Der Chaos Computer Club (CCC) hat scharfe Kritik an der Einführung der elektronischen Patientenakte (ePA) durch Bundesgesundheitsminister Karl Lauterbach (SPD) geäußert. Der Club bemängelt den Umgang mit Sicherheitslücken, die den unautorisierten Zugriff auf Gesundheitsdaten von über 70 Millionen Bundesbürgern ermöglichen könnten. Das Gesundheitsministerium weist die Vorwürfe jedoch zurück und verspricht, die Sicherheitsprobleme vor dem Starttermin am 15. Januar zu beheben.
Warnungen des CCC
Martin Tschirsich vom CCC äußerte im Gespräch mit dem „Stern“, dass der Club monatelang nicht ernst genommen wurde, obwohl man frühzeitig auf Sicherheitslücken hingewiesen habe. Laut Tschirsich ermöglichten die Schwachstellen Kriminellen den Zugang zu sensiblen Gesundheitsdaten. Die Gematik, zuständig für die Telematik-Infrastruktur, sei bereits im August 2024 über Manipulationsmöglichkeiten informiert worden, so Tschirsich weiter. Eine praktische Demonstration der Sicherheitslücken habe im Dezember 2024 stattgefunden.
Reaktion des Gesundheitsministeriums
Nachdem die Lücken offengelegt wurden, habe Gesundheitsminister Lauterbach den CCC kontaktiert, um ein persönliches Gespräch zu führen. Bei einer Videokonferenz am 20. Dezember seien die Bedenken des CCC jedoch nicht ausreichend diskutiert worden, so Tschirsich. Lauterbach habe klargestellt, dass die elektronische Patientenakte wie geplant eingeführt werde, und dass Maßnahmen entwickelt würden, um Angriffe zu erschweren.
Stellungnahmen von Gesundheitsministerium und Gematik
Ein Sprecher des Gesundheitsministeriums erklärte gegenüber dem „Stern“, dass das im Dezember vom CCC präsentierte Angriffsszenario „in dieser Kombination neu“ sei. Sowohl das Ministerium als auch die Gematik hätten sofort reagiert, um die Sicherheitslücke zu beheben, bevor die ePA für alle online gehe. In der Pilotphase sei das Problem nicht relevant, da nur Testphase-registrierte Ärzte Zugriff auf die Akten hätten. Auch die Gematik bestätigte, dass das Angriffsszenario unbekannt gewesen sei und eine neue Risikobetrachtung erforderlich machte. Das Unternehmen erklärte, die Punkte des CCC durch ein Maßnahmenpaket bearbeitet zu haben, sodass der nationale Rollout nun umgesetzt werden könne.
