Kann die Elektronische Patientenakte als sicher eingestuft werden?

Rund um die Elektronische Patientenakte (ePA) gab und gibt es von vielen Seiten Sicherheitsbedenken. Wie positioniert sich die Bundesregierung dazu?

Die Bedenken rund um die Sicherheit der Elektronischen Patientenakte waren Inhalt einer Kleinen Anfrage von Linken-Bundestagsabgeordneten. Nur wenige Tage vor der Bundestagswahl 2025 legte die Bundesregierung die dazugehörige Antwort vor. Der Tenor der Antwort lautete, dass „keine Sicherheitsbedenken“ bestehen würden. Allerdings gibt es an späterer Stelle der Antwort der Bundesregierung einen bedenkenswerten Hinweis. Er lautet auf die Nachschärfung technischer Verfahren. Betroffen davon sind die Sperrfunktionen für Krankenkassenkarten sowie eine automatisierte Erkennung von Anomalien bei den Zugriffen auf die Elektronische Patientenakte.

Kritik des Chaos Computer Clubs an der ePA hatte für Unruhe gesorgt

Der Chaos Computer Club (kurz CCC) hatte auf seinem neuesten Communication Congress gefordert, dass die Pilotprojekte und die flächendeckende Einführung der Elektronischen Patientenakte erst dann erfolgt, wenn alle bisher identifizierten Sicherheitslücken zuverlässig geschlossen wurden. Der CC stufte diese in einem Statement wörtlich als „besorgniserregende Sicherheitsprobleme“ ein. Die Bundesregierung betont in ihrer Antwort auf die Kleine Anfrage der Linken, dass sie die Hinweise des CCC „sehr ernst“ nimmt. Für zahlreiche Angriffsszenarien, die vom CCC aufgezeigt wurden, gibt es bereits praktikable Lösungen. Eine Lösung beinhaltet die Beschränkung der Zugriffe von Leistungserbringungen im Pilotprojekt über ein „Whitelisting“-Verfahren. Das heißt, nur speziell dafür gelistete Leistungserbringer erhalten den Zugriff.

Sind erfolgreiche Hackerangriffe auf die EPA komplett ausgeschlossen?

Die Bundesregierung betont, dass ein Zugriff auf die Daten eines bestimmten Patienten ein mehrstufiger Angriff erfolgen müsste, bei dem alle Stufen eine strafbare Handlung darstellen. In der Antwort heißt es allerdings auch, dass in dem Gutachten des Fraunhofer-Instituts nicht alle möglichen Szenarien eines Hackerangriffs einbezogen wurden. So gibt die Bundesregierung beispielsweise zu, dass die „Angriffsressourcen fremdstaatlicher Akteure“ in der Risikobewertung fehlen. Als Begründung dafür gibt sie an, dass bei einer Berücksichtigung dieses Aspekts keine Standardhardware und Standardsoftware mehr zum Einsatz kommen könnte. Zielgerichtete Hackerangriffe anderer Akteure sollen beispielsweise durch die getrennte Bereithaltung der Identifikationsmerkmale (teilweise auf dem Kartenchip und teilweise als Aufdruck auf der Karte) massiv erschwert werden. Einen Schutz für die zentrale Infrastruktur der ePA sollen kryptographische Maßnahmen sowie die Ausführung in vertrauenswürdigen Umgebungen bieten.

Quelle: Deutscher Bundestag Drucksache 20/14953

About Author