Elektronische Patientenakte - Schwerwiegende Schwachstellen, Daten nicht sicher

(PDF)
Die Diskussion um die ePA ist zugleich eine Grundsatzdebatte über die Machbarkeit sicherer, zentralisierter Datensysteme.Foto: Adobestock

Die elektronische Patientenakte (ePA) ist zweifellos ein Schlüsselprojekt der Digitalisierung im deutschen Gesundheitswesen. Mit der zentralen Speicherung von Gesundheitsdaten aller gesetzlich Versicherten sollen Diagnosen schneller gestellt, Doppeluntersuchungen vermieden und die Versorgung optimiert werden. Doch die Vision einer effizienteren Gesundheitsversorgung steht unter erheblichem Druck. Immer wieder werden Sicherheitsbedenken laut, die das Projekt ins Wanken bringen. Denn eine zentrale Frage bleibt: Kann ein solches System absolute Datensicherheit gewährleisten?

Zwischen Anspruch und Wirklichkeit: Ein ehrgeiziges Projekt mit Startschwierigkeiten

Die ePA soll das Gesundheitswesen ins digitale Zeitalter führen. Diagnosen, Medikationspläne und Laborbefunde können zentral gespeichert und für Ärzt:innen sowie Patient:innen jederzeit zugänglich gemacht werden. Das Ziel: eine schnellere, effektivere und besser koordinierte Versorgung. Doch der Weg dorthin ist steinig.

Seit dem Start der freiwilligen Opt-in-Version im Jahr 2021 häufen sich Berichte über technische Probleme, mangelndes Vertrauen und schleppende Akzeptanz. Mit der für 2025 geplanten Umstellung auf ein Opt-out-Modell, das alle gesetzlich Versicherten ohne explizite Zustimmung einbindet, wird der Druck auf das Projekt weiter steigen. Kritiker:innen weisen darauf hin, dass nicht nur die Datensicherheit, sondern auch der Schutz der Privatsphäre auf der Kippe steht.

Sicherheitsanalysen offenbaren massive Schwachstellen

Einen tiefen Einblick in die Problematik liefert der Bericht des Chaos Computer Clubs (CCC), der auf dem 38. Chaos Communication Congress vorgestellt wurde. Die Analyse legt zahlreiche architektonische Schwächen offen, die den hohen Sicherheitsansprüchen widersprechen. Besonders besorgniserregend: Einige Schwachstellen sind direkt auf bewusste Designentscheidungen zurückzuführen, die offenbar im Eiltempo der Einführung entstanden.

Falsche Prioritäten bei Zugangsmechanismen

Eine der gravierendsten Schwächen betrifft die Verwaltung von digitalen Heilberufs- und Praxisausweisen. Diese dienen als Zugangsschlüssel zur ePA, können jedoch durch vergleichsweise einfache Manipulationen gefälscht oder gestohlen werden. Laut CCC erlauben aktuelle Sicherheitslücken den Zugang zu Patientendaten binnen Minuten – ein beunruhigender Befund, der zeigt, wie fahrlässig mit dem Schutz sensibler Gesundheitsdaten umgegangen wird.

Noch kritischer wird die geplante Version 3.0 der ePA bewertet: Hier soll der Schutz durch persönliche PINs gänzlich entfallen, was die Hürde für Missbrauch erheblich senkt.

Unsichere Schnittstellen als Systemrisiko

Eine weitere Baustelle ist der Versichertenstammdatendienst (VSDD). Dieser zentrale Bestandteil der ePA-Infrastruktur weist laut CCC gravierende Schwachstellen auf. Beispielsweise können unsignierte Ausweisnummern genutzt werden, um auf Patientendaten zuzugreifen – ein Sicherheitsrisiko, das nicht nur einzelne Akten, sondern potenziell das gesamte System kompromittieren könnte.

Fehlende unabhängige Sicherheitsprüfungen

Hinzu kommt ein systemisches Problem: Die bisher durchgeführten Sicherheitsüberprüfungen wurden überwiegend intern vorgenommen. Externe und unabhängige Prüfungen fehlen weitgehend, was den Verdacht auf Interessenkonflikte nährt. Ohne Transparenz in der Sicherheitsarchitektur bleibt die Frage offen, ob das System den Herausforderungen moderner Cyberangriffe überhaupt gewachsen ist.

Während die Sicherheitsforscher gravierende Mängel nachweisen, bleibt die Gematik bemerkenswert optimistisch. Ein vom Fraunhofer-Institut erstelltes Sicherheitsgutachten, das von einer KI analysiert wurde, stuft die ePA als „sicher“ ein. Doch wie der CCC treffend kommentiert, handelt es sich hierbei um eine „halluzinierte Fehldiagnose“. Eine solche Bewertung ist mehr PR-Maßnahme als vertrauenswürdige Prüfung. Tatsächlich mangelt es der ePA an grundlegenden Sicherheitsvorkehrungen, die das Vertrauen von Leistungserbringern und Versicherten gleichermaßen gewinnen könnten.

Zentrale Systeme: ein Paradigma der Unsicherheit?

Die Diskussion um die ePA ist zugleich eine Grundsatzdebatte über die Machbarkeit sicherer, zentralisierter Datensysteme. Der Vorteil zentraler Datenbanken – die einfache Verfügbarkeit von Informationen – ist zugleich ihr größter Schwachpunkt. Ein erfolgreicher Angriff reicht aus, um potenziell Millionen von Datensätzen zu kompromittieren.

Selbst modernste Verschlüsselung und strikte Zugangsmechanismen können diese Einfallstor-Problematik nur begrenzt entschärfen. Im Kern steht ein strukturelles Dilemma: Je zentraler die Architektur, desto größer das Risiko für großflächige Datenlecks.

Zwischen Nutzen und Risiko: Wie viel Sicherheit ist realistisch?

Für die politischen Entscheidungsträger:innen stellt sich die Frage, ob der potenzielle Nutzen der ePA – von besserer Versorgung bis hin zu Kosteneinsparungen – die unausweichlichen Risiken rechtfertigt. Befürworter:innen argumentieren, dass sich Sicherheitstechnologien stetig weiterentwickeln und das Gesamtsystem mit der Zeit sicherer werde. Kritiker:innen hingegen warnen vor den langfristigen Konsequenzen eines Vertrauensverlusts: Wenn Versicherte den Eindruck gewinnen, dass ihre sensibelsten Daten nicht ausreichend geschützt sind, droht die Akzeptanz der ePA zu scheitern.

Lösungsansätze: Dezentralisierung und Transparenz

Der CCC fordert ein radikales Umdenken. Statt die ePA um jeden Preis durchzusetzen, sollten alternative Ansätze wie dezentrale Datenstrukturen stärker in den Fokus rücken. Diese bieten durch die verteilte Speicherung der Daten ein deutlich geringeres Angriffspotenzial. Gleichzeitig betont der CCC die Notwendigkeit unabhängiger Sicherheitsprüfungen und einer transparenten Kommunikation mit der Öffentlichkeit. Nur so kann das Vertrauen der Versicherten gewonnen werden.

Die Zeit drängt – doch die Sicherheit muss Priorität haben

Die Einführung der ePA ab 2025 wird zweifellos ein Meilenstein im deutschen Gesundheitswesen sein. Ob sie jedoch ein Erfolg wird, hängt maßgeblich davon ab, wie entschieden die Verantwortlichen auf die Sicherheitsbedenken reagieren. Ohne substanzielle Nachbesserungen, stärkere Kontrollen und transparente Prozesse dürfte es schwierig werden, die Versicherten und Leistungserbringer zu überzeugen. Es bleibt zu hoffen, dass die Politik aus den bisherigen Fehlern lernt – bevor das Projekt zum Symbol für verpasste Chancen und gebrochene Datenschutzversprechen wird.


(PDF)

LESEN SIE AUCH

Maxim Pertl, Partner für Asset- Owners & Managers DACH & CEE bei Clearwater AnalyticsClearwater AnalyticsMaxim Pertl, Partner für Asset- Owners & Managers DACH & CEE bei Clearwater AnalyticsClearwater Analytics
Digitalisierung

Digitale Betriebsmodelle: Laufen kleinere Versicherer den großen davon?

Veraltete Systeme, demografischer Wandel und regulatorische Anforderungen setzen Versicherer unter Druck. Besonders kleinere Häuser nutzen ihre Agilität, um digitale Betriebsmodelle schneller anzupassen und Marktanteile zu sichern, stellt Maxim Pertl, Partner für Asset- Owners & Managers DACH & CEE bei Clearwater Analytics, im Interview heraus.

Alexander Retsch, Prokurist der vfm-Gruppevfm-GruppeAlexander Retsch, Prokurist der vfm-Gruppevfm-Gruppe
Digitalisierung

„Der Ausschließlichkeits-Vertrieb hat nur Zukunft, wenn er sich wandelt“

Soll der Exklusiv-Vertrieb von Versicherern weiter bestehen, muss er sich wandeln, ist Alexander Retsch, Prokurist der vfm-Gruppe überzeugt. Wie das AOplus-Modell bei dieser Wandlung helfen und die Kundenbindung stärken soll, erklärt Retsch im Exklusiv-Interview.

Dr. Guido Bader, Vorstandsvorsitzender der Stuttgarter (links), und Dr. Ulrich Mitzlaff, Vorstandsvorsitzender der SDK (rechts)Die Stuttgarter / SDKDr. Guido Bader, Vorstandsvorsitzender der Stuttgarter (links), und Dr. Ulrich Mitzlaff, Vorstandsvorsitzender der SDK (rechts)Die Stuttgarter / SDK
Unternehmen

SDK und Stuttgarter prüfen Zusammenschluss

Die SDK und die Stuttgarter prüfen einen möglichen Zusammenschluss zu einer gemeinsamen Unternehmensgruppe. Das FAQ von experten-netzwerk bietet Antworten auf die wichtigsten Fragen zum geplanten Zusammenschluss.

Rainer-Reitzler-2024-MVRainer-Reitzler-2024-MVMünchener Verein VersicherungsgruppeRainer-Reitzler-2024-MVMünchener Verein Versicherungsgruppe

„Unser Leitbild: begeisterte Kunden und starke Vertriebe.“

In schwierigen Jahren meldete der Münchener Verein kontinuierlich Wachstumsrekorde. Die PKV nimmt dafür einen hohen Stellenwert ein: mit einer konsequenten Zielgruppenstrategie, angestammten Geschäftsfelder mit starken Zuwächsen bei den Zusatzversicherungen sowie den Vollversicherten mit einem Ergebnis im Markttrend. CEO Dr. Rainer Reitzler über Stärken, Erfolge und Ziele.

Contemporary gadgets for medical employeeContemporary gadgets for medical employeeContemporary gadgets for medical employee
Digitalisierung

GoLive der Gothaer Krankenversicherung mit RISE ePA

Die Gothaer setzt auf TI-Lösungen von RISE für Patientenakten und digitale Identitäten. PKV-Versicherte haben nun die Möglichkeit, die ePA zu nutzen und den laufend wachsenden Nutzen der Digitalisierung in Anspruch zu nehmen.

Doctor using technology document management on computer system mDoctor using technology document management on computer system mSuriyo – stock.adobe.comDoctor using technology document management on computer system mSuriyo – stock.adobe.com
Assekuranz

Gesundheitsdaten: Vorbehalte müssen endlich überwunden werden!

Die von der Politik angestoßene digitale Aufholjagd ist längst überfällig. Um Gesundheitsdaten adäquat auswerten zu können, muss der Datenschutz deren bestmögliche Nutzung stärker in den Vordergrund stellen und Versicherten eine verantwortungsvolle Nutzung ihrer Daten ermöglichen.

Mehr zum Thema

Digitalisierung

Künstliche Intelligenz wird erwachsen: Die wichtigsten KI-Trends 2025

Verschärfter Wettbewerb, Agentic AI und wachsender regulatorischer Druck prägen die KI-Welt 2025. Pegasystems wirft einen Blick auf die fünf entscheidenden Trends, die Unternehmen jetzt im Auge behalten sollten.

Dr. Edgar Puls, Vorstandsvorsitzender der HDI Global SEHDI Global SEDr. Edgar Puls, Vorstandsvorsitzender der HDI Global SEHDI Global SE
Digitalisierung

Industrieversicherung: OPEN RISK DATA Association gegründet

Mit der Gründung des OPEN RISK DATA Association e.V. soll der digitale Austausch von Risikodaten in der Industrieversicherung revolutioniert werden.

pixabaypixabay
Digitalisierung

Vier Trends für 2025: KI-Agenten und Hyper-Automation

Mindbreeze, ein führender Anbieter von KI-basierten Wissensmanagement-Lösungen, identifiziert vier Trends für das Jahr 2025 und skizziert die bedeutendsten Unternehmensbereiche, in denen künstliche Intelligenz die Transformation vorantreiben wird.

DALL-EDALL-E
Digitalisierung

Digitale Transformation setzt Ausschließlichkeitsvertrieb unter Druck

Die Digitalisierung setzt den klassischen Ausschließlichkeitsvertrieb unter Druck. Ulla Dörfler von der vfm-Gruppe erklärt, wie das AOplus-Modell Exklusivvermittlern eine erweiterte Produktpalette und damit neue Perspektiven bietet – eine Lösung, die bereits Zurich und ALH erfolgreich nutzen.

stock.adbobe.com @ kelifamilystock.adbobe.com @ kelifamily
Digitalisierung

Die Evolution der Digitalbanken: Auswirkungen auf traditionelle Banking-Modelle

Klassisches Banking mit Filialen, Vor-Ort-Berater:innen und einem meist sehr großen „Apparat“ im Hintergrund verliert immer mehr Kund:innen. Ein Grund dafür sind Digital- bzw. Neobanken – ähnliches Geschäftsmodell, völlig andere Herangehensweise.

Alexandra_Koch / pixabayAlexandra_Koch / pixabay
Digitalisierung

Künstliche Intelligenz treibt den Finanzsektor voran

Wie verändert Künstliche Intelligenz die Finanzbranche? Eine neue Studie zeigt, dass 2023 weltweit 87 Milliarden US-Dollar in KI-Technologien für Banken und Versicherungen flossen. Was dabei im besonders im Fokus steht.