Elektronische Patientenakte: Ein gefährlicher Feldversuch

Aber: Es lässt sich nicht vermeiden, dass Hackerangriffe stattfinden. Es wird diese Angriffe geben. Die Frage ist nur, wie erfolgreich sie sein können und wie schwerwiegend die Folgen sind. Die vergangenen Jahre zeichnen hier kein gutes Bild. Seit dem erstmaligen Aufkommen der Idee gibt es Sicherheitsbedenken -  aus gutem Grund, denn das System hinter der ePA ist inzwischen geradezu schwindelerregend komplex. Es sind eine Menge unterschiedlicher Gruppen involviert – weit mehr als nur Ärztinnen und Patienten. Jede dieser Gruppen hat andere Anforderungen und alle müssen irgendwie unter einen Hut gebracht werden. Das allein ist schon eine Mammutaufgabe, die mittlerweile derart komplex ist, dass nicht einmal Eingeweihte sicher sind, dass sie sie komplett durchdrungen haben. 

Diese Mammutaufgabe hat selbstverständlich eine IT-Komponente. Stark vereinfacht gesagt, ist das System hinter der ePA in einem riesigen VPN untergebracht. Die Arztpraxis, die Krankenkasse, der Abrechnungsdienstleister und natürlich die Apotheken sowie auch Patientinnen und Patienten sind alle in diesem Ökosystem unterwegs. Es wird mit kryptografischen Verfahren gearbeitet, eigene Hardware provisioniert und spezielle Ausweise sowohl für Praxen als auch für medizinisches Personal bereitgestellt. Patientinnen und Patienten haben per App Zugriff auf die Informationen. Es ist ein Milliardenprojekt, das seit knapp 20 Jahren läuft und allein in den kommenden fünf Jahren einen dreistelligen Millionenbetrag kosten wird.

Es gibt immer wieder Beunruhigendes zur ePA zu lesen: Systeme seien fehlkonfiguriert und unsicher. Die Gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH; Gesellschafter sind unter anderem das Bundesgesundheitsministerium (Haupt-Anteilseigner) und die Bundesärtzekammer) wiegelt ab und spielt herunter. Alles sei nicht so kritisch und auch nicht wirklich praxisrelevant. Überhaupt brauche man dafür „sehr viel kriminelle Energie“. Dass diese bei Kriminellen nicht fehlt, hat man anscheinend übersehen. Der Zyniker in mir möchte sagen „Ja, ihr seid ganz nah dran, das Problem zu verstehen“.  

Da hilft auch die Stellungnahme der Gematik nicht, in der davon die Rede ist, dass „Sicherungsmaßnahmen bereits in der Erarbeitung“ seien.  
Diese hätten eigentlich an diesem Punkt schon längst bestehen und eingebaut sein sollen. Dass Organe wie der Chaos Computer Club (CCC )aufgrund teilweise elementarster Fehler bei der Sicherheit (z.B. Möglichkeit der SQL-Injection auf Anbieterseiten) Sturm gegen die ePA laufen und deren Ende fordern, verwundert nicht weiter. Erst Ende 2024, auf dem jährlich stattfindenden Chaos Communication Congress, gab es einen aktuellen Vortrag über die Schwachstellen der ePA. Was erst einmal verheißungsvoll klingt, und den Eindruck erweckt, dass die Gematik ihren Job macht, bedeutet – überspitzt gesagt – zwischen den Zeilen nichts anderes als „Wir haben das Problem zu spät bemerkt und versuchen jetzt nachträglich das System abzusichern – praktisch während das Produkt bereits ausgerollt wird“. 

In einem offenen Brief fordert auch die AG KRITIS Nachbesserungen in einigen Bereichen – unter anderem müsse der Tatsache Rechnung getragen werden, dass Arztpraxen nicht die notwendigen Ressourcen haben, IT-Sicherheit auf dem notwendigen Level zu gewährleisten. 

Und bei all dem Reden wir noch nicht einmal von einer weiteren Option, die die ePA vorsieht und die standardmäßig ebenfalls allen Versicherten zugedacht ist: Die Weitergabe von Gesundheitsdaten zu Forschungszwecken. Sprich: Hier sollen potenziell auch Wirtschaftsunternehmen Zugriff auf unsere Gesundheitsdaten bekommen. “Zu Forschungszwecken”. Dass das natürlich gewisse Begehrlichkeiten weckt, dürfte niemanden überraschen. Wer sich noch an den Fall “Cambridge Analytica” erinnert: Hier wurden auch Daten zu Forschungszwecken genutzt, aber nach Abschluss der Arbeit ungeniert zweitverwertet. 

Ebenfalls unklar ist, wie etwa Patienten einen Zugriff auf Informationen widerrufen kann. Das geht so weit, dass einzelne Ärzteverbände  wie etwa der Bundesverband der Kinder und Jugendärztinnen (BVKJ) dazu raten, sich aufgrund der vielen ungeklärten Fragen das mit der ePA gut zu überlegen, auch wenn sie davon nicht explizit abraten wollen. Gerade für Minderjährige sind die Anforderungen noch einmal schärfer - hier wäre eigentlich ein Opt-In Verfahren besser gewesen. 

Die Antwort auf eigentlich alle ungeklärten Fragen – auch solche, die sehr grundsätzlich sind -  läuft im Prinzip auf “Kommt noch, haben wir aber auf dem Schirm” hinaus. Das ist für ein Projekt, das bereits so lange läuft und viel Geld gekostet hat (und noch kosten wird) ziemlich schwach.

Der Hauptkritikpunkt ist, dass die Entwicklung in weiten Teilen intransparent ist und kaum externe Prüfungen zulässt. Das wiederum riecht nach einer Strategie, welche schon vor Jahren als „nicht zielführend“ erkannt wurde: Security through Obscurity. Die Tatsache, dass sich ein Hersteller nicht in die Karten schauen lässt, bedeutet nicht, dass niemand eventuelle Probleme findet. Es dauert vielleicht ein bisschen länger. Aber vielleicht auch nicht.  

Wie es ein offener Brief bereits 2023 so treffend formulierten: "Vertrauen lässt sich nicht verordnen". Dieser offene Brief ist unter anderem vomVerbraucherzentrale Bundesverband sowie wie auch die AG KRITIS mit unterzeichnet. Initiiert wurde er unter anderem von der Deutschen Aidshilfe e.V. und dem CCC)

Vertrauen muss man sich verdienen. Und bisher verdient die ePA dieses Ausmaß an Vertrauen einfach noch nicht. 

Stichtag ist übrigens der 15. Januar 2025, an dem dieser Artikel erschienen ist. 
Wer sich erst jetzt überlegt, Widerspruch einzulegen, kann das ohne weiteres tun - auch über diesen Stichtag hinaus.