Zugriff auf 70 Millionen DatenSo ungeschützt ist die digitale Patientenakte
Caroline Amme
Die digitale Patientenakte für alle ist testweise gestartet. Sie soll den Arztbesuch unkomplizierter machen. Doch die sensiblen Gesundheitsdaten sind alles andere als sicher. Hacker oder Geheimdienste können leicht an sämtliche Patientendaten in Deutschland kommen, zeigen IT-Experten.
Arztbriefe, Röntgenbilder, Blutbilder oder Kostenvoranschläge für Behandlungen - im Laufe eines Lebens häuft man Ordner voller Krankenunterlagen an. Damit man das nicht alles mitschleppen muss und jeder neue Arzt über die Krankengeschichte Bescheid weiß, ist Mitte Januar nach jahrelanger Verzögerung die digitale Patientenakte für alle gestartet, die ePA. Der digitale Gesundheitsordner für gesetzlich Krankenversicherte.
Arztpraxen und Krankenhäuser können damit leichter Dokumente austauschen und einsehen sowie nachlesen, welche Medikamente man nimmt. Zudem werden doppelte Untersuchungen vermieden und es können einfacher ärztliche Zweitmeinungen eingeholt werden.
Die elektronische Patientenakte wird erst einmal getestet, in Hamburg, Franken und in Teilen von Nordrhein-Westfalen. Wenn in diesen Modellregionen alles klappt, kommt die ePA dann automatisch für alle Patienten in Deutschland - frühestens im März. Wer sie nicht will, muss selbst aktiv werden und bei der Krankenkasse widersprechen.
"Bessere Behandlung und Forschung für alle"
"Die elektronische Patientenakte ist sicher und macht eine bessere Behandlung und Forschung für alle möglich", hat Bundesgesundheitsminister Karl Lauterbach zum Start versprochen. Bei der Digitalisierung sei Deutschland in vielen Bereichen abgeschlagen - mit der ePA mache man einen Sprung nach vorn.
Die Akte mache einen "mündigeren Patienten", so Lauterbach - und das stimmt sicherlich, weil man auf all seine Krankendaten selbst zugreifen kann. Das können aber auch andere Menschen - wenn sie das richtige "Werkzeug" dafür haben. Wie einfach das geht, haben die IT-Sicherheitsspezialisten Bianca Kastl und Martin Tschirsich auf dem Kongress des Chaos Computer Club (CCC) Ende Dezember in Hamburg gezeigt.
Im Wesentlichen haben sie zusätzlich zu einer ePA-Testumgebung nur drei Dinge gebraucht, um an die Patientendaten zu kommen: eine Gesundheitskarte, ein Kartenlesengerät und eine Praxiskarte, berichtet Bianca Kastl im ntv-Podcast "Wieder was gelernt".
"Zugriff auf alle 70 Millionen elektronischen Patientenakten"
Kartenlesegeräte inklusive der Praxiskarten und der PINs konnte das Team gebraucht per Kleinanzeigen kaufen. Die Geräte werden mit einer Art Router verbunden. Damit sind die IT-Experten in die Telematikinfrastruktur hineingekommen - das Datennetz des Gesundheitswesens.
In der Telematikinfrastruktur entdeckten sie dann den technischen Mangel. "Der führt dazu, dass wir auch auf alle elektronischen Patientenakten zugreifen können. Die Besonderheit dabei ist: Dafür muss die Person nicht physisch in der Praxis sein und ihre Gesundheitskarte stecken. Wir können simulieren, dass eine beliebige Person in unserer gefakten Praxis ist. Von dort aus hätten wir Zugriff auf alle 70 Millionen elektronischen Patientenakten haben können", sagt Kastl.
90 Tage Einblick für Ärzte
Selbst verwalten kann man seine Patientenakte über eine spezielle App der gesetzlichen Krankenkasse, in der man versichert ist. Auch per PC oder Laptop ist es möglich, zuzugreifen, dafür benötigt man zusätzlich ein Kartenlesegerät mit Tastatur. Wer keine solchen Geräte zur Verfügung hat, kann die ePA laut Verbraucherzentrale nur passiv nutzen und keine Daten einsehen, hochladen oder verwalten.
Damit Ärzte die ePA anschauen können, steckt man in der Zahnarzt- oder Allgemeinarzt-Praxis seine Gesundheitskarte in das Praxiskartenlesegerät - damit hat die Praxis automatisch für 90 Tage Zugriff auf die ePA. Apotheken können nur drei Tage lang hineinschauen.
Eigentlich sollte jede Praxis nur Daten der Patienten sehen, die dort auch behandelt werden. Das Team um Bianca Kastl hat aber bewiesen, dass es theoretisch auf über 70 Millionen Patientendaten zugreifen kann, von allen, die die ePA nicht abgelehnt haben. Nicht nur mit Lese-, sondern auch mit Schreibzugriff.
Problem Gesundheitskarte
Die Schwachstelle ist die Gesundheitskarte. Auf ihr sind zwei Identifikationsnummern gespeichert. Nur eine davon ist sicher, erklärt Kastl - für die ePA werde allerdings die unsichere genutzt: "Ich kann zum Beispiel mit einer Zufallszahl nachweisen, dass ich auch tatsächlich diese Karte bin. Das läuft über kryptografische Operationen. Was wir selbst nicht verstehen, ist, warum man dann für die Zugriffskontrolle der elektronischen Patientenakte das einfachere Verfahren benutzt hat. Was nur sagt: Hier ist meine Nummer."
Schon vor einigen Jahren haben IT-Sicherheitsexperten, unter anderem Tschirsich vom Chaos Computer Club, noch ein Problem mit den Gesundheitskarten festgestellt: Man muss sie nicht mal fälschen, um an eine fremde digitale Patientenakten heranzukommen. Sondern man kann sie ganz legal bei der Krankenkasse bestellen.
Dafür braucht man nur drei Daten über die Person: Name, Geburtsdatum und die Krankenversicherungsnummer, erklärt Kastl im Podcast. Die Versicherungsnummer liege beispielsweise bei den Arbeitgebern vor. "Wenn ich diese Informationen habe, rufe ich bei einer Krankenkasse an und sage, ich hätte gerne eine neue Karte - und das funktioniert seit ein paar Jahren immer wieder."
Hacker greifen Millionen Krankendaten ab
In der digitalen Patientenakte sind sensible und sehr persönliche Daten gespeichert. Von manchen möchte man vielleicht nicht, dass andere Menschen sie ansehen. Der Ex-Partner zum Beispiel, Kriminelle oder Geheimdienste. Doch genau das wird nicht verhindert, kritisieren die Datenschützer.
Abwegig ist das nicht: In den USA sind Hacker Anfang 2024 durch eine Sicherheitslücke an Krankendaten von 100 Millionen Menschen gekommen. In Großbritannien haben russische Hacker Mitte 2024 Millionen Gesundheitsdaten gestohlen. Auch in Deutschland gibt es immer mehr Cyberangriffe auf Krankenhäuser oder andere kritische Infrastrukturen. Die Hacker fordern Lösegeld, das die Kliniken oft bereitwillig bezahlen.
Dazu kommt: Wer es darauf anlegt, kann die Patientendaten nicht nur abgreifen, sondern auch verändern - etwa den Medikamentenplan komplett umschreiben.
Daten von Geheimnisträgern gefährdet
Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat das Sicherheitskonzept der ePA geprüft und in ihrem Gutachten für angemessen, allerdings auch für verbesserungswürdig befunden. Auf Angriffe von Geheimdiensten haben die Forscher die Patientenakte allerdings auf Wunsch der zuständigen Agentur Gematik nicht getestet.
Kastl sieht verschiedene mögliche Angriffsszenarien. Eine Möglichkeit seien indirekte Angriffe. "Man sucht sich zum Beispiel von Geheimnisträgern, PolitikerInnen oder Menschen, die auf kritische Infrastrukturen aufpassen, Gesundheitsdaten und versucht dann im Nahfeld Informationen zu bekommen. Dadurch kann ich auch auf andere Informationen außerhalb des Gesundheitswesens zugreifen."
Eine weitere Möglichkeit sei es, einzelne Personen mit stigmatisierenden Diagnosen zu erpressen, wie HIV-Diagnosen, Schwangerschaftsabbrüchen oder psychischen Erkrankungen.
Gematik reagierte spät auf Hinweise
Trotz dieser Sicherheitslücken ist die ePA nun gestartet. Etwas holprig, erzählt Kastl im "Wieder was gelernt"-Podcast. Ihre Hinweise auf dem CCC-Kongress hätten bewirkt, dass kurz vor dem Start noch einige Dinge umgebaut wurden. Und dass in den Modellregionen nicht so viele Praxen mitmachen, wie eigentlich geplant.
Gemeldet hätten sie und Tschirsich aber die Lücken schon viel früher an die Gematik - vergangenen August. Passiert sei aber erst mal nichts, so Kastl. "Erst als wir nachweisen konnten, wir kommen auch an Praxisausweise und können diesen Angriff auch durchführen, hat man wirklich sehr, sehr schnell reagiert. Danach war es um den Jahreswechsel sehr hektisch. Das hätte man sich auch sparen können."
In einem offenen Brief an Gesundheitsminister Karl Lauterbach fordern unter anderem die Verbraucherzentrale, die Aidshilfe und der Paritätische Wohlfahrtsverband, die Sicherheitsprobleme zu lösen. Das hatte die Gematik Ende Dezember auch versprochen. Nach der vierwöchigen Pilotphase soll das Ganze ausgewertet werden - bevor die ePA für alle dann wahrscheinlich im Frühjahr in ganz Deutschland startet.