CCC: Gematik nimmt EPA-Sicherheitslücken hin |
 |  | Cornelia Dölger |
 |
09.04.2025 12:38 Uhr |
Die EPA ist ein Mammutprojekt, das laut Minister Lauterbach im Großen und Ganzen im Zeitplan liegt. Beim Thema Sicherheitsbedenken widersprach der CCC der Einschätzung des Ministers. / © IMAGO/Christian Ohde
Die elektronische Patientenakte (EPA) bezeichnete der amtierende Bundesgesundheitsminister gestern als »das größte Digitalprojekt, das in Deutschland jemals durchgeführt wurde«. Angesichts der Dimension mehr oder weniger im Zeitrahmen – »plus/minus ein paar Wochen« – zu bleiben, müsse auch »stilbildend« für andere Bereiche sein, lobte der Minister in seiner Keynote zum Start der Messe für Digitalisierung im Gesundheitswesen (DMEA) in Berlin. In dem Zuge kündigte er an, dass die EPA in den kommenden Wochen in die »Hochlaufphase« und später in die Testphase gehen solle. Die Anwendung für Ärzte soll zunächst freiwillig sein, eine Verpflichtung soll erst später kommen.
Er vergaß auch nicht das Thema Datensicherheit, fertigte es aber eher am Rande mit einem Dank an den Chaos Computer Club (CCC) ab und erwähnte nur, dass man die »Massenprobleme«, die der CCC aufgedeckt habe, »gelöst« habe. Hacker des CCC hatten Ende vergangenen Jahres beim Chaos Communication Congress in Hamburg Szenarien vorgestellt, bei denen sich Kriminelle vergleichsweise leicht Zugang zu den sensiblen EPA-Daten verschaffen könnten. Eine Analyse von simulierten Angriffen habe »Bedenkliches« ergeben, so die Warnung, die die ohnehin bestehenden Unsicherheiten rund um den Start der Testphase im Januar noch verschärfte. Ein Datenschutzvorfall beim Vertrauensdienstleister D-Trust tat sein Übriges.
Anders als Lauterbach sieht der CCC die Sicherheitsprobleme bei der EPA allerdings noch nicht als gelöst an. So gab der IT-Sicherheitsexperte Martin Tschirsich vom CCC bei einer Onlineveranstaltung zur EPA zu bedenken, dass nach seiner Kenntnis keiner der vom CCC aufgedeckten Sicherheitsmängel inzwischen behoben oder auch nur »reflektiert« wurde. Über Tschirsichs Zweifel berichtete heute der Ärzteverbund MEDI GENO Deutschland. Demnach befürchtet Tschirsich, dass die Gematik die Risiken einfach hinnehme, statt sie auszuräumen.
»Wenn Herr Lauterbach bei der Digitalmesse behauptet, die vom CCC identifizierten Sicherheitsprobleme seien behoben, ist das mindestens Schönmalerei – wenn nicht gar eine Irreführung«, kritisiert der Vereinsvorsitzende Norbert Smetak. Offene Fragen bestünden weiterhin bei der Datensicherheit sowie bei der Haftung bei Verletzung der ärztlichen Schweigepflicht durch die EPA.
Dass der Rollout sukzessive kommen solle, kritisierten die Ärzte darüber hinaus. »Herr Lauterbach spricht von einem phasenweisen Hochfahren der EPA. Wir Niedergelassenen brauchen eine konkrete Planung, damit wir uns auf die Einführung der EPA in unserem Praxen vorbereiten können«, so Smetak.
