CCC-Erwartungen an neue Ministerin sind »gedämpft« |
 |  | Cornelia Dölger |
 |
30.04.2025 13:30 Uhr |
Was aus seiner Sicht für eine sichere EPA nötig ist, hat der Chaos Computer Club schon mehrmals artikuliert. Ob diese Forderungen politisch Gehör finden, steht auf einem anderen Blatt. / © Adobe Stock/Kenstocker
Die elektronische Patientenakte (EPA) wird seit Dienstag hochgefahren, also flächendeckend ausgerollt, bleibt aber vorerst für die Leistungserbringenden freiwillig. Ab Oktober ist die Nutzung dann verpflichtend. Das digitale Großprojekt noch auf den Weg zu schicken, hatte dem scheidenden Bundesgesundheitsminister Karl Lauterbach (SPD) am Herzen gelegen. Als quasi letzte Amtshandlung läutete er zu Wochenbeginn die sogenannte »Hochlaufphase« ein.
Für den Chaos Computer Club (CCC) kommt der Start zu früh, auch wenn er soft ausfällt. Die Hacker sehen die Sicherheitsmängel der EPA, die der CCC Ende vergangenen Jahres anhand von simulierten Angriffen aufgedeckt hatte, längst nicht beseitigt – womit Lauterbach widersprochen wäre, der unlängst das Gegenteil betont hatte. Mitte April wies er darauf hin, dass in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) umfassende Sicherheitsmaßnahmen umgesetzt worden seien. Anlass für die Updates waren demnach die besagten Sicherheitslücken.
Die Updates seien allerdings »grundsätzlich ungeeignet, die aufgedeckten Mängel in der Sicherheitsarchitektur auszugleichen«, ließ Bianca Kastl vom CCC die PZ wissen. Kastl und ihr Kollege Martin Tschirsich gehörten zu den Hackern im CCC-Umfeld, die beim letzten Chaos Communication Congress in Hamburg die Sicherheitsrisiken aufgedeckt hatten. Seitdem habe es nur den »Versuch der Schadensbegrenzung bei einem der vielen von uns demonstrierten Angriffe« gegeben, so Kastl.
Angriffe auf die EPA seien »weiterhin mit geringem Aufwand möglich«, kritisierte die Web-Entwicklerin. Der Start sei »übereilt«. Für einen sicheren Start wären Kastl zufolge eine unabhängige und belastbare Bewertung der demonstrierten Sicherheitsrisiken, eine transparente Kommunikation von Risiken gegenüber Betroffenen sowie ein offener Entwicklungsprozess über den gesamten Lebenszyklus nötig gewesen. Davon sei aktuell nichts gegeben.
Lauterbach hatte zuletzt bei der Messe für Digitalisierung im Gesundheitswesen DMEA betont, dass nunmehr »Massenangriffe« auf die EPA nicht mehr möglich seien. Kastl weist gegenüber der PZ allerdings weiter auf die Risiken für einzelne Patientenakten hin. Diese wiederum hatte Lauterbach zuvor selbst eingeräumt. Zu Beginn der EPA-Testphase im Januar hatte er zwar betont, dass mögliche Massenzugriffe, vor denen der CCC gewarnt hatte, zu 100 Prozent ausgeschlossen werden müssten. Für die einzelne EPA könne es hingegen »nie eine 100-prozentige Sicherheit« geben. »Es kann nicht ausgeschlossen werden, dass eine einzelne Akte angegriffen wird.« Jeden Tag gebe es Sicherheitsprobleme in Praxen.
Die Einigkeit über die Sicherheitsansprüche bei Digitalangeboten erscheint also ausbaufähig. Ob sich das mit der designierten Bundesgesundheitsministerin Nina Warken ändert, bleibt abzuwarten. Große Hoffnungen, dass ihre Forderungen »nach einem sicheren Entstehungsprozess digitaler Lösungen« erfüllt werden, hat Kastl indes nicht. Schon gegenüber Lauterbach und seinem CDU-Vorgänger Jens Spahn seien solche Forderungen kommuniziert, aber nicht erfüllt worden. »Von daher ist meine persönliche Erwartung eher gedämpft«, so Kastl.
