Nun ist es amtlich. Das Bundesgesundheitsministerium hat am 29. April mit dem bundesweiten Rollout der Elektronischen Gesundheitskarte begonnen. Für Minister Karl Lauterbach ist die Akte eine „Kerntechnologie, um die deutsche Gesundheitsversorgung besser zu machen.“ IT-Experten des Hamburger Chaos Computer Clubs (CCC) sehen das Projekt deutlich kritischer und bemängeln ernste Sicherheitslücken.
Lauterbach schwärmt vom Traum-Duo aus eAkte und Künstlicher Intelligenz, um das Gesundheitssystem besser, einfacher und unbürokratischer zu machen. Für Patientinnen und Patienten bringt der Rollout für Lauterbach transparentere und effizientere Behandlungen. Ärztinnen und Ärzte können laut BMG auf Befunde, Medikationspläne oder Arztbriefe digital zugreifen. Sie können die ePA ab 29. April freiwillig nutzen, sobald sie das ePA-Modul für das Praxisverwaltungssystem installiert haben. Ab 1. Oktober wird die Nutzung für alle verpflichtend. „Ich gehe davon aus, dass wir in den kommenden Wochen in eine Hochlaufphase der ePA eintreten werden.“ Der Startschuss zur ePA ist Inhalt eines Briefes, den Lauterbach an die Gesellschafter der Digitalagentur gematik geschickt hat.
Die Crux mit den Sicherheitslücken
Wie der Spiegel und das ARD-Hauptstadtstudio übereinstimmend berichtet haben, ist es Hackern des Chaos Computer Clubs nach dem Start des offiziellen Roll-out gelungen, auch die verbesserten Sicherheitsvorkehrungen der ePA auszuhebeln. Wie der Spiegel berichtet, gelang es ethischen Hackern des Clubs, auch eine neu hinzugefügte zentrale Schutzvorkehrung zu überwinden. Demnach ist es sogar möglich, auf eine konkrete Patientenakte zuzugreifen. Damit würde die ePA nicht die vorgegebenen Sicherheitsanforderungen erfüllen.
Für die technische Umsetzung der E-Patientenakte ist die bundeseigene Digitalagentur Gematik zuständig. Die Agentur behauptete unmittelbar nach Bekanntwerden des erneuten Hacker-Erfolgs, auch diese Sicherheitslücke umgehend geschlossen zu haben. Auf X reagierte Bundesgesundheitsminister Karl Lauterbach schnell und schrieb: „In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen. Ich bin der Gematik dankbar, dass sie auf die ersten Hinweise direkt reagiert und die Sicherheitslücke geschlossen hat. Die elektronische Patientenakte muss sehr gut geschützt bleiben. Massenangriffe auf Patientendaten müssen ausgeschlossen bleiben.“
Laut Spiegel konnten die Sicherheitsforscher Martin Tschirsich und Bianca Kastl über eine Schnittstelle für sogenannte Ersatzbescheinigungen verloren gegangener Versichterten-Karten sensible Daten abfragen. Die Gematik griff den CCC-Angriff auf die ePA zügig auf. „Die gematik hat die Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestehen könnte, geschlossen. Die potenziell betroffenen Versicherten werden identifiziert und geschützt.“
Gematik-Geschäftsführer Dr. Florian Fuhrmann beteuerte: „Der bundesweite Rollout der ePA wird von unseren Sicherheitsteams gemeinsam mit dem BSI eng begleitet. Hinweise externer Sicherheitsforscher gehen wir in standardisierten Prozessen umgehend nach und leiten bei entsprechender Bewertung passende Maßnahmen ein. Aufgrund der Hinweise haben wir präventiv als erste Sofortmaßnahme das Verfahren vorerst ausgesetzt, das bereits einige Kassen für Ersatzbescheinigungen alternativ zur Versichertenkarte (eGK) nutzen. Wir prüfen und monitoren laufend und mit höchster Priorität. Wir haben bislang keine Hinweise darauf, dass es einen unbefugten Zugriff auf elektronische Patientenakten gegeben hat.“
Laut CCC ist es möglich gewesen, über die erwähnten elektronische Ersatzbescheinigungen von Versichertenkarten den Behandlungskontext einer versicherten Person zu fälschen. In Kombination mit der Versichertennummer, einem Codierungsschlüssel sowohl einem illegal beschafften Praxisausweis (SMC-B) und einem Anschluss an die Telematikinfrastruktur (TI) wäre damit theoretisch der Zugriff auf Patientenakten vereinzelt möglich. „Die gematik geht nicht davon aus, dass Versichertendaten tatsächlich abgeflossen sind.“ Die Hoffnung stirbt bekanntlich zuletzt.
KBV lobt den langsamen Start der Einführung
Für die Kassenärztliche Bundesvereinigung (KBV) zählt vor allem Lauterbachs Verzicht auf die schnelle ePA-Pflicht. „Die stufenweise und zunächst freiwillige Einführung ist der richtige Weg, um den Praxen, die ePA-ready sind, den Einstieg zu ermöglichen“, betonte KBV-Vorstandsmitglied Dr. Sibylle Steiner. Praxen, die noch kein ePA-Modul hätten oder bei denen die Technik noch nicht funktioniere, bekämen mehr Zeit, um sich vorzubereiten. Deshalb sei es folgerichtig, dass die elektronische Patientenakte erst ab 1. Oktober verpflichtend zu nutzen sei und zumindest in diesem Jahr keine Sanktionen drohten. „Die Hochlaufphase soll von den Leistungserbringenden genutzt werden, um sich ausgiebig mit der ePA vertraut zu machen und sie in die Versorgungsabläufe zu integrieren“, betont der geschäftsführende Bundesgesundheitsminister in einem Schreiben an die Gesellschafter der gematik.
Rollout der PVS-Module läuft seit Ende April
Die Hersteller der Praxisverwaltungssysteme (PVS) sollen ihre ePA-Module ab 29. April nach und nach ausrollen. Einige Praxen werden die ePA sofort nutzen können. In anderen Fällen muss das Modul noch installiert, freigeschaltet oder erst bereitgestellt werden. Praxen, die dazu Fragen haben, sollten sich laut KBV an ihren PVS-Hersteller oder IT-Dienstleister wenden.
Am 15. Januar war der Testversuch in 300 Praxen, Apotheken und Kliniken in den drei Modellregionen Hamburg und Umland, Franken und Teilen Nordrhein-Westfalens gestartet. Seitdem haben die Krankenkassen für 70 Millionen der gut 74 Millionen gesetzlich Versicherten in Deutschland eine ePA angelegt. Arztbriefe, Befunde, Laborwerte und verordnete Medikamente werden dort zentral gespeichert. Dermatologische Praxen, Kliniken und Apotheken sehen diese Daten, sobald die Krankenkassenkarte im Lesegerät steckt. Über eine Smartphone-App lassen sich Zugriffsrechte individuell einrichten. Patienten können auch Daten selbst hochladen – zum Beispiel Blutdruck-Tagebücher oder Anamnese-Daten. Der gläserne Patient steht vor dem Arzt-Tresen.
Franz-Günter Runkel
Weitere Informationen
Lesen Sie auch: Welchen Nutzen hat die ePa für die Forschung? https://dermaaktuell.de/2025/01/20/welchen-nutzen-hat-die-epa-fuer-die-forschung-2/
Statement KBV, 16. April 2025: https://www.kbv.de/html/2025_74521.php
Bilderquelle: © DMEA
