Elektronische Patientenakte - Schwerwiegende Schwachstellen, Daten nicht sicher
Die elektronische Patientenakte (ePA) ist zweifellos ein Schlüsselprojekt der Digitalisierung im deutschen Gesundheitswesen. Mit der zentralen Speicherung von Gesundheitsdaten aller gesetzlich Versicherten sollen Diagnosen schneller gestellt, Doppeluntersuchungen vermieden und die Versorgung optimiert werden. Doch die Vision einer effizienteren Gesundheitsversorgung steht unter erheblichem Druck. Immer wieder werden Sicherheitsbedenken laut, die das Projekt ins Wanken bringen. Denn eine zentrale Frage bleibt: Kann ein solches System absolute Datensicherheit gewährleisten?
Zwischen Anspruch und Wirklichkeit: Ein ehrgeiziges Projekt mit Startschwierigkeiten
Die ePA soll das Gesundheitswesen ins digitale Zeitalter führen. Diagnosen, Medikationspläne und Laborbefunde können zentral gespeichert und für Ärzt:innen sowie Patient:innen jederzeit zugänglich gemacht werden. Das Ziel: eine schnellere, effektivere und besser koordinierte Versorgung. Doch der Weg dorthin ist steinig.
Seit dem Start der freiwilligen Opt-in-Version im Jahr 2021 häufen sich Berichte über technische Probleme, mangelndes Vertrauen und schleppende Akzeptanz. Mit der für 2025 geplanten Umstellung auf ein Opt-out-Modell, das alle gesetzlich Versicherten ohne explizite Zustimmung einbindet, wird der Druck auf das Projekt weiter steigen. Kritiker:innen weisen darauf hin, dass nicht nur die Datensicherheit, sondern auch der Schutz der Privatsphäre auf der Kippe steht.
Sicherheitsanalysen offenbaren massive Schwachstellen
Einen tiefen Einblick in die Problematik liefert der Bericht des Chaos Computer Clubs (CCC), der auf dem 38. Chaos Communication Congress vorgestellt wurde. Die Analyse legt zahlreiche architektonische Schwächen offen, die den hohen Sicherheitsansprüchen widersprechen. Besonders besorgniserregend: Einige Schwachstellen sind direkt auf bewusste Designentscheidungen zurückzuführen, die offenbar im Eiltempo der Einführung entstanden.
Falsche Prioritäten bei Zugangsmechanismen
Eine der gravierendsten Schwächen betrifft die Verwaltung von digitalen Heilberufs- und Praxisausweisen. Diese dienen als Zugangsschlüssel zur ePA, können jedoch durch vergleichsweise einfache Manipulationen gefälscht oder gestohlen werden. Laut CCC erlauben aktuelle Sicherheitslücken den Zugang zu Patientendaten binnen Minuten – ein beunruhigender Befund, der zeigt, wie fahrlässig mit dem Schutz sensibler Gesundheitsdaten umgegangen wird.
Noch kritischer wird die geplante Version 3.0 der ePA bewertet: Hier soll der Schutz durch persönliche PINs gänzlich entfallen, was die Hürde für Missbrauch erheblich senkt.
Unsichere Schnittstellen als Systemrisiko
Eine weitere Baustelle ist der Versichertenstammdatendienst (VSDD). Dieser zentrale Bestandteil der ePA-Infrastruktur weist laut CCC gravierende Schwachstellen auf. Beispielsweise können unsignierte Ausweisnummern genutzt werden, um auf Patientendaten zuzugreifen – ein Sicherheitsrisiko, das nicht nur einzelne Akten, sondern potenziell das gesamte System kompromittieren könnte.
Fehlende unabhängige Sicherheitsprüfungen
Hinzu kommt ein systemisches Problem: Die bisher durchgeführten Sicherheitsüberprüfungen wurden überwiegend intern vorgenommen. Externe und unabhängige Prüfungen fehlen weitgehend, was den Verdacht auf Interessenkonflikte nährt. Ohne Transparenz in der Sicherheitsarchitektur bleibt die Frage offen, ob das System den Herausforderungen moderner Cyberangriffe überhaupt gewachsen ist.
Während die Sicherheitsforscher gravierende Mängel nachweisen, bleibt die Gematik bemerkenswert optimistisch. Ein vom Fraunhofer-Institut erstelltes Sicherheitsgutachten, das von einer KI analysiert wurde, stuft die ePA als „sicher“ ein. Doch wie der CCC treffend kommentiert, handelt es sich hierbei um eine „halluzinierte Fehldiagnose“. Eine solche Bewertung ist mehr PR-Maßnahme als vertrauenswürdige Prüfung. Tatsächlich mangelt es der ePA an grundlegenden Sicherheitsvorkehrungen, die das Vertrauen von Leistungserbringern und Versicherten gleichermaßen gewinnen könnten.
Zentrale Systeme: ein Paradigma der Unsicherheit?
Die Diskussion um die ePA ist zugleich eine Grundsatzdebatte über die Machbarkeit sicherer, zentralisierter Datensysteme. Der Vorteil zentraler Datenbanken – die einfache Verfügbarkeit von Informationen – ist zugleich ihr größter Schwachpunkt. Ein erfolgreicher Angriff reicht aus, um potenziell Millionen von Datensätzen zu kompromittieren.
Selbst modernste Verschlüsselung und strikte Zugangsmechanismen können diese Einfallstor-Problematik nur begrenzt entschärfen. Im Kern steht ein strukturelles Dilemma: Je zentraler die Architektur, desto größer das Risiko für großflächige Datenlecks.
Zwischen Nutzen und Risiko: Wie viel Sicherheit ist realistisch?
Für die politischen Entscheidungsträger:innen stellt sich die Frage, ob der potenzielle Nutzen der ePA – von besserer Versorgung bis hin zu Kosteneinsparungen – die unausweichlichen Risiken rechtfertigt. Befürworter:innen argumentieren, dass sich Sicherheitstechnologien stetig weiterentwickeln und das Gesamtsystem mit der Zeit sicherer werde. Kritiker:innen hingegen warnen vor den langfristigen Konsequenzen eines Vertrauensverlusts: Wenn Versicherte den Eindruck gewinnen, dass ihre sensibelsten Daten nicht ausreichend geschützt sind, droht die Akzeptanz der ePA zu scheitern.
Lösungsansätze: Dezentralisierung und Transparenz
Der CCC fordert ein radikales Umdenken. Statt die ePA um jeden Preis durchzusetzen, sollten alternative Ansätze wie dezentrale Datenstrukturen stärker in den Fokus rücken. Diese bieten durch die verteilte Speicherung der Daten ein deutlich geringeres Angriffspotenzial. Gleichzeitig betont der CCC die Notwendigkeit unabhängiger Sicherheitsprüfungen und einer transparenten Kommunikation mit der Öffentlichkeit. Nur so kann das Vertrauen der Versicherten gewonnen werden.
Die Zeit drängt – doch die Sicherheit muss Priorität haben
Die Einführung der ePA ab 2025 wird zweifellos ein Meilenstein im deutschen Gesundheitswesen sein. Ob sie jedoch ein Erfolg wird, hängt maßgeblich davon ab, wie entschieden die Verantwortlichen auf die Sicherheitsbedenken reagieren. Ohne substanzielle Nachbesserungen, stärkere Kontrollen und transparente Prozesse dürfte es schwierig werden, die Versicherten und Leistungserbringer zu überzeugen. Es bleibt zu hoffen, dass die Politik aus den bisherigen Fehlern lernt – bevor das Projekt zum Symbol für verpasste Chancen und gebrochene Datenschutzversprechen wird.
Themen:
LESEN SIE AUCH
Elektronische Patientenakte: Privatversicherte werden Teil von „ePA für alle“
Die elektronische Patientenakte (ePA) ist ab dem 29. April 2025 bundesweit verfügbar – erstmals auch für Privatversicherte. Warum digitale Identitäten dabei die Gesundheitskarte ersetzen und welche gesetzlichen Hürden noch bleiben.
HEUTE UND MORGEN stellt „Techmonitor GKV 2025“ vor
Digitale Services sind ein entscheidender Wettbewerbsfaktor für Krankenkassen - zu diesem Ergebnis kommt der „Techmonitor GKV 2025“ der HEUTE UND MORGEN GmbH. Besondere Schwerpunkte sind in diesem Jahr die Elektronische Patientenakte (ePA) sowie das Gesundheitsdatennutzungsgesetz (GDNG).
Pflegereform: PKV-Verband legt 10-Punkte-Plan vor
Das System der sozialen Pflegeversicherung steht unter Druck – demografisch, finanziell, strukturell. Mit einem 10-Punkte-Plan legt der PKV-Verband nun konkrete Reformvorschläge vor und fordert damit nichts geringeres als einen Paradigmenwechsel.
KI im Kundendialog: Zwischen Game Changer und Beziehungskiller
Künstliche Intelligenz ist längst kein Zukunftsthema mehr – sie verändert die Customer Journey in der Assekuranz bereits heute. Doch sind Kunden wirklich bereit, auf KI-gestützte Services zu setzen? Antworten liefert der neue „KI-Monitor-Assekuranz 2025“ des Marktforschungsinstituts HEUTE UND MORGEN.
Unsere Themen im Überblick
Themenwelt
Wirtschaft
Management
Recht
Finanzen
Assekuranz
Digitale Kluft bleibt groß: 38 Prozent zögern bei Online-Angeboten
Datenschutzsorgen, fehlendes Wissen und Angst vor Fehlern: Eine aktuelle Umfrage zur digitalen Teilhabe zeigt, dass viele Menschen mit der Digitalisierung fremdeln – vor allem Ältere. Der bevorstehende Digitaltag will genau hier ansetzen.
Wunsch nach digitaler Schadenabwicklung steigt
Immer mehr Versicherte wünschen sich eine vollständig digitale Abwicklung von Schadensfällen – doch bei der Automatisierung ziehen viele eine klare Grenze. Eine aktuelle Bitkom-Umfrage zeigt: Während digitale Services zunehmend gefragt sind, bleibt der Wunsch nach persönlicher Kontrolle bestehen. Für Versicherer ergibt sich daraus ein klarer Handlungsauftrag.
„BiPRO ist noch nicht in Verbindung mit dem Maklermarkt“
Beim BiPRO-Tag 2025 diskutierten Branchenteilnehmer über Digitalisierung, Standardisierung und neue Schnittstellen. BVK-Vizepräsident Andreas Vollmer stellte dabei klar: BiPRO müsse praxisnäher werden – und stärker auf den Maklermarkt ausgerichtet sein.
Digitaler Euro könnte europäische Banken bis zu 30 Milliarden Euro kosten
Die Einführung eines digitalen Euro dürfte für Banken und Sparkassen im Euroraum mit erheblichen Kosten verbunden sein: Laut einer neuen PwC-Studie im Auftrag der europäischen Bankenverbände EBF, EACB und ESBG könnten bis zu 30 Milliarden Euro an Belastungen entstehen. Dabei sehen die Studienautoren bislang keinen erkennbaren Mehrwert für Verbraucher oder Unternehmen.
Die neue Ausgabe kostenlos im Kiosk
Werfen Sie einen Blick in die aktuelle Ausgabe und überzeugen Sie sich selbst vom ExpertenReport. Spannende Titelstories, fundierte Analysen und hochwertige Gestaltung – unser Magazin gibt es auch digital im Kiosk.
"Das Gesamtpaket muss stimmen"
Bernd Einmold & Sascha Bassir
„Im Vertrieb werden wir unsere Aktivitäten ausbauen und die Kapazitäten dafür verstärken”
Dr. Florian Sallmann