39C3: Weiterhin ePA-Experimente am lebenden Bürger

Auf dem 39. Chaos Communication Congress übt die IT-Sicherheitsexpertin Bianca Kastl erneut massive Kritik an der elektronischen Patientenakte (ePA) für alle. Trotz gegenteiliger Beteuerungen von Politik und Gematik sei das System zum bundesweiten Start 2025 nicht ausreichend abgesichert gewesen. Der CCC forderte daraufhin ein „Ende der ePA-Experimenten am lebenden Bürger“. Kastl spricht von einem „Jahr null der IT-Sicherheit“ und warnt erneut vor den strukturellen Schwächen, die seit Jahren bekannt seien.

Im Zentrum ihrer Kritik stehen Identitäts- und Authentifizierungsprobleme innerhalb der Telematikinfrastruktur. Wiederholt habe der Chaos Computer Club gezeigt, dass sich Zugänge zur ePA unter bestimmten Voraussetzungen missbräuchlich erlangen lassen – etwa über fehleranfällige Ersatzverfahren, unzureichend geschützte Zugangsmittel oder organisatorische Schwächen bei der Ausgabe von eGK, PINs und Heilberufsausweisen. Viele der daraufhin eingeführten Gegenmaßnahmen – Rate Limits, zusätzliche Prüfziffern oder nachträgliche Einschränkungen – seien lediglich Flickwerk und änderten nichts an grundlegenden Designproblemen. Bei Identitäts- und Vertrauensdiensteanbietern, wie D‑Trust kam es beispielsweise zu Versandpannen. Dort wurden elektronische Heilberufsausweise falsch zugeordnet und an andere Ärzte verschickt.

Besonders kritisch sieht Kastl die Diskrepanz zwischen offizieller Risikokommunikation und tatsächlicher Lage. Während öffentlich von „Ende-zu-Ende-Verschlüsselung“ und „keinem Zugriff der Krankenkassen“ die Rede sei, liegen bei den Kassen faktisch alle Daten vor, die technisch eine Simulation von Karten und Identitäten ermöglichen könnten, um damit auf die Daten der ePA zuzugreifen. Eine Antwort auf eine Kleine Anfrage hatte beispielsweise ergeben, dass das Bundesgesundheitsministerium keine Kenntnis über die Verträge zwischen den Betreibern und den Krankenkassen hat. Gleichzeitig würden zentrale Dokumente wie ein Architecture Decision Record sowie eine Datenschutzfolgenabschätzung nicht oder nur eingeschränkt veröffentlicht – Anfragen nach dem Informationsfreiheitsgesetz seien teils abgelehnt worden.

Hinzu kommen wiederkehrende Ausfälle und Instabilitäten der Telematikinfrastruktur. Eine offiziell genannte Verfügbarkeit von 96 Prozent bedeute rechnerisch mehr als zwei Wochen Ausfall pro Jahr – mit direkten Folgen für Praxen und Patient:innen. Sicherheitsprobleme bei Praxissoftware, Kartenherstellern und Vertrauensdiensten verschärften die Lage zusätzlich.

Kastl kritisiert zudem die politische Strategie: Sicherheitswarnungen externer Experten seien monatelang ignoriert worden, Verantwortung werde zwischen Ministerium, Gematik und Dienstleistern hin- und hergeschoben. Die Risiken trügen am Ende die Versicherten selbst – durch mögliche Datenschutzverletzungen, Manipulationen oder Systemausfälle.

Die zentrale Forderung aus dem Umfeld des CCC bleibt daher unverändert: eine unabhängige und belastbare Bewertung der Sicherheitsrisiken, transparente Kommunikation gegenüber den Betroffenen und ein offener Entwicklungsprozess über den gesamten Lebenszyklus der ePA. Vertrauen. Kastls Fazit: „Vertrauen lässt sich nicht verordnen“ – schon gar nicht bei den sensiblen digitalen Großprojekten des Landes.

(mack)