Elektronische Patientenakte ePA – sicher oder unsicher?

Telematikinfrastruktur

Eine Dresdner Ärztin und Psychotherapeutin hat sich an MDR Aktuell gewandt, möchte aber selbst nicht genannt werden. Sie zweifelt erheblich an der Sicherheit der Elektronischen Patientenakte – ePA genannt -, die in diesem Jahr deutschlandweit eingeführt wird. Sie, als Praxisinhaberin, trage die Verantwortung, dass Cyberkriminelle diese Daten nicht entwenden, so wie es bereits in vielen Ländern passiert sei. Wie kann die Sicherheit garantiert werden? Für das Nachrichtenradio MDR Aktuell habe ich mich umgehört.

Die Werbung für die Elektronische Patientenakte klingt im Internetvideo sehr harmlos und sehr praktisch.

Sie wollen vor dem Urlaub noch schnell zum Arzt, aber der Impfpass ist unauffindbar? Ein Termin beim Facharzt, doch wo ist der Allergiebericht?  Gar nicht so einfach, an alles zu denken. Wie gut wäre es da, wenn alles an einem zentralen Ort wäre? Wie in der ePA-App…

Werbevideo für die Elektronische Patientenakte

Was praktisch ist für den Nutzer ist, nämlich der zentrale Ort, ist für Datenschützer das große Problem. Die Elektronische Patientenakte ePA ist Teil der sogenannten Telematik-Infrastruktur, einer Vernetzung von Arztpraxen, Apotheken, Krankenhäuser und Krankenkassen. Im letzten Jahr gelang es IT-Experten, in dieses Netz einzudringen. Mitarbeiter der Fachhochschule Münster hatten Sitzungsnummern entdeckt, die dies ermöglichten, sagte im Dezember Christoph Saatjohann, einer der IT-Experten:   

Das heißt, wenn man diese Session-ID übernommen hat in seinen Browser und dann dieses Teamportal angesurft hat, war man direkt eingeloggt – und zwar eingloggt als Arzt.

Christoph Saatjohann, Fachhochschule Münster (Dezember 2020)

Und dann konnten die IT-Experten genau das sehen, was sonst nur der Arzt oder sein Patient sehen darf: Röntgenbilder, Befunde und Arztbriefe. Betroffen waren davon sechs Medizinische Versorgungszentren.

Per  Mail teilt das Bundesgesundheitsministerium MDR Aktuell mit, dass in diesen Fällen der Anschluss in das Netz nicht sachgemäß erfolgt war und diese Fehler der Praxen nun behoben seien. Zur weiteren Erhöhung der Sicherheit scanne der Netzbetreiber regelmäßig sämtliche Schnittstellen der Telematik-Infrastruktur und seit Dezember 2020 auch die aller angeschlossenen Arztpraxen.

Mit bei den Entdeckern der Sicherheitslücken war auch Christian Brodowski. Er ist Mitglied im Chaos Computer Club und Anästhesist, kennt sich also als Arzt und IT-Experte aus.

Diese unsichersten Verfahren, die wir damals nachgewiesen haben, die sind erstmal abgestellt. Aber trotzdem ist diese Authentifizierung der Person des Arztes immer noch nicht sichergestellt beim Elektronischen Berufsausweis.

Christian Brodowski, Anästhesist

Der Elektronische Berufsausweis ist ebenfalls Teil der Telematik-Infrastruktur und weist den Arzt im System als berechtigten Nutzer aus – beispielsweise bei der Elektronischen Patientenakte. Ist es bei so vielen Lücken und Unsicherheiten nicht besser, ganz auf die sogenannte ePA zu verzichten?

Ich kann mir viele nützliche Elektronische Anwendungen vorstellen. Ich bin eigentlich ein Freund von Digitalisierungen, aber eben nur von gut gemachter Digitalisierung. Das ist ähnlich wie bei einer Operation und einer Narkose: Wenn man die gut machen kann, kann man sie machen. Und wenn man sie nicht gut machen kann, sollte man sie besser nicht machen.

Christian Brodowski, Anästhesist

Deshalb würde der Anästhesist und Computer-Fachmann Christian Brodowski zum jetzigen Zeitpunkt auf den Einsatz der Elektronischen Patientenakte verzichten. Das Bundesgesundheitsministerium zeigt sich dagegen in seiner Mail weiterhin von der Sicherheit der Elektronischen Patientenakte überzeugt. Außerdem heißt es:

Der Zugriff auf die Daten ist nur für diejenigen Ärztinnen/Ärzte, Apothekerinnen/Apotheker etc. möglich, die von den jeweiligen Versicherten ausdrücklich für den Zugriff auf die Daten berechtigt wurden.

E-Mail aus dem Bundesgesundheitsministerium

Und die Patienten – nicht die Ärzte – bestimmten auch, welche Daten überhaupt in der Elektronischen Patientenakte gespeichert werden. Wenn Patienten skeptisch sind, können sie also jegliche Speicherung ihrer Daten verhindern – hätten dann allerdings auch nicht die Möglichkeit, von überall auf die Daten zuzugreifen und sie so mit ihren Ärzten zu teilen. Wer es trotzdem möchte, muss die sogenannte ePA bei seiner Krankenkasse beantragen.