ihrer Bescherung gezeigt, dass man sich so leicht in die Akten anderer Leute einschleichen kann, wie der Weihnachtsmann durch den Schornstein rutscht.
Diagnose unheilbar unsicher? Das sieht die gematik erwartungsgemäß anders. Die vorgestellten Angriffsszenarien wären zwar technisch möglich, die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen, verbreitete man via ÄrzteZeitung (Link). Zur Aufzählung gehörten „die illegale Beschaffung eines Institutionsausweises, der dazugehörigen PIN, der Vertrag mit einem Zugangsdienst und eine technisch komplexe Manipulation“. Wer glaubt, das sei eine echte Hürde, der glaubt auch noch ans Christkind.
Das Bundesgesundheitsministerium schob gleich hinterher, dass das „theoretische Problem, das der CCC beschreibt“, vor der Einführung der „ePA für alle“ gelöst sein werde. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) werde dies „zu gegebener Zeit offiziell bestätigen“. Das mag durchaus sein, die meisten Sicherheitslücken liegen aber nicht in der ePA selbst, sondern in „strukturell-prozessualen Schwachstellen“, wie auch die gematik treffend bemerkt hatte.
Das macht die Sache aber leider nicht besser. Denn die beste Tresortür hilft nicht, wenn der Schlüssel unter der Fußmatte liegt. Und das bringt mich jetzt wirklich zum Grübeln. Ich bin seit Jahren ein Fan von digitalen Akten – seit ich für ein paar Beiträge mal recherchiert hatte, wie die Dänen das bei sundhed.dk umgesetzt haben. Aber möchte ich das Risiko eingehen, dass meine komplette Krankengeschichte plötzlich im Darknet landet?
Letztlich griff der Gesundheitsminister selbst in die Tasten, um die Wogen zu glätten. „Artikel ist kritisch aber fair. Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind. Daran wird schon länger gearbeitet. Wir brauchen die Digitalisierung für eine bessere Medizin und Forschung“, schrieb er auf dem Tesla-Nachrichtendienst (Link), den wir spätestens ab 20. Januar 2025 nicht mehr nutzen sollten … 😉
Die Themen rund um die ePA werden uns jedenfalls nicht ausgehen. Nach diesem spektakulären Start bleibt mir nur noch, Ihnen alles Gute für 2025 zu wünschen.
Text: Reinhard Merz
Bild: Dall-E für arztCME
