Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Elektronische Patientenakte: Scheitern mit jahrelanger Ansage

39C3
Die elektronische Patientenakte ist immer noch nicht so sicher, wie sie sein sollte. Kein gutes Omen für die elektronische Brieftasche .
/ Ein Bericht von Friedhelm Greis
8 Kommentare News folgen (öffnet im neuen Fenster)
Bianca Kastl hält die elektronische Patientenakte immer noch nicht für sicher. (Bild: Friedhelm Greis/Golem)
Bianca Kastl hält die elektronische Patientenakte immer noch nicht für sicher. Bild: Friedhelm Greis/Golem

Wie sicher ist die elektronische Patientenakte (ePA) ein Jahr nach den Enthüllungen schwerer Lücken durch den Chaos Computer Club (CCC)? Auf dem diesjährigen Chaos Communication Congress (39C3) zog Bianca Kastl, die die Probleme zusammen mit Martin Tschirsich aufgedeckt hatte , eine eher ernüchternde Bilanz. Zudem befürchtet sie, dass falsche Architekturentscheidungen künftig zu vergleichbaren Problemen bei der digitalen Brieftasche, der EuID-Wallet, führen.

Das zentrale Sicherheitsproblem der ePA besteht weiterhin darin, dass die auf dem Chip der Gesundheitskarte hinterlegte Kartennummer ICCSN ohne kryptografische Überprüfung übertragen wird, obwohl ein entsprechender Schlüssel dazu auf dem Chip hinterlegt ist. Nach dem Aufdecken der Problematik durch den CCC führte die zuständige Gematik in Absprache mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) neue Sicherheitsvorkehrungen ein. Diese ließen sich ebenfalls wieder aushebeln .

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Nur mit Gaffer-Tape geflickt

Kastl, die Digitalisierungsprojekte im Gesundheitsdienst leitet und sich als ethische Hackerin versteht, listete in ihrem Vortrag(öffnet im neuen Fenster) fünf Mitigationsmaßnahmen auf, die die zertifikatsbasierte Kartenprüfung jedoch nicht ersetzen könne. "Man hat es aber mit genügend Gaffer-Tape und genügend Fixes so hingebogen, dass es jetzt zumindest nicht sofort auseinanderfällt, aber sicher ist es immer noch nicht" , sagte Kastl.

Zu den Sicherheitsvorkehrungen gehören beispielsweise Zugriffslimits, die je nach Einrichtung pro Tag nur eine bestimmte Anzahl von ePA-Zugriffen erlauben. Ebenfalls wurde eine hashwertbasierte Prüfung eingeführt, die Daten wie die ICCSN, die Versichertenkartennummer, das Datum des Versicherungsbeginns und den Straßennamen der Wohnanschrift verwendet. Da sich diese Daten über die sogenannte elektronische Ersatzbescheinigung besorgen ließen, musste die Gematik den Zugriff auf Adressdaten über die Ersatzbescheinigung stoppen.

Probleme seit Jahren bekannt

Das alles wäre laut Kastl vermeidbar gewesen, da der Gematik die Problematik schon seit Jahren bekannt gewesen sei. Schon im September 2022 hatte der CCC die Sicherheit des elektronischen Rezeptes bemängelt . Die Gematik hatte in der Funktionsbeschreibung des E-Rezeptes eingeräumt, dass die Kartenprüfung aufgrund des Designs des Versichertenstammdaten-Managements(öffnet im neuen Fenster) (VSDM) nicht signiert sei. "Der E-Rezept-Fachdienst kann daher weder die Integrität noch die Authentizität eines Prüfungsnachweises überprüfen" , hieß es.

Dieses Defizit betrifft laut Kastl somit auch den ePA-Fachdienst oder das ePA-Aktensystem. Dieser Mangel soll nun im kommenden Jahr mit der Einführung der Proof of Patient Presence (PoPP)(öffnet im neuen Fenster) behoben werden.

Doch die Gematik hat inzwischen mit einem weiteren Problem zu kämpfen.

Videoidentverfahren wieder zugelassen

Denn die ePA wird nur von rund 4,3 Millionen Kassenpatienten genutzt, obwohl rund 70 Millionen Patientenakten angelegt wurden. Um den Zugang zu erleichtern, wurde am 1. Dezember 2025 die die Eignung von Videoident-Verfahren für die Einrichtung der GesundheitsID bestätigt(öffnet im neuen Fenster) . Für die GesundheitsID ist eine PIN erforderlich, die die Krankenkassen nur nach einer Adressprüfung verschicken dürfen. Dazu sind beispielsweise ein Postidentverfahren oder ein ePerso erforderlich.

Sie sei "aus allen Wolken gefallen" , als die Gematik das Verfahren im August 2025 angekündigt habe, sagte Kastl. Denn der CCC hatte im August 2022 das Videoident-Verfahren der Krankenkassen gehackt . Daraufhin hatte die Gematik den Krankenkassen die Nutzung des Verfahrens untersagt . Doch die Gematik könne "im Gesundheitssektor tatsächlich eigene Identifikationsverfahren erfinden – oder andersherum: den Markt anbieten lassen – und dann zulassen, wenn ein Sicherheitsgutachten bestätigt, dass ein Identifizierungsmittel entsprechend den Angriffsmöglichkeiten standhält" , erläuterte Kastl.

Fehler bei der EuID nicht wiederholen

Die Entwicklungen bei der ePA geben ihrer Ansicht nach Anlass zu der Sorge, dass bei anderen Digitalprojekten ebenfalls falsche Architekturentscheidungen getroffen werden. Das betreffe beispielsweise die EuID-Wallet, die Bundesdigitalminister Karsten Wildberger (CDU) Anfang 2027 für alle deutschen Bürger freischalten möchte . "Wir sind jetzt wieder in der Situation, dass die Politik da mit Risiken eingeht, die am Ende wiederum die Individuen tragen müssen" , sagte Kastl.

Um die Gefahren einschätzen zu können, seien eine unabhängige, belastbare Bewertung von Sicherheitsrisiken, eine transparente Kommunikation von Risiken gegenüber Betroffenen und ein offener Entwicklungsprozess erforderlich. Doch das sei bislang nicht der Fall. Was als Mock-up beispielsweise auf dem Souveränitätsgipfel gezeigt worden sei, "ist entweder ein Blender oder es ist nicht offener Code. Und damit ist die Genese der deutschen staatlichen EuID-Wallet leider auf einem sehr, sehr unguten Weg, wie die ePA selbst" , kritisierte Kastl.

Zur Startseite 8 Kommentare

Relevante Themen

39C3Karsten WildbergerGematikElektronische PatientenaktePolitikDatenschutzSecurityDatensicherheit