Chaos Computer Club kritisiert EPA-Sicherheitsmängel |
 |  | Melanie Höhn |
 |
16.04.2025 16:18 Uhr |
Schon im Dezember 2024 warnte der Chaos Computer Club davor, dass sich Kriminelle vergleichsweise leicht Zugang zu Millionen Digitalakten verschaffen könnten. / © imago stock&people
Am 29. April startet der bundesweite Rollout der elektronischen Patientenakte (EPA). Der geschäftsführende Bundesgesundheitsminister Karl Lauterbach (SPD) versicherte in einem Schreiben an die Gesellschafter der Gematik, dass die vom Chaos Computer Club (CCC) belegten Sicherheitsbedenken vor dem EPA-Start gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgeräumt wurden.
Doch auf Nachfrage beim CCC bestehen die Sicherheitsmängel der EPA weiter fort. Die bisher angekündigten Updates seien grundsätzlich ungeeignet, die aufgedeckten Mängel in der Sicherheitsarchitektur auszugleichen. »Bei den versprochenen Updates handelt es sich lediglich um den Versuch der Schadensbegrenzung bei einem der vielen von uns demonstrierten Angriffe«, erklärte eine Sprecherin. Elektronische Patientenakten ließen sich weiterhin mit geringem Aufwand angreifen.
»Eine umfassende Behebung aller von uns demonstrierten Mängel kann nur mit kompromissloser Aufklärung und Transparenz erreicht werden, die bisher nicht stattgefunden hat«, so die Sprecherin weiter. »Ohne eine unabhängige und belastbare Bewertung der demonstrierten Sicherheitsrisiken, transparente Kommunikation von Risiken gegenüber Betroffenen sowie einen offenen Entwicklungsprozess über gesamten Lebenszyklus bleibt jede Sicherheitsaussage über die EPA eine hohle Phrase, welche sich zu oft schon als substanzlos herausgestellt hat, als dass hierauf nachhaltig Vertrauen erwachsen kann.«
Schon im Dezember 2024 warnte der Club davor, dass sich Kriminelle vergleichsweise leicht Zugang zu Millionen Digitalakten verschaffen könnten.
Jan-Niklas Francke, Mitglied im Vorstand des Deutschen Apothekerverbandes (DAV), kritisiert, dass sich Lauterbach mit der Entscheidung des EPA-Rollouts am 29. April »weder mit den Apothekerinnen und Apothekern, noch mit anderen Gematik-Gesellschaftern im Vorfeld abgestimmt« habe.
Francke erklärte, dass sich alle 17.000 Apotheken auf den bundesweiten Rollout am 29. April vorbereiten werden. Zudem machte er deutlich, dass die freiwillige Rollout-Phase bis in den Herbst zu begrüßen sei, da so die Akzeptanz unter den EPA-Nutzern und die Qualität gesichert werden könne. »In der Hochlaufphase muss vor allem die Interaktion der Praxen, Apotheken und Krankenhäuser untereinander verstärkt werden.« Auch die Gesamtstabilität der Telematikinfrastruktur müsse angesichts der wachsenden EPA-Zugriffe dauerhaft und jederzeit gewährleistet sein.
Es werde insbesondere darauf ankommen, wann die notwendigen Softwaresysteme in den Apotheken installiert und in Betrieb gesetzt werden. Daran arbeiten die verschiedenen Softwareanbieter der Apotheken derzeit mit Hochdruck.
»Aber auch nach dem 29. April können die Apotheken nur auf die elektronische Medikationsliste zugreifen, die derzeit nur per E-Rezept verordnete Medikamente auflistet, aber keine Selbstmedikation enthält«, so Francke. Erst in späteren Ausbaustufen der EPA im Laufe des kommenden Jahres würden Apotheken auf den elektronischen Medikationsplan (EMP) zugreifen und ihn auch aktiv befüllen können. Der EMP in der EPA könne ein echter »Game Changer« sein, der die Arbeit in Apotheken verändere und die Versorgung der Patienten verbessere. »Mit einem neuen Bundesgesundheitsministerium, das den Dialog mit den Apotheken hoffentlich sucht und findet, werden wir die Weiterentwicklung der EPA vorantreiben«, erklärte Francke.
