Elektronische Patientenakte offenbart schwere Sicherheitslücken – Doch besser widersprechen?

Was Bianca Kastl und Martin Tschirsich beim Jahreskongress des Chaos Computer Club (CCC) auf der Bühne erzählen, dürfte bei Menschen ohne IT-Kenntnisse vermutlich Fragezeichen auslösen. Es geht um SMC-B, um VSDM, um ICSSN und Remote-Angriffe. Ein Satz zum Ende des Vortrags allerdings ist für alle leicht verständlich und bleibt im Ohr: „Wir haben uns auf verschiedensten Wegen die Identitäten der Patientinnen und Patienten besorgt (…), wir haben uns auf verschiedensten Wegen die Praxis­identitäten besorgt (…) und damit hatten wir wirklich alles beisammen, um auf (…) alle 70 Millionen Akten zuzugreifen.“

Was Kastl und Tschirsich kurz vor Jahresende auf der CCC-Bühne demonstrieren, ist nichts weniger als ein Angriff auf die intimsten Daten, die ein Mensch überhaupt haben kann: die eigenen Gesundheits­daten. Kastl und Tschirsich haben diese Angriffe ausprobiert, um Sicherheits­lücken aufzudecken – doch schon bald könnten die Schwachstellen auch von Kriminellen ausgenutzt werden. Am 15. Januar kommt die elektronische Patientenakte für alle, kurz ePA, die laut CCC noch immer zahlreiche Schwachstellen aufweist.

Politik und Betreiber betonen seit jeher die Sicherheit des neuen Systems. Nach der Hacker­konferenz allerdings bleibt einmal mehr ein bitterer Nachgeschmack – und eine Frage: Sollte man dem neuen System besser widersprechen?

Was ist die elektronische Patientenakte?

Grundsätzlich ist die elektronische Patientenakte etwas, das schon seit vielen Jahren gefordert wird: Deutschland hinkt bei der Digitalisierung traditionell hinterher, zwischen behandelnden Arztpraxen herrscht Zettel­wirtschaft – und für die angemessene Behandlung von Patientinnen und Patienten ist das nicht gerade förderlich. Die ePA soll das endlich ändern: Sie dient als eine Art digitaler Aktenordner, in dem etwa Labor­befunde oder Untersuchungs­ergebnisse von Behandlungen abgespeichert werden. In der Zukunft soll es auch möglich sein, etwa den Impfpass dort zu hinterlegen.

Ziel ist unter anderem ein besserer Überblick. In der ePA lässt sich zum Beispiel überprüfen, wie lange man ein Medikament schon nimmt. Zudem kann die ePA den Arztwechsel erleichtern, weil alle wichtigen Daten schon vorhanden sind. Auch bei einem Notfall können Ärztinnen und Ärzte die Patientenakte in der Notaufnahme einsehen und im besten Fall schneller helfen. Krankenkassen selbst haben keinen Zugriff auf das Dokument.

Die ePA wird am 15. Januar zunächst als Pilotprojekt in Franken, Hamburg und Teilen Nordrhein-Westfalens eingeführt – erst später soll sie für alle Bundesbürger nutzbar sein. Damit Unbefugte die Gesundheits­karte nicht auslesen können, ist das System grundsätzlich mit verschiedenen Sicherheits­mechanismen geschützt. Sowohl Ärztinnen und Ärzte als auch Patientinnen und Patienten müssen sich identifizieren, um Zugriff auf die Inhalte einer ePA zu bekommen. Doch genau bei dieser Verifikation hat der CCC Schwachstellen entdeckt.

Wie die Patientenakte gehackt werden kann

Die Sicherheitslücken bei der Patientenakte sind vielfältig und mit technischem Vorwissen verbunden. In manchen Fällen allerdings sind sie auch ganz trivial: Kastl und Tschirsich war es unter anderem gelungen, durch simple Telefonanrufe bei Krankenkassen an Gesundheits­karten von Dritten zu gelangen. Der Aufwand dafür sei verschwindend gering gewesen – gerade einmal zehn bis 20 Minuten habe das gedauert.

Die Gesundheits­karten sind für die Funktion der ePA essenziell. Patientinnen und Patienten stecken sie in der Arztpraxis in ein Gerät – die Praxis kann dann 90 Tage auf die ePA zugreifen. Kommt die Karte jedoch in falsche Hände, kann der Ärger groß sein: Die neue Version 3.0 der elektronischen Patientenakte verzichtet nämlich auf eine PIN-Eingabe. Allein mit dem Besitz der Karte lässt sich also im schlimmsten Fall auf hochsensible Gesundheits­daten zugreifen.

Noch schlimmer wird es, wenn sich Kriminelle Zugriff auf Praxisausweise verschaffen. Auch das sei aber möglich, erklären die IT-Fachleute. Angreifer könnten sich sich als Ärztinnen und Ärzte ausgeben und Zugriff auf sämtliche Daten einer Arztpraxis erhalten – und zwar aus der Ferne. Das wären bei einer regulären Praxis etwa 1000 Patientenakten. Möglich mache es eine Sicherheits­lücke in der Datenbank eines Karten­herausgeber­portals.

Praxis-Geräte bei Kleinanzeigen

Die wohl schwerwiegendste Sicherheits­lücke besteht in der Art und Weise, wie der Zugriff auf die Patientenakte beim Arzt oder in der Apotheke autorisiert wird. Dafür wird nämlich eine Nummer der Gesundheits­karte, kurz ICCSN, genutzt und aus dem integrierten Chip ausgelesen. Das Problem: Diese Nummern lassen sich leicht rekonstruieren, weil sie fortlaufend vergeben werden. Zudem werden sie unsigniert und ohne Sicherheits­­schlüssel an den Versicherten­stammdaten­dienst übergeben.

Ein bisschen aufwendiger sei ein solcher Angriff schon, erklären die IT-Fachleute – man müsse sich zunächst Zugang zur Infrastruktur des Systems verschaffen. Die dafür notwendigen Karten­terminals lassen sich allerdings einfach bei Kleinanzeigen kaufen – oftmals inklusive einer sogenannten SMC-B-Karte, mit der sich Praxen digital identifizieren. Das reiche aus, um aus der Ferne und ohne Gesundheits­karte an die Gesundheits­daten beliebiger Patientinnen und Patienten zu gelangen.

Der Chaos Computer Club kommt angesichts der Erkenntnisse zu einem vernichtenden Urteil. Der Verband fordert ein „Ende der EPA-Experimente am lebenden Bürger“. Die Patientenakte könne ihre Sicherheits­versprechen nicht halten. Der Verband mahnt: „Vertrauenswürdige digitale Infrastrukturen können nur entstehen, wenn der Entstehungs­prozess selbst Vertrauen ermöglicht.“

Unternehmen beschwichtigt

Die für die neue Patientenakte Verantwortlichen haben inzwischen auf die Warnungen reagiert. Verantwortlich für die Umsetzung ist die Nationale Agentur für Digitale Medizin, die Gematik GmbH, deren Gesellschafter unter anderem das Bundes­gesundheits­ministerium und die Bundes­ärzte­kammer sind. Das Unternehmen erklärte im Nachgang des Vortrags, man nehme die Hinweise der Hackerinnen und Hacker „entsprechend ernst“.

Dennoch beschwichtigt das Unternehmen. Die dargestellten Szenarien seien zwar technisch möglich gewesen, aber: „Die praktische Durchführung in der Realität (…) ist nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen.“

Gematik verweist auch darauf, dass die Patientenakte zunächst nur als Pilotprojekt an den Start gehe und zunächst nur die in der Modellregion teilnehmenden Leistungs­erbringer auf die ePA der Versicherten zugreifen könnten. „Die elektronischen Patienten­akten aller Versicherten bundesweit sind somit gut geschützt.“

Vor der bundesweiten Einführung würden zudem noch weitere Sicherheits­maßnahmen implementiert. Damit solle dann etwa verhindert werden, dass „Ausweise der Telematik­infrastruktur missbräuchlich verwendet werden können“. Zudem soll durch eine zusätzliche Verschlüsselung der Kranken­versicherten­nummer eine weitere Sicherheits­lücke geschlossen werden. Nutzerinnen und Nutzer der Infrastruktur sollen zudem sensibilisiert und Überwachungs­maßnahmen ausgeweitet werden – etwa Monitoring und Anomalie­erkennung.

Wenn das Vertrauen fehlt

Ob das als Vertrauensbasis ausreicht, steht auf einem anderen Blatt Papier. Schon in der Vergangenheit hatten immer wieder IT-Fachleute und Datenschutz­experten vor Sicherheits­lücken bei der elektronischen Patientenakte gewarnt, zuletzt etwa der Bundes­datenschutz­beauftragte Ulrich Kelber. In einem Gutachten des Fraunhofer-Instituts, das der Patientenakte die Sicherheit bescheinigen soll, wurde ein potenzieller Angriff durch Geheimdienste einfach ausgespart, da Gematik diese für „nicht relevant“ halte.

Längst gibt es auch abseits von IT-Kreisen Forderungen, die Einführung der Patientenakte unbedingt zu verschieben. Mit den neuesten Erkenntnissen sei „das Narrativ von der sicheren ePA“ kurz vor der Einführung „gescheitert“, teilt etwa Silke Lüder, Allgemeinärztin und stellvertretende Bundes­vorsitzende der Freien Ärzteschaft in Hamburg mit. „Und in Anbetracht dessen, dass es bei den Krankheits­daten um die sensibelsten Daten der Menschen überhaupt geht, ist eine Einführung bei bestehenden systematischen Sicherheits­lücken absolut verantwortungslos.“

Die Antwort der Gematik GmbH hält Lüder für „nicht geeignet, irgendein Vertrauen in die staatliche Total­vernetzung und zentralisierte Daten­speicherung“ herzustellen. „Die beteiligten Ärztinnen und Ärzte, Patientinnen und Patienten sind doch keine Versuchs­kaninchen, die man zur Erprobung eines völlig unsicheren Systems benutzen kann.“ Der Verband fordere daher den sofortigen Stopp des geplanten Roll-outs am 15. Januar.

So können Sie der ePA widersprechen

Klar ist: Hilflos ausgeliefert ist der elektronischen Patientenakte niemand. Sie wird für Bundesbürger zwar am 15. Januar automatisch eingerichtet, ist jedoch nicht verpflichtend. Wer Bedenken hat und die Akte lieber nicht nutzen will, hat noch bis zum Stichtag Zeit, zu widersprechen. Wurde die Patientenakte bereits angelegt, wird sie mit dem Widerspruch wieder gelöscht.

Der Widerspruch muss direkt bei der jeweiligen Krankenkasse eingereicht werden. Das funktioniert je nach Kasse etwas unterschiedlich. Manche bieten Formulare als PDF auf ihren Websites an, andere Kontakt­formulare. Viele verweisen zudem auf die eigene App oder die Ombudsstelle, die Versicherte beim Umgang mit der ePA unterstützen soll. Ein Aktions­bündnis hat auch einen sogenannten Widerspruchs­generator ins Netz gestellt, um die Sache zu vereinfachen. Die Verbraucher­zentrale hatte erst kürzlich beklagt, dass die Krankenkassen ihre Mitglieder nicht angemessen über die ePA, mögliche Risiken und die Möglichkeit des Widerspruchs informieren.

Durch den Widerspruch haben Patientinnen und Patienten beim Arzt keine Nachteile – außer, dass sie die möglichen Bequemlichkeiten der ePA vorerst nicht nutzen können. Aber: Der Widerspruch kann jederzeit zurückgezogen werden – etwa dann, wenn sich die Sicherheitslage des neuen Systems verbessert. Dann kann jeder die digitale Patientenakte verwenden, auch wenn sie vorher abgelehnt wurde.