Und erst recht nicht, wenn Sie wertvolle Dinge im Haus haben. Gesundheitsdaten sind wertvoll. Für den Eigentümer, weil die Daten – insbesondere für spezielle Patientengruppen – wahnsinnig sensibel sind, und für den potenziellen Dieb, weil er sie extrem gut verkaufen kann. 

Zum Jahreswechsel hat der Chaos Computer Club, eine Vereinigung von ethischen Hackerinnen und Hackern, mehrere gravierende Einfallstore in das System der elektronischen Patientenakte aufgedeckt. Sie konnten sich fremde ePA besorgen, sie haben gleich mehrere Wege ausgemacht, wie man Zugang zu Praxissystemen erhält, und sie haben eine Möglichkeit gefunden, potenziellen Zugriff auf 73 Millionen Patientenakten zu erhalten. Die Einfallstore waren von extern zugänglich, die Angriffe erfolgten sozusagen von der eigenen Couch und die Vorbereitungen haben zwischen einer Stunde und einem Monat gedauert – das ist nichts.

Die Gematik hat auf die Veröffentlichung geantwortet, diese Angriffsszenarien auf die neue ePA wären technisch möglich, die praktische Durchführung aber nicht sehr wahrscheinlich, da dazu z. B. die illegale Beschaffung einer SMC-B-Karte und ihrer PIN nötig wäre – dabei seien aber doch unberechtigte Zugriffe auf die ePA strafbar. Die Gematik verlässt sich offenbar auf die abschreckende Wirkung von Paragrafen.

Einen „ungünstigen Zeitpunkt“, nannte es eine Kollegin, als wir in der Ressortkonferenz über den Talk des CCC gesprochen haben. „Genau jetzt müssen doch Ärztinnen und Ärzte, Patientinnen und Patienten Vertrauen fassen in die Karte!“ Richtig. Und eine andere Kollegin: „Ich bin total unsicher – ist es mir als Chronikerin jetzt wichtiger, meine Daten immer zur Hand zu haben, oder ist es mir wichtiger, dass ich nicht irgendwann durch ein Datenleck Nachteile habe, also etwa bei Versicherungsabschlüssen?“ 

Solche – nur scheinbar widerstreitenden Interessen – erkennt auch Martin Tschirsich, der zusammen mit Bianca Kastl diesen Sicherheitscheck ehrenamtlich durchgeführt hat. Ihr Ziel ist nicht, eine elektronische Patientenakte zu verhindern. Man wünscht sich aber „eine vertrauenswürdige Digitalisierung im Gesundheitswesen“. Dieses Vertrauen aber, das sei verloren gegangen und müsse jetzt sehr hart neu erarbeitet werden. 

Ach ja: Die Überschrift greift übrigens den Titel des CCC-Talks „Konnte bisher noch nie gehackt werden“ auf, der sich wiederum auf ein Zitat des Gesundheitsministers bezieht, das 2023 gefallen ist, als die Gesetzesgrundlagen für die ePA geschaffen wurden. Vor dem Hintergrund solcher Aussagen und dem Wissen, wie viele IT-Kundige seit Jahren und immer wieder vor Mängeln warnen, ist der geduldige und fair-humorvolle Ton, in dem die hackenden IT-Sicherheitsexpertinnen und -experten ihre Ergebnisse vortragen, schon fast übermenschlich zu nennen. 

Anuschka Wasner