Elektronische Patientenakte: Chaos Computer Club zeigt massive Sicherheitslücken auf

IT-Fachleute haben auf dem Kongress des Chaos Computer Clubs auf massive Schwachstellen der elektronischen Patientenakte (ePA) hingewiesen. Ihr Fazit: Ein unsicherer Entwicklungsprozess und fehlende Kontrollen würden das Vertrauen in die Digitalisierung des Gesundheitswesens untergraben.

Auf dem diesjährigen Chaos Communication Congress in Hamburg stellten Martin Tschirsich und Bianca Kastl in einem Vortrag massive Sicherheitslücken und grundlegende Probleme bei der Einführung der elektronischen Patientenakte (ePA) vor. Unter dem Titel „Konnte bisher noch nie gehackt werden – Die elektronische Patientenakte kommt – jetzt für alle“ warfen sie einen kritischen Blick auf die technische und organisatorische Umsetzung der ePA, die ab Januar im sogenannten Opt-out-Verfahren für alle gesetzlich Versicherten eingeführt werden soll. Sie kritisierten sowohl die Komplexität des Systems als auch die unzureichende Absicherung sensibler Gesundheitsdaten und forderten grundlegende Reformen in der Entwicklung und Sicherheit solcher Systeme.

Laut Tschirsich und Kastl ist das System so komplex, dass Sicherheitslücken systematisch auftreten. „Der Prozess, in dem diese Akte entsteht, kann nicht zu einer sicheren, vertrauenswürdigen digitalen Gesundheitsakte führen“, resümierte Tschirsich.

Kritisch sehen die beiden etwa die Vielzahl an Beteiligten im System, von Krankenkassen und Gesundheitsinstitutionen bis hin zu technischen Dienstleistern, die alle Zugriffsmöglichkeiten auf unterschiedliche Ebenen der ePA haben.

Um die Sicherheitsmängel zu verdeutlichen, griffen Tschirsich und Kastl auf konkrete Beispiele zurück. Besonders problematisch: Die SMCB-Karten, die den Zugriff für Praxen und Kliniken auf das System ermöglichen. Diese Karten, die eigentlich nur berechtigten Institutionen ausgestellt werden sollten, könnten durch Schwachstellen in der Infrastruktur einfach angefordert oder manipuliert werden.

Ein besonders eindrückliches Beispiel zeigten die beiden Hacker anhand einer sogenannten SQL-Injection: Über fehlerhafte Eingabeformulare eines Kartenherausgebers sei es möglich gewesen, Datenbankabfragen zu manipulieren und sich Zugriff auf Patientendaten zu verschaffen. „Mit nur wenigen Zeilen Code konnten wir in einem Testsystem Zugriffsrechte für tausende Patientenakten freischalten“, erklärte Tschirsich. Das Problem sei nicht neu, sondern eine grundlegende Schwäche der technischen Infrastruktur, die schon seit Jahren bekannt sei. „Dass solche grundlegenden Angriffe immer noch möglich sind, zeigt, wie schlecht vorbereitet das System ist“, so Tschirsich weiter.

Auch den unzureichend gesicherten Versand von Gesundheitskarten kritisierten Tschirsich und Kastl: „Mit nur einem Anruf bei der Krankenkasse konnten wir Gesundheitskarten auf falsche Identitäten ausstellen lassen. Diese Karten bieten dann direkten Zugang zur Patientenakte – ohne weitere Sicherheitsprüfungen.“

Forderung nach unabhängiger Sicherheitsprüfung

Neben den technischen Schwachstellen kritisierten die beiden Referenten vor allem den Entwicklungsprozess der ePA. Es mangele an unabhängigen Sicherheitsprüfungen und einer transparenten Kommunikation der Risiken. „Es kann nicht sein, dass ehrenamtlich arbeitende Sicherheitsexperten wie wir immer wieder auf diese Probleme hinweisen müssen, während die Verantwortlichen aus Politik und Industrie entweder abwiegeln oder verspätet reagieren“, erklärte Tschirsich.

Statt immer wieder dieselben Fehler zu machen, fordern sie einen offenen Entwicklungsprozess und eine unabhängige Instanz, die das System überprüft. „Wir brauchen ein vertrauenswürdiges digitales Gesundheitssystem. Und das erreicht man nur mit einer sicheren, transparenten und belastbaren Infrastruktur.“

Die Vortragenden warnten eindringlich vor den Folgen der Einführung eines unsicheren Systems: „Wenn das Vertrauen in die ePA und die Digitalisierung des Gesundheitswesens weiter schwindet, werden gerade die Menschen, die am meisten von den Möglichkeiten der Digitalisierung profitieren könnten, die Nutzung verweigern.“