Es ist wohl das größte IT-Projekt in Deutschland: die elektronische Patientenakte (ePA). Zuerst in einigen Regionen getestet, soll sie ab 15. Januar stufenweise in ganz Deutschland eingeführt werden: für mehr als 70 Millionen Menschen, die bei einer gesetzlichen Krankenkasse versichert sind. Krankenkassen hatten ihre Versicherten in den vergangenen Wochen darüber informiert. Versicherte konnten der elektronischen Patientenakte widersprechen.

Milliarden Kosten für Aufbau und Betrieb sollen Milliarden Kosten im Gesundheitswesen einsparen. Entsprechend hoch sind die Ansprüche an die elektronische Patientenakte. Geht die Akte an den Start, wird sie ab dann mit Informationen der Ärzte gefüllt.

Hinter der elektronischen Patientenakte steht eine komplexe IT-Infrastruktur. An sie stellt Bundesgesundheitsminister Karl Lauterbach (SPD) hohe Ansprüche. Er sagte laut dpa vor einer Woche, die Daten der Bürger sind vor Hackern sicher. "Die elektronische Patientenakte wird nicht ans Netz gehen, wenn es auch nur ein Restrisiko für einen großen Hackerangriff geben sollte." Das sei aber nicht zu befürchten. "Schon bei der Einführung werden wir Zehntausenden Menschen das Leben retten können."

IT-Sicherheitsexperte Manuel Atug hält solche Aussagen für politische Augenwischerei: "Das wird die Realität und das bestehende Risiko für Millionen gesetzlich Krankenversicherte nicht verändern." Atug ist Sprecher der AG KRITIS, einem Zusammenschluss von Fachleuten, die sich für IT-Sicherheit und Versorgung der Gesellschaft einsetzen. Menschen würden sehr konkret bedroht und ihre Grundrechte ausgehöhlt und unterwandert.

Atug spielt damit auf die Erkenntnisse von ehrenamtlichen IT-Sicherheitsexpertinnen und -experten an. Seit 2012 weisen sie regelmäßig auf Sicherheitslücken im System der elektronischen Patientenakte hin – zuletzt auf dem Chaos Communication Congress in Hamburg im Dezember 2024.

Dort hatten Bianca Kastl und Martin Tschirsich gezeigt, dass sie sich sowohl eine fremde Versichertenkarte als auch eine Identitätskarte als Arzt beschaffen konnten. Außerdem konnten sie sich die Hardware für Arztpraxen beschaffen, sagt Bianca Kastl: "Es gibt dafür eine Art Gebrauchtmarkt."

"Wenn zum Beispiel eine Praxis aufgelöst wird, kann sie ihre gesamte IT inklusive Kartenlesegeräten verkaufen." Kastl und Tschirsich konnten beim Gebrauchtwaren-Portal "Kleinanzeigen" Kartenlesegeräte kaufen. Auch bei eBay lassen sich solche Geräte finden. Aber nicht nur das: "Wir haben in diesen Geräten auch aktive Identitätskarten der Ärzte und PINs gefunden. So hatten wir tatsächlich Zugang zur Telematik-Infrastruktur." So hätten sie Patientenakten einsehen können.

Martin Tschirsich und Bianca Kastl bei der Präsentation ihrer Ergebnisse auf dem Chaos Comunication Congress. Satirisch haben sie ihren Vortrag "Konnte bisher noch nie gehackt werden" genannt. Bildrechte: CCC

Dass Praxis-Hardware gekauft werden kann – dafür könne man nicht allein den Ärztinnen und Ärzten die Schuld geben, sagt Kastl: "Daran ist auch die Infrastruktur mit Schuld. Es muss möglich sein, Karten zurückzuziehen. Wenn sich Ärztinnen abmelden, wie kann ich den Zugang zurückziehen?"

Die beiden IT-Sicherheitsexperten haben auch eine Lücke bei den Karten der Versicherten zeigen können. "Es ist nicht notwendig, diese Karte wirklich physikalisch einzustecken. Es reicht, dem Gerät die Nummer der Karte vorzuspielen, um Zugriff zur Akte bekommen." Weil es sich dabei um fortlaufende Nummern handeln würde, sei es letztendlich technisch möglich, auf alle elektronischen Patientenakten einer Krankenkasse zuzugreifen, sagt Kastl.

Die Nummer, die Kastl meint, ist die gleiche, die auf den Plastikkarten der Krankenkassen aufgedruckt ist und in Millionen deutscher Portmonees steckt. Sie reiche aus, um Zugang zur Akte zubekommen, sagt Kastl. Manche Experten vergleichen das damit, als würden Banken Zugangs-PINs auf EC- oder Kreditkarten drucken.

Sollten Versicherte also der elektronischen Patientenakte widersprechen? Kastl sagt, sie persönlich habe nicht widersprochen. "Aber ich bin so mein Crash-Test-Dummy für alle Sachen der Telematik-Infrastruktur und will eigenes Testmaterial." Anderen Versicherten empfiehlt sie, erst einmal abzuwarten.

Leiterin der Techniker Krankenkasse in Sachsen-Anhalt, Steffi Suchant: Gehen davon aus, dass die elektronische Patientenakte sicher ist. Bildrechte: TK Sachsen-Anhalt

Deutschlandweit haben bislang nur wenige Menschen der elektronischen Patientenakte widersprochen. Bei der Krankenversicherung mit den meisten Mitgliedern, der Techniker Krankenkasse (TK), haben nach deren Angaben etwa fünf Prozent der Versicherten Widerspruch eingelegt. Steffi Suchant leitet die Landesvertretung der TK in Sachsen-Anhalt. Sie sagt: "Die Arztpraxen in Sachsen-Anhalt werden erst mit der elektronischen Patientenakte vernetzt, wenn der Test in den Pilotregionen erfolgreich war." In Sachsen-Anhalt würden bereits mehrere tausend TK-Versicherte die freiwillige Variante des Systems nutzen. Nur wenige Sachsen-Anhalter hätten widersprochen.

Steffi Suchant sagt auch: "Wir gehen davon aus, dass die elektronische Patientenakte sicher ist. Wir müssen uns permanent mit der IT-Sicherheit auseinandersetzen – aber das System muss auch nutzerfreundlich sein."

Sachsen-Anhalts Datenschutzbeauftragte Christina Maria Rost sagt, Versicherte sollten abwarten und beobachten, ob und wie die festgestellten Sicherheitsprobleme gelöst werden. "Im Übrigen können die Versicherten der elektronischen Patientenakte zu jeder Zeit widersprechen." Sie müsste dann gelöscht werden. Zum Start der elektronischen Patientenakte hat Sachsen-Anhalts Datenschützerin ein FAQ auf ihrer Internetseite angekündigt und empfiehlt die des niedersächsischen Datenschützers und der Aidshilfe.

Martin Weigele sieht es anders. Er sagt, man sollte der elektronischen Patientenakte widersprechen. Sie sei nicht hinreichend sicher. Weigele ist promovierter Informatiker und Jurist. Er ist außerdem Sprecher der AG Datenschutz und IT-Sicherheit bei der Gesellschaft für Informatik. Weigele bemängelt vor allem, dass im System nicht richtig protokolliert werde, wer auf die Daten zugegriffen hat. "Protokolliert wird nur, dass zum Beispiel die Uniklinik Köln oder die Charité zugegriffen hat. Eigentlich muss eine konkrete Person nachweisbar sein", sagt Weigele. Nur so ließe sich ein Missbrauch konkret nachweisen.

Während Kastl und Tschirsich getestet haben, wie Menschen von außen in das System eindringen könnten, zeigen Weigeles Kritikpunkte auf andere Angriffsmöglichkeiten: Innentäter. Oder auf Hacker, die von einem Krankenhaus aus versuchen, auf das System zuzugreifen. Maximal könnte ein Krankenhaus Zugriff auf 600.000 elektronische Patientenakten haben, sagt IT-Sicherheitsexpertin Kastl.

IT-Sicherheitsexperte Manuel Atug: "Wer wie Lauterbach ein Restrisiko ausschließen will, darf die elektronische Patientenakte gar nicht einführen." Bildrechte: Manuel Atug

Verlockend für Hacker, die Daten erbeuten und weiterverkaufen wollen. Und dass Gesundheitsdaten ein Ziel krimineller Hacker sind, ist nicht neu: Allein in den vergangenen zwei Jahren wurden millionenfach Gesundheitsdaten von Menschen in Australien, Großbritannien und den USA gestohlen.

IT-Sicherheitsexperte Manuel Atug sagt deshalb: "Es wird keine fünf Jahre dauern, bis die Daten der ePA massiv abgegriffen werden, wenn nichts essentiell geändert wird." Auch er rät klar zum Widerspruch. Er kritisiert die Reaktion der Gematik auf die aktuellen Vorwürfe scharf.

Die Gematik betreibt die Infrastruktur der Patientenakte. Sie hatte nach den Erkenntnissen der IT-Sicherheitsexperten lediglich geschrieben, solche Angriffe seien illegal und somit strafbar. Atug sagt, in Zeiten hybrider Bedrohungen gefährde die Gematik uns alle.

Nicht nur Hacker finden Gesundheitsdaten begehrlich. Auch der NRW-Landesvorsitzende des Bunds Deutscher Kriminalbeamter meldet Ansprüche an. Nach dem Anschlag von Magdeburg hatte er im WDR gefordert, im Kampf gegen Attentate Ärzte von der Schweigepflicht zu entbinden und der Polizei Zugriff auf Gesundheitsdaten zu gewähren. "Ich würde mir tatsächlich wünschen, dass die Polizei direkten Zugriff auf Gesundheitsdaten bekommen kann", so Huth.

Dabei sind Gesundheitsdaten besonders schützenswert. Das sagt Sachsen-Anhalts Datenschutzbeauftragte Christina Maria Rost. "Sie können besondere Risiken für die betroffene Person mit sich bringen, zum Beispiel Diskriminierung oder Stigmatisierung."

Das System der elektronischen Patientenakte erfülle grundsätzlich einen hohen Sicherheitsstandard. Aber: "Die Sicherheitsmängel des unberechtigten Zugangs durch widerrechtlich beschaffte Karten müssen bis zur bundesweiten Einführung abgestellt werden", fordert Rost.

Gefragt sei nun das Bundesgesundheitsministerium und vor allem die Gematik. Sie müsse die technische Sicherheit umsetzen. "Auch das Bundesamt für Sicherheit in der Informationstechnik und die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit müssen beteiligt werden."

Der Generalsekretär der Intensiv- und Notfallmediziner-Vereinigung DIVI, Uwe Janssens fährt in der "Augsburger Allgemeinen" schwere Geschütze auf: "Wer widerspricht, gefährdet möglicherweise die eigene Versorgung und Gesundheit." Aus medizinischer Sicht sei es "völlig unvernünftig", der Nutzung zu widersprechen.

Andere Ärztevertreter sind zurückhaltender: Der Chef der Bundesärztekammer sagte dem "Ärzteblatt", er könne die elektronische Patientenakte aktuell nicht empfehlen. Der Verband der Kinder- und Jugendärzte rät Eltern, dass sie für ihre minderjährigen Kinder Widerspruch gegen die elektronische Patientenakte einlegen. Das sieht auch IT-Jurist Weigele so. Er kritisiert, dass die elektronische Patientenakte für Minderjährige automatisch angelegt wurde und Eltern aktiv widersprechen mussten.

Sachsen-Anhalts Hausärzteverband kritisiert die vierwöchige Pilotphase in Hamburg, Franken und Nordrhein-Westfalen als zu kurz. Holger Fischer vom Hausärzteverband befürchtet außerdem zu hohe Erwartung der Patienten: "Niemand darf annehmen, dass auf Knopfdruck alle Gesundheitsdaten und Befunde der letzten Jahre in diese Akte eingeladen werden. Die elektronische Patientenakte wird sich langsam entwickeln."

Für seinen Alltag als Arzt sei es wichtig, dass Pflegeheime und Pflegedienste auf die Akte zugreifen könnten. "Aber lediglich Arztpraxen können von Beginn an damit arbeiten. Viele weitere Player im Gesundheitswesen werden noch Jahre dafür brauchen." Fischer hätte anders mit der elektronischen Patientenakte angefangen und zunächst Notfalldaten, Medikationsplan, Impfausweis, Patientenverfügung und Organspendeausweis auf der Krankenversicherungskarte gespeichert. "Aber das war den Protagonisten nicht ausreichend. Dabei hätten so auch viele Sicherheitsbedenken ausgeräumt werden können."

Sachsen-Anhalts Kassenärztliche Vereinigung bereiten die aufgezeigten Sicherheitslücken Sorgen. Die elektronische Patientenakte dürfe erst eingeführt werden, wenn es eine "verlässliche, störungsfreie und einfach zu handhabende Integration im Praxisalltag" gebe. Nur wenn die Daten bestmöglich geschützt würden, würden die Menschen die Patientenakte akzeptieren.

Es gehe vor allem um den Schutz vor unbefugten oder unerwünschten Zugriffen. "Da dieser offensichtlich nicht vollständig gewährleistet werden kann, muss die Sicherheitslücke vor der flächendeckenden Einführung schnellstmöglich geschlossen werden beziehungsweise die flächendeckende Einführung verschoben werden."

Eine Lösung für die aufgezeigten Lücken hatte die Gematik Ende Dezember angekündigt. Sie will vor dem bundesweiten Rollout technische Lösungen einbauen, um den Missbrauch von Arztausweisen zu verhindern. Außerdem soll die Krankenversicherungsnummer zusätzlich verschlüsselt, Nutzende der Telematik-Infrastruktur sollen sensibilisiert und das System zur Erkennung von auffälligem Nutzungsverhalten soll ausgeweitet werden.

IT-Sicherheitsexpertin Bianca Kastl: Mängel lassen sich nicht schnell beseitigen; es braucht eine neutrale Bewertung des Systems. Bildrechte: Kastl

IT-Sicherheitsexpertin Bianca Kastl bezweifelt, dass sich die Mängel so schnell richtig reparieren lassen. Das Problem mit den Nummern auf den Plastikkarten lasse sich ohnehin nicht wirklich lösen: "Die jetzt angekündigte Lösung erschwert nur den Abfluss von Millionen Daten, einzelne ePAs sind per Design unsicher." Sie hat mittlerweile einen offenen Brief an Gesundheitsminister Lauterbach angestoßen, den mehr als 25 Organisationen unterzeichnet haben, unter anderem der Bundesverband der Verbraucherzentralen und der Deutsche Paritätische Wohlfahrtsverband.

Unklar ist ohnehin, wie die Gematik nachweisen will, dass die Mängel beseitigt wurden. Sollen das ehrenamtlich tätige IT-Sicherheitsexperten wie Kastl prüfen? Kastl fordert eine unabhängige Bewertung: "Alle Beteiligten im Gesundheitssystem haben ein Interesse daran, dass die elektronische Patientenakte ein Erfolg wird."

Außerdem glaubt sie, dass in Deutschlands größtem IT-Vorhaben die Parteipolitik eine zu große Rolle spielt. "In einer vierjährigen Legislaturperiode will man schnell politisch Dinge in die Wege leiten. Aber für die eigentliche Umsetzung bleibt dann viel zu wenig Zeit, um das sauber zu machen." Das Denken in Legislaturperioden sei für Digitalisierungsprojekte im Gesundheitswesen nicht zielführend.

Sachsen-Anhalts Gesundheitsministerin Petra Grimm-Benne (SPD) wirkte vor ein paar Tagen nur wenig informiert über die aktuell beschriebenen Sicherheitsmängel der Patientenakte. Im Sozialausschuss in Sachsen-Anhalts Landtag konnte sie dazu nichts sagen. Nicole Anger, Gesundheitspolitikerin der Linken kritisiert Grimm-Benne dafür: "Die Datensicherheit der Patientinnen und Patienten muss im Fokus stehen. Diese scheinbare Unkenntnis der Ministerin ist nicht nur dilettantisch, das ist gefährlich in Bezug auf Gesundheitsdaten."

Für wie groß Sachsen-Anhalts Gesundheitsministerium das Risiko für Patienten im Land hält und ob es zum Widerspruch rät – diese Fragen hat das Gesundheitsministerium bislang nicht beantwortet.