Trotz Sicherheitsbedenken: "Sanktionsbewehrte Nutzung" der E-Patientenakte kommt
Die Tests fĂĽr die elektronische Patientenakte, die aktuell eher eine Belastung darstellt, soll ausgeweitet werden. Wie es um die Sicherheit steht, ist unklar.
(Bild: LeoWolfert/Shutterstock.com)
Inzwischen haben alle gesetzlich Versicherten, die dem nicht widersprochen haben, eine elektronische Patientenakte. Bald sollen Ärzte in ganz Deutschland sie nutzen können, bisher war dies nur den dafür freigeschalteten Ärzten möglich. Dazu will das BMG einen Rollout-Plan veröffentlichen. "Noch 2025 rollen wir die elektronische Patientenakte stufenweise aus, von einer bundesweiten Testphase zu einer verpflichtenden sanktionsbewehrten Nutzung", steht dazu im Koalitionsvertrag der kommenden Bundesregierung. Der Ampel-Gesundheitsminister Karl Lauterbach – der wohl von Tino Sorge abgelöst werden wird – sprach kürzlich jedoch davon, dass Ärzte erst einmal keine Strafen befürchten müssen, wenn sie die ePA nicht befüllen können.
Bisher verfügen laut Kassenärztlicher Bundesvereinigung die meisten Praxen das ePA-Modul, jedoch gibt es laut Vertretern der Kassenärztlichen Vereinigung Westfalen-Lippe (KVWL) noch viele individuelle Fehler bei der Umsetzung der ePA. Das erklärte Tanja Galla, IT-Projektleiterin bei der KVWL, bei einer Veranstaltung der DMEA "Die ePA im Versorgungsalltag – Erfolge, Möglichkeiten und Erfahrungen" heißt. Da, wo die ePA funktioniert, werde sie als intuitiv, aber auch als umständlich beschrieben. Nach Informationen von Jakob Scholz, dem IT-Leiter der KVWL, soll die Allowlist, auf der sich Ärzte in den Testregionen für den Zugang zur ePA befinden, bald abgeschaltet werden. Teilweise könne nicht auf E-Akten zugegriffen werden, oder die Ladezeiten seien lang. "Die Erfahrungen der ersten Nutzung der elektronischen Patientenakte (ePA) im Zuge der Erprobung in den drei Modellregionen haben zahlreiche technische Verbesserungsnotwendigkeiten offengelegt, sodass eine bundesweite verbindliche Einführung derzeit unvertretbar wäre", heißt es dazu in einer Pressemitteilung der Bundesärztekammer.
ePA eher ein Hindernis
Interessant wird es noch, wenn die Systeme rund um die ePA ausgelastet werden. Eine Herausforderung bedeutet die ePA noch für Krankenhäuser und Medizinische Versorgungszentren. Die Nutzbarkeit der ePA sollte laut Scholz in den Fokus gerückt werden. Bisher sei die ePA eher Hindernis und sorge für Verzögerungen im Praxisbetrieb. Als Game Changer sehen die Ärzte die Medikationsliste. Das aktive Arbeiten verfolgen sie aufgrund der Umstände jedoch nicht weiter. Der weitere Ausbau der ePA und die Umstellung von PDF-Dokumenten auf strukturierte Formate, zum Beispiel bei der Patientenkurzakte oder bei Laborbefunden, muss Scholz zufolge jedoch auch weiterhin schrittweise erfolgen. Daher zeigen sich die Kassenärzte erleichtert, dass die Testphase verlängert wird.
Während die Kassenärzte den von Lauterbach angekündigten schrittweisen Rollout begrüßen, kommt vom Ärzteverband Medi Geno Kritik bezüglich Lauterbachs Aussagen zur IT-Sicherheit der ePA. "Wenn Herr Lauterbach bei der Digitalmesse behauptet, die vom CCC identifizierten Sicherheitsprobleme seien behoben, ist das mindestens Schönmalerei – wenn nicht gar eine Irreführung", kritisiert der Medi-Vorsitzende Dr. Norbert Smetak.
Forderungen des CCC bisher nicht reflektiert
Zusammen mit dem Bundesverband Psychosomatische Medizin und Ärztliche Psychotherapie (BDMP) hatte der Medi-Verband eine Veranstaltung zur ePA organisiert, bei der auch der Sicherheitsforscher Martin Tschirsich anwesend war. Laut Tschirsich sei bisher keine der Forderungen des Chaos Computer Clubs "reflektiert" worden und die Risiken würden von der Gematik akzeptiert. "Es ist löblich, dass die Situation von Kindern und Jugendlichen hinsichtlich des Datenschutzes besondere Berücksichtigung findet, aber ältere Jugendliche und auch Erwachsene sind von den Risiken genauso betroffen – vorwiegend Patientinnen und Patienten mit besonders sensiblen Diagnosen. Auch bei ihnen kann eine Depression oder Drogensucht durch ungeschützte Datenzugriffe zu Stigmatisierungen und Benachteiligungen führen", ergänzt dazu Christian Messer, stellvertretender Vorsitzender des Medi-Verbands und Facharzt für Psychosomatische Medizin und Psychotherapie.
"Die auf dem 38C3 demonstrierten Sicherheitsmängel der elektronischen Patientenakte bestehen fort. Die bisher angekündigten Updates sind grundsätzlich ungeeignet, die aufgedeckten Mängel in der Sicherheitsarchitektur auszugleichen. Bei den versprochenen Updates handelt es sich lediglich um den Versuch der Schadensbegrenzung bei einem der vielen von uns demonstrierten Angriffe", sagen dazu Bianca Kastl und Martin Tschirsich gegenüber heise online. Die beiden Sicherheitsforschenden weisen seit Jahren auf Sicherheitslücken bei der ePA hin. Die Sicherheitslücken hätten den Vollzugriff auf Akten von rund 70 Millionen gesetzlich Versicherten ermöglicht.
"Updates ungeeignet"
Demnach lassen sich die elektronischen Patientenakten weiterhin mit geringem Aufwand angreifen. Laut Tschirsich und Kastl sind die bisher angekündigten Updates "grundsätzlich ungeignet, die aufgedeckten Mängel in der Sicherheitsarchitektur auszugleichen. Bei den versprochenen Updates handelt es sich lediglich um den Versuch der Schadensbegrenzung bei einem der vielen von uns demonstrierten Angriffe". Sie fordern eine "kompromisslose Aufklärung und Transparenz, die bisher nicht stattgefunden hat".
Bereits in der Vergangenheit hatten sie eine unabhängige und belastbare Bewertung der Sicherheitsrisiken sowie eine transparente Kommunikation von Sicherheitsrisiken gefordert. Die bisher über die ePA getätigten Aussagen zur Sicherheit bezeichnen sie als "hohle Phrase, welche sich zu oft schon als substanzlos herausgestellt hat, als dass hierauf nachhaltig Vertrauen erwachsen kann". Ein Prüfbericht zur ePA vom Bundesamt für Sicherheit in der Informationstechnik ist bisher nicht veröffentlicht worden.
Anfang des Jahres hatten sich Vertreter der Zivilgesellschaft mit einem offenen Brief an Gesundheitsminister Karl Lauterbach gewandt. Sie fordern unter anderem mehr Mitspracherecht, unabhängige Sicherheitsaudits und die Berücksichtigung von Kritik bei der Weiterentwicklung der ePA. Ferner sei die Veröffentlichung aller Quelltexte, eine Testumgebung und transparente Kommunikation von Updates notwendig. Der offene Brief wurde unter anderem von Organisationen wie der Björn-Steiger-Stiftung und dem CCC unterzeichnet.
(mack)
