Alle Fragen zur EPA im Überblick

Der Chaos Computer Club (CCC) warnt seit Ende 2024 vor Sicherheitslücken in der EPA. Obwohl die Regierung, wie etwa der bis dato geschäftsführende Bundesgesundheitsminister Karl Lauterbach (SPD) auf der Digitalmesse DMEA und die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider betonen, dass die Sicherheitslücken geschlossen seien, kritisierte der CCC bis kurz vor dem Roll-out weiterhin eine unsichere Sicherheitsarchitektur der EPA.

Auch die Gematik versichert, dass Maßnahmen ergriffen worden seien, um Angriffsszenarien zu verhindern. Darunter listet die Gematik folgende Punkte auf: 

1. Der Nachweis für den Behandlungskontext, sei weiter abgesichert worden . Zusätzlich zur Kartennummer seien die Krankenversicherungsnummer sowie weitere Kartenmerkmale nötig, was in der Regel nur mit Vorliegen der EGK in der Einrichtung möglich sei. Die Kenntnis der Kartennummer allein reiche nicht mehr aus.
2. Maßnahmen zur Erkennung und Verhinderung ungewöhnlicher Aktivitäten seien weiter erhöht worden. Abhängig von der Größe der Einrichtungen sollen beispielsweise bestimmte Zugriff-Limits auf EPA gelten. Bei Auffälligkeiten sollen Institutionsausweise (SMC-B-Ausweise) vom Zugang ausgeschlossen werden können.
3. Es soll eine verstärkte Sensibilisierung für Herausgabe und Umgang mit Ausweisen und Hardware der Telematik-Infrastruktur (TI) erfolgt sein, um Missbrauch zu verhindern. Zusätzliche Maßnahmen seien ergriffen worden, die gegen eine weitere Verwendung gestohlener oder verkaufter Praxisausweise wirken sollen.

Der Verein Deutsche Aidshilfe warnt dennoch vor Sicherheitslücken und ruft zu einer diskriminierungsfreien Gesundheitsversorgung auf. »Den heutigen EPA-Start beobachten wir mit großer Sorge«, sagt Sylvia Urban vom Vorstand der Deutschen Aidshilfe in einer Pressemitteilung. »Die EPA kann viel zu einer besseren Gesundheitsversorgung beitragen – aber sie ist noch nicht einsatzbereit.« 

Laut Urban seien technische Sicherheitslücken nicht glaubhaft geschlossen und ein einfacher, selbstbestimmter Umgang mit sensiblen Diagnosen nicht gewährleistet. »Patient*innen können sich ab heute nicht mehr sicher sein, ob medizinische Einrichtungen, die sie aufsuchen, bereits Zugriff auf die EPA haben. Über die automatisch eingespeisten Medikationslisten und Abrechnungsdaten können sensible Diagnosen wie HIV sichtbar werden.«