Elektronische Patientenakte – Keine Verantwortung, nirgends

 In Deutschland ist die elektronische Patientenakte (ePA) gestartet. Noch immer warnen IT-Fachleute vor möglichen Sicherheitslücken im System. Karl Lauterbach hatte zwei Wochen zuvor noch versichert, dass die ePA nun „extrem sicher“ sei – ja, im internationalen Vergleich sei sie „eine der sichersten, vielleicht die sicherste elektronische Patientenakte“.

Die Bewährungsprobe währte kaum mehr als 24 Stunden. Am vergangenen Mittwoch berichtete der Spiegel, dass die elektronische Patientenakte (ePA) erneut eine gravierende Sicherheitslücke aufweist. Die Sicherheitsexpert:innen Bianca Kastl, Martin Tschirsich und Christoph Saatjohann brauchten nur wenige Stunden, um die neu hinzugefügten Sicherheitsvorkehrungen auszuhebeln und damit das vollmundige Sicherheitsversprechen Lauterbachs zu widerlegen. Die Hürden waren offenkundig nicht besonders hoch. Bislang wollen aber weder das Gesundheitsministerium noch die Gematik dafür die Verantwortung übernehmen. Unklar ist damit auch, wie sich ähnliche Fehler künftig vermeiden lassen.

Während in Deutschland Sicherheitsexpert:innen die gravierende Sicherheitslücke aufdeckten, wurde in Dänemark die elektronische Patientenakte real gehackt.

Bei Alles Lægehus, einem Konsortium von Arztpraxen, waren persönlichste Informationen zehntausender Patientinnen und Patienten abgegriffen worden. 130.000 Menschen werden von den Einrichtungen des Unternehmens betreut, rund 57.000 sollen laut IT-Fachleuten von dem Datenleck betroffen sein.

Besonders pikant: Unter den erbeuteten Daten sind offenbar nicht nur Kontaktdaten wie Telefonnummern und E-Mail-Adressen und die sogenannte CPR-Nummer - ein Code, der in Dänemark zur Identifizierung dient, etwa bei Behördengängen. Nein, die Daten umfassen bei etwa 14.000 Menschen offenbar auch die Krankenakten. Darin enthalten: Informationen zur Krankengeschichte, zu Überweisungen ins Krankenhaus oder zu den Medikamenten, die die Patienten erhalten haben. Bekannt wurde der Fall im Januar – erst drei Wochen nach dem eigentlichen Hack wurden die Betroffenen informiert.

Mit den nun verfügbaren Daten könnten Kriminelle womöglich Identitäten stehlen und sich in falschem Namen Geld leihen, glaubt sie.

Für Allan Frank, IT-Sicherheitsspezialist bei der dänischen Datenschutzbehörde, nimmt den Fall nicht auf die leichte Schulter. „Schon allein die Tatsache, dass privateste Informationen im Internet herumgeistern, ist für Betroffene besorgniserregend“, sagt er dem RedaktionsNetzwerk Deutschland (RND) am Telefon. Es sorge für ein ständiges beunruhigendes Gefühl, denn laufend bestünde die Gefahr, dass Kriminelle die Daten verwenden könnten. Und: die Missbrauchsszenarien sind laut Frank nahezu grenzenlos. Auch sogenanntes Social-Engineering wäre eine mögliche Angriffstaktik. Kriminelle könnten sich mit originalgetreu gefälschten Schreiben als Gesundheitseinrichtung ausgeben – genug persönliche Daten dafür haben sie ja nun. Damit könnten sie ihre Opfer dann auf ominöse Websites leiten oder zur Herausgabe von Finanzdaten animieren.