Gesundheitsdaten sind immer besonders sensible Daten. IT-Sicherheit und Datenschutz sind daher außerordentlich wichtig. Inwieweit die IT-Sicherheit in der neuen ePA angemessen gewährleistet ist, wird unterschiedlich beurteilt.

IT-Sicherheit und Datenschutz umfassen dabei ganz unterschiedliche Aspekte: Medizinische Infos von Patient*innen müssen vertraulich bleiben und dürfen nicht öffentlich werden. Zugleich muss auch gewährleistet sein, dass die Systeme jederzeit verfügbar sind und die enthaltenen Daten immer korrekt – und nicht manipulierbar sind.

Das Bundesministerium für Gesundheit und die Gematik sagen beide: Die ePA und ihre technische Architektur sind sicher. Kritik kommt dagegen aus der Digitalen Zivilgesellschaft und Wissenschaft. Zu den Unterzeichner*innen des offenen Briefs „Vertrauen lässt sich nicht verordnen“, der Prüfsteine für eine technisch gute Umsetzung der ePA aufstellt, zählen der Chaos Computer Club, die AG Kritis und mehrere Professor*innen und Expert*innen im Feld der IT-Sicherheit.

Zentrale Kritikpunkte:

  • Gerade eine zentrale Datenspeicherung der Gesundheitsdaten von Millionen gesetzlich Versicherter ist ein attraktives Angriffsziel. Moderne Grundsätze aus der IT-Sicherheitsforschung müssten daher konsequent angewendet werden (z.B. Security by Design, Zero Trust).
  • Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der*die Bundesdatenschutzbeauftragte (BfDI) sind in die Ausgestaltung der ePA nur noch „im Benehmen“ eingebunden – das heißt, beide Kontrollinstanzen müssen im Entwicklungsprozess zwar angehört werden, aber nicht aktiv ihre Zustimmung geben. Ihre Kontrollmöglichkeiten sind somit begrenzt.
  • Die technische Architektur und Apps werden nicht verpflichtend als Open Source veröffentlicht. Ein substanzielle Kontrolle durch unabhängige Dritte wird so erschwert.

Manuel Atug, Sprecher der AG Kritis, glaubt nicht, dass die Digitalgesetze für ausreichende Sicherheit sorgen. Er geht davon aus, dass große Datensätze illegal abgefangen werden. ‚Das haben wir international schon mehrfach gesehen, dass Millionen Gesundheitsdaten veröffentlicht wurden. Das droht uns in Deutschland ganz konkret und nicht nur theoretisch.‘ Atug befürchtet, dass in den nächsten fünf bis zehn Jahren auch deutsche Gesundheitsdaten im großen Stil gestohlen werden, wenn die Regierung das Gesetz nicht noch mal nachbessert.“

tagesschau.de, 14.12.23

Gab es schon Missbrauch von Gesundheitsdaten?

Sicherheitslücken und Cyberangriffe gehören inzwischen zum Alltag – und sie sind auch im Gesundheitswesen angekommen.

Zahlreiche deutsche und internationale Kliniken waren in den vergangenen Monaten und Jahren sogenannten Ransomware-Angriffen ausgesetzt (z.B. in Berlin, Barcelona oder Bielefeld), das heißt, Angreifer*innen verschlüsselten die Dateien, um eine Geldsumme zu erpressen. Teilweise konnten die Krankenhäuser nicht mehr oder nur stark eingeschränkt weiterarbeiten.

In Frankreich gab es ein Datenleck, von dem 33 Millionen Versicherte betroffen waren, also etwa die Hälfte der Bevölkerung. Es umfasste Name, Geburtsdatum, Sozialversicherung und etwaige Zusatzkrankenversicherungen. Betroffene wurden vor eventuell folgenden Erpressungsversuchen gewarnt.

Bereits vor einigen Jahren tauchte in Finnland ein Datenleck von zehntausenden Psychotherapie-Patient*innen auf. Auch in diesem besonders sensiblen Bereich fanden Epressungsversuche statt.

Gravierende Sicherheitslücken bestehen auch bei den sogenannten Digitalen Gesundheitsanwendungen, die per Rezept verschrieben werden können. Bei einer App, die bei Depressionen unterstützen soll, konnten Sicherheitsforscher*innen unter anderem auf die E-Mail-Adresse und Selbsteinschätzungen zum Schweregrad der Depression aller Nutzer*innen zugreifen.

Der Chaos Computer Club fand eine Schwachstelle bei einem häufig genutzten Terminbuchungstool für Arztpraxen. Etwa eine Million Datensätze von Patient*innen waren offen zugänglich.

Die vielen genannten Beispiele sind nicht direkt mit der ePA vergleichbar, zeigen aber, dass Cyberangriffe und Datenlecks auch im Themenfeld der Gesundheit angekommen sind und ein reales Risiko darstellen. Der IT-Sicherheit muss daher bei allen digitalen Angeboten, die mit sensiblen Daten arbeiten, ein sehr hoher Stellenwert beigemessen werden.