Die ePA ist ein Musterbeispiel für politisch und wirtschaftlich vorangetriebene Digitalisierung am Endanwender vorbei. 70 Millionen Versicherte werden sie nutzen, sofern man nicht Opt-Out beantragt hat. Ich habe das getan, da die mit der ePA verfolgten Interessen nicht den Versicherten dienen.

Nehmen wir das Sicherheitskonzept, dessen Gutachten durch das Frauenhofer SIT und den Umgang mit dem Gutachten durch die Gematik. Das ist ein einziger Fiebertraum. Er beginnt damit, dass der Anforderungskatalog so massiv ist, dass die Gutachter KI einsetzen müssen um diese zu Gruppieren und Kategorisieren. Hier kann man im Prinzip schon aufhören zu lesen. Wenn ich für die Analyse der Anforderungen einer Software wiederum Software brauche die kein Mensch bisher versteht (KI), wie soll dann Vertrauen aufgebaut werden? Es geht um das Speichern und Verarbeiten hoch sensibler Daten. Da kann ich mir nicht einen neuen Account anlegen, wenn die mal geleakt werden - und das wird passieren. Die ePA ist laut Frauenhofer SIT schon auf dem Papier unsicher.

Nun kommt der CCC bzw. Bianca Kastl und Martin Tschirsich (1h Vortrag über die gefundenen Schwachstellen, Erklärungen, sehr informativ) daher und belegen auf dem 38C3 eindrücklich wie unsicher die ePA auch in der Praxis ist. Es folgen Beschwichtigungen seitens der Gematik und der Politik, namentlich Karl Lauterbach. Verbände aus dem Gesundheitswesen und Informationssektor richteten hierauf einen offenen Brief an Karl Lauterbach. Ziel: Mehr Transparenz in den Entwicklungsprozess bringen. Denn wir haben eine gute und starke Zivilgesellschaft, wie man im Fall von Bianca und Martin sieht. Die haben die ePA in ihrer Freizeit auseinander genommen. Wenn nun schon 2 zivile, white hats (gutwillige) Personen es schaffen eine staatliche Gesundheitssoftware zu knacken, dann sehe ich bei staatlich oder wirtschaftlich organisierten black hats schwarz. Das Gute ist immerhin, dass wir eine starke Zivilgesellschaft haben, man muss sie nur einbinden und Fragen. Das macht die Gematik nicht. Die kochen ihr eigenes Süppchen, dass wir alle auslöffeln sollen. Nein Danke.

Ziel der Politik und Wirtschaft ist es mit den Gesundheitsdaten Kasse zu machen. Das hat Angela Merkel schon durchblicken lassen, Merz ebenfalls. Ein weiterer feuchter Traum der Sicherheitsfanatiker ist es, dass die Strafverfolgungsbehörden Zugang zu diesem Datenschatz bekommen. Schön einmal Rasterfahndung durch alle ePAs. Wie war das noch mal mit dem Vertrauen?
Nein, das darf so natürlich alles nicht passieren. Aber es kann einem niemand garantieren, dass es nie passieren wird. Denn sicher sind nur die Daten die nie erhoben worden sind.

Ärzte und Gematik

Die Ärzte machen sich selbstredend auch ihre Gedanken. Mit der Gematik haben sie schon lange zu tun. Sie sind nicht verpflichtet ihre Praxis mittels Konnektor an die Telematikinfrastruktur (TI) der Gematik anzuschließen aber es gibt Strafen wenn sie dies nicht tun. Dei TI ist ein virtuelles privates Netzwerk (VPN) welches alle Gesundheitsanwendungen in Deutschland bereitstellt. Der Gedanke ist ok, die Umsetzung mal wieder interessengetrieben. In den Konnektoren ist ein Chip, welcher 5 Jahre lang gültig ist. Danach ist die gesamte Hardware Schrott. Anstatt nur das Zertifikat, ein paar Bytes, auf diesem Chip auszutauschen, hat man sich dazu entschieden das gesamte Gerät austauschen zu müssen. Nur damit die Unternehmen die diese Konnektoren herstellen, neue verkaufen können - naheliegend Vermutung. Zertifikate austauschen ist nicht so schwer.
Ärzte haben also eine Ahnung wessen Produkte sie hier an ihre Patienten bringen müssen.
Ärzte wissen auch: Die ePA wird patientenseitig nur akzeptiert, wenn das nötige Vertrauen besteht und die Anwendung einfach ist. Beides ist nicht der Fall. Daher haben sie ihre Forderungen auf dem jetzigen 129. deutschen Ärztetag erneuert. Darunter:

  • keine Benachteiligung von Patienten ohne ePA
    Merz: Wer Daten bereitstellt, zahlt 10 Prozent weniger Krankenkassenbeiträge
  • Sicherheit auf die man vertrauen kann
  • Barrierfreiheit erhöhen
  • Beschlagnahmeverbot für medizinsche Daten
  • Nutzerfreundlichkeit anpassen
  • mehr Sicherheit, Sicherheitsniveau muss vom BSI bestätigt sein
  • wirksame Maßnahmen gegen mögliche Angriffsszenarien entwickeln
  • Volltextsuche in der ePA

Was im Zuge des hier zitierten heise-Artikels auch klar wird: die Anforderungen an die ePA ändern sich ständig. Die Ärzte möchten für ihre Patienten, also uns, eine feingranulare Rechteverwaltung. Es soll steuerbar sein, welchem Leistungserbringer welche Daten angezeigt werden. Dieses ist mit Version 3.0 jedoch nicht mehr möglich.

Der Forderungskatalog geht weiter:

  • eine resilientere (verfügbare, robustere) Telematikinfrastruktur; es gibt wohl regelmäßig Probleme
  • Verbesserung der Resilienz von Krankenhäusern aus dem geplanten Sondervermögen. Dieser Punkt scheint mir besonders wichtig. Gar nicht weil es hier um die ePA geht. Vielmehr betrifft es die Infrastruktur vor Ort und kann im Schadensfall wirklich Menschenleben retten.

Stand: 2025-06-01

Linksammlung

2024-10-24 Gutachten für elektronische Patientenakte: Sicherheitskonzept auf dem Prüfstand​
2024-10-24 Neues ePA-Sicherheitskonzept auf dem Prüfstand
2024-12-27 CCC fordert Ende der ePA-Experimente am lebenden Bürger
2025-05-01 Elektronische Patientenakte unsicher: CCC zerpflückt neue Schutzmaßnahmen
2025-05-15 Elektronische Patientenakte: “Kein iPhone, sondern Telefon mit Wählscheibe”
2025-05-26 Kritik an E-Patientenakte: “Abrechnungsdaten gehören nicht auf zentrale Server” 2025-05-31 Elektronische Patientenakte: Wer widerspricht, soll nicht benachteiligt werden