Gematik wurde schon im Sommer gewarnt |
 |  | Lukas Brockfeld |
 |
15.01.2025 17:30 Uhr |
Sicherheitsbedenken bremsen das Prestigeprojekt von Gesundheitsminister Lauterbach aus. / © IMAGO/
Ende Dezember sorgte eine Warnung des Chaos Computer Clubs (CCC) für Aufsehen. Den IT-Experten war es offenbar gelungen, mit vergleichsweise wenig Aufwand in die elektronische Patientenakte (EPA) einzubrechen. Dazu mussten sie sich lediglich gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten beschaffen. Eine Recherche der »Zeit« zeigt jetzt, dass die Sicherheitslücke offenbar schon seit Monaten bekannt war.
Der Wochenzeitung liegen Dokumente vor, die belegen, dass der Chaos Computer Club schon im August die Gematik kontaktierte. Damals legte der IT-Sicherheitsforscher Martin Tschirsich eine genaue Beschreibung der Sicherheitslücke und des möglichen Angriffs vor. Er warnte, dass eine erfolgreiche Attacke potentiell Zugriff auf etwa 70 Millionen Patientenakten verschaffe.
Tschirsich erklärt gegenüber der »Zeit«, dass die Gematik ihm zunächst keine inhaltliche Antwort auf seine Warnung gegeben hätte und sich erst seit Ende Dezember mit der Sicherheitslücke befasse. Obwohl am heutigen Mittwoch der testweise Roll-Out in den Modellregionen Hamburg, Franken und Nordrhein-Westfalen beginnt, ist das Problem noch immer nicht behoben.
Die Gematik teilte auf Nachfrage der »Zeit« mit, dass man mit Hochdruck an einer Lösung arbeite. Man könne aber noch nicht sagen, wann das Problem behoben ist. Im Dezember hatte die Digitalagentur noch erklärt, dass man das vom CCC skizzierte Angriffsszenario für unrealistisch halte. Obwohl in Deutschland mehrere hunderttausend Heilberufsausweise im Umlauf sind, konnte man sich offenbar nicht vorstellen, dass diese in falsche Hände gelangen.
Am Mittwoch bejubelte Gesundheitsminister Karl Lauterbach (SPD) den Start der EPA-Testphase auf einer Pressekonferenz als »Beginn eines neuen Zeitalters der Digitalisierung des deutschen Gesundheitssystems«. Gleichzeitig räumte er ein, dass es keine 100-prozentige Sicherheit für einzelne Akten gebe. Massenangriffe, wie in dem vom CCC beschriebenen Szenario, müssten jedoch absolut ausgeschlossen sein, bevor die EPA in ganz Deutschland eingeführt wird.
Die Pilotphase sollte ursprünglich nur vier Wochen dauern, der bundesweite Roll-Out der EPA wäre also im Februar erfolgt. Inzwischen geht das Bundesgesundheitsministerium davon aus, dass die EPA erst im März oder April in ganz Deutschland ankommt.
