Meinung
Einladung für Betrüger: Verbände fordern mehr Sicherheit für elektronische Patientenakte
In einem offenen Brief verlangen 28 Verbände von Gesundheitsminister Karl Lauterbach, die Einführung der elektronischen Patientenakte in letzter Minute zu stoppen. Zunächst müssten riesige Sicherheitslücken geschlossen werden. Die seien derzeit größer als beim Online-Banking.
Von Susan Bonath
Unbeeindruckt von allen Warnungen hat Bundesgesundheitsminister Karl Lauterbach (SPD) die elektronische Patientenakte (ePA) vorangetrieben. Am 15. Januar ist sie in die Pilotphase gestartet, schon im Februar soll sie für alle gesetzlich Versicherten gelten, die nicht widersprochen haben. Nun laufen Verbände aus den Bereichen Medizin, Verbraucherschutz und Informatik Sturm. In einem Offenen Brief fordern sie vom Minister, das Projekt zu stoppen, um zuerst gravierende Sicherheitslücken zu beseitigen.
Lauterbach auf Werbetour
Lauterbach, der schon als "Corona-Minister" mit einigen Falschbehauptungen etwa die fragwürdige Impfkampagne (Präparate seien "nebenwirkungsfrei") vor allem zum Vorteil der beteiligten Pharmakonzerne vorangetrieben hatte, verbrachte den Beginn dieses Jahres vor allem damit, für die ePA zu werben. Alle vorgetragenen Bedenken zu belegten Risiken schlug er erwartbar in den Wind.
Die ehemalige Ethikratchefin und heutige Kuratorin der Bertelsmann-Stiftung, Alena Buyx, sprang ihm dabei wie schon in der Corona-Zeit zur Seite, wie RT DE berichtete. Sie räumte zwar ein, die Akte sei nicht völlig sicher. Sie sei es aber wert, das Risiko einzugehen, beschwichtigte sie und rührte wie seinerzeit für die Corona-Impfungen die Werbetrommel.
Verbände fordern unabhängige Kontrollen
Mediziner, IT-Spezialisten und Verbraucherschützer sehen das nach wie vor ganz anders. Mit einem offenen Brief richteten sich nun 28 Verbände und 17 Einzelpersonen aus verschiedenen Fachbereichen an den Noch-Gesundheitsminister. Vor einem bundesweiten Start der ePA müssten "alle berechtigten Bedenken glaubhaft und nachprüfbar ausgeräumt werden", fordern die Unterzeichner. Um das sicherzustellen, seien Patienten, Ärzte, IT-Fachleute und zivile Organisationen "substanziell" in die gegenwärtig laufende Testphase einzubeziehen. Ein flächendeckender Einsatz dürfe erst nach einer "gemeinsamen positiven Bewertung der Erfahrungen in den Modellregionen" erfolgen, mahnen sie in ihrem Brief. Auch danach müssten unabhängige Fachleute die Chance haben, die ePA regelmäßig unabhängig auf Sicherheitslücken zu prüfen. "Risiken sind selbst dann nicht ausgeschlossen", betonen sie.
Angesprochen wird überdies das seit langem kritisierte "Berechtigungsmanagement". Jeder Mitarbeiter des Gesundheitswesens kann demnach auf sensible Daten der Patienten zugreifen, beispielsweise zu bestimmten psychischen und anderen Erkrankungen sowie Medikationen mit Potenzial zur Stigmatisierung.
"Unsicherer als Online-Banking"
Zu Wochenbeginn hatte der zu den Unterzeichnern gehörende Verein Freie Ärzteschaft dem Bundesgesundheitsministerium (BMG) eine "verantwortungslose Vernebelungstaktik" vorgeworfen. Deren stellvertretende Bundesvorsitzende Silke Lüder berief sich darin vor allem auf die jüngsten Auswertungen durch den Chaos Computer Club (CCC), die erhebliche Bedenken aufgeworfen hätten. Sie sagte:
"Niemand, der sich wirklich mit dem Projekt näher befasst hat, glaubt aber an die Märchen aus dem BMG. Ärztliche Psychotherapeuten und Psychiater, Psychologen, Kinderärzte, Landesdatenschützer, IT-Sicherheitsexperten und auch Bundesärztekammerpräsident Dr. Reinhard warnen oder raten davon ab, die ePA in der jetzigen Form zu nutzen."
So sei die Sicherheit geringer als beim Online-Banking. Tatsächlich würden die Daten in einer Cloud bei den Privatunternehmen IBM und Rise gespeichert, die mit Entwicklung und "Datensicherheit" betraut worden waren. Es existiere nicht einmal eine sogenannte "Ende-zu-Ende-Verschlüsselung". Der Zugriffsschlüssel für alle Daten sei "einfach nur die Karte", beschrieb Lüder das Problem.
Ihr zufolge genügt es für Betrüger etwa, im Besitz von Namen, Geburtsdaten und Versichertennummern zu sein, um sogar selbst Karten fremder Identitäten zu erhalten. Damit könne man dann auf die gesamten Krankengeschichten der jeweiligen Patienten zugreifen. Lüder verwies auf einen jüngeren Vorfall: "Kürzlich standen 300.000 Versichertendaten dieser Art frei im Internet, nach dem Hacking eines Krankenkassendienstleisters."
Jeder Angestellte kann reingucken
Die vom CCC untersuchten Möglichkeiten, sehr leicht Daten beliebiger Versicherter illegal abzugreifen, seien allerdings nicht das einzige Einfallstor für Missbrauch. Bereits legal könnten "alle Mitarbeiter sämtlicher Berufsgruppen im Gesundheitswesen" die Daten im erweiterten Umfang einsehen, wie Verbandschef Wieland Dietrich darlegte. Dies seien in Deutschland insgesamt etwa zwei Millionen Menschen. "Das ist ein Unding – und das würde die ärztliche Schweigepflicht künftig abschaffen", empörte er sich.
Dietrich zufolge kann demnach "jeder Mitarbeiter einer Apotheke oder etwa einer Fußpflegepraxis" nach dem Einstecken der Karte alles über die Krankheitsgeschichte der jeweiligen Patienten erfahren. Woraus sich seiner Meinung nach ein "ungeheuerliches Erpressungspotenzial" ergeben könne. Kein verantwortungsvoller Arzt könne das mittragen. Dennoch würden dann Ärzte künftig "unter Androhung finanzieller Strafen vom Staat gezwungen, die Arztbriefe unserer Patienten faktisch öffentlich zu machen".
CCC: Freie Bahn für Kriminelle
Sicherheitsforscher vom CCC hatten Ende Dezember vorgeführt, wie Betrüger sich mit geringem Aufwand Gesundheitskarten Dritter, aber auch gültige Heilberufs- und Praxisausweise beschaffen ließen. Auch ohne im Besitz fremder Karten zu sein, ließen sich überdies "relativ einfach" sogenannte Zugriffstoken auf Daten von Versicherten erstellen. "Damit hätten Kriminelle auf einen Schlag Zugriff auf mehr als 70 Millionen Akten", warnte der CCC.
Grundsätzlich sehen die Computerspezialisten durchaus Vorteile einer ePA. Diese müsse allerdings den individuellen Sicherheitsbedarf berücksichtigen, so der CCC. Risiken seien unabhängig zu bewerten und transparent zu kommunizieren, der Entwicklungsprozess sei offen fortzusetzen. "Vertrauenswürdige digitale Infrastrukturen können nur entstehen, wenn der Entstehungsprozess selbst Vertrauen ermöglicht."
Widerspruch noch möglich
Ob allerdings der noch unbekannte Nachfolger Lauterbachs nach der Bundestagswahl umschwenken wird, steht in den Sternen. Denn immerhin verdienen auch Privatunternehmen daran mit. Mit diesen wird es sich wohl auch die künftige Politik, egal welcher Coleur, erfahrungsgemäß weniger gern verscherzen als mit einem Teil der Bürger. Noch können letztere der ePA widersprechen.
Mehr zum Thema - Elektronische Patientenakte: Weit offen zum Ausschnüffeln
RT DE bemüht sich um ein breites Meinungsspektrum. Gastbeiträge und Meinungsartikel müssen nicht die Sichtweise der Redaktion widerspiegeln.
Durch die Sperrung von RT zielt die EU darauf ab, eine kritische, nicht prowestliche Informationsquelle zum Schweigen zu bringen. Und dies nicht nur hinsichtlich des Ukraine-Kriegs. Der Zugang zu unserer Website wurde erschwert, mehrere Soziale Medien haben unsere Accounts blockiert. Es liegt nun an uns allen, ob in Deutschland und der EU auch weiterhin ein Journalismus jenseits der Mainstream-Narrative betrieben werden kann. Wenn Euch unsere Artikel gefallen, teilt sie gern überall, wo Ihr aktiv seid. Das ist möglich, denn die EU hat weder unsere Arbeit noch das Lesen und Teilen unserer Artikel verboten. Anmerkung: Allerdings hat Österreich mit der Änderung des "Audiovisuellen Mediendienst-Gesetzes" am 13. April diesbezüglich eine Änderung eingeführt, die möglicherweise auch Privatpersonen betrifft. Deswegen bitten wir Euch bis zur Klärung des Sachverhalts, in Österreich unsere Beiträge vorerst nicht in den Sozialen Medien zu teilen.