In der kommenden Woche, am 15. Januar 2025, beginnt die Pilotphase der Einführung der erweiterten elektronischen Patientenakte 3.0 (ePA 3.0) in den Modellregionen, es werden dann ausgewählte Praxen in Hamburg, Franken, Nordrhein und Westfalen-Lippe die ePA 3.0 einführen.

Bereits in der Vergangenheit wurde im Zusammenhang mit der ePA die Datensicherheit thematisiert, unter anderem auch von uns wurde in jeder Stellungnahme zur Digitalisierung des Gesundheitswesens darauf hingewiesen, dass die Datensicherheit sowie die Datenhoheit der Patientinnen und Patienten die oberste Priorität haben muss.
Leider hat sich in der Praxis bereits erwiesen, dass die Gesundheitsdaten nicht sicher sind: Cyberangriffe auf das Gesundheitswesen sind keine Seltenheit. Vor zwei Jahren traf es den Krankenkassendienstleister BITMARK, der maßgeblich an der EPA beteiligt ist. 300.000 Namen, Geburtsdaten und Versicherungsnummern wurden abgegriffen und ins Darknet gestellt. Drei Monate später kam der nächste Angriff.

Nun kurz vor der Testphase der Einführung der ePA 3.0 warnt auch der Chaos Computer Club (CCC): Mit wenig Aufwand könnten sich Hacker gültige Heilberufsausweise sowie Gesundheitskarten Dritter beschaffen und auf Gesundheitsdaten zugreifen. Live demonstriert wurde dies von Martin Tschirsich und Bianca Kastl auf dem 38. Chaos Communication Congress in Hamburg anhand einer Reihe simpler Sicherheitslücken, die Außentäter ausnutzen können. Es gelang ihnen ohne Umstände, sich Zugang zur "ePA für alle" zu verschaffen. Dies war unter anderem aufgrund von Mängeln in den Spezifikationen möglich. So konnten sie die Zugriffstoken für Akten beliebiger Versicherter erstellen – ohne Stecken der elektronischen Gesundheitskarte. Weitere Gründe für Sicherheitslücken seien etwa Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie im "real existierenden Umgang" mit den Karten, d. h. der Umgang mit der ePA durch die Patientinnen und Patienten.

Die Gematik, zuständig für die Einführung der ePA, weist in ihrer Stellungnahme zu den Vorwürfen des CCC darauf hin, dass sie Lösungen gegen mögliche Hackerangriffe konzipiert und diese bereits teilweise umsetzt. Die Stellungnahme der Gematik finden Sie unter: www.gematik.de

Hintergrund:
Die "elektronische Patientenakte für alle" soll Versicherten den bürokratischen Aufwand und Papier sparen und mehr Übersicht bringen. Außerdem ist sie für den sicheren Austausch von Daten im Gesundheitswesen gedacht. Die Kassenärztlichen Vereinigungen haben angekündigt, diese Phase eng zu begleiten und ein Feedback an die für die Digitalisierung zuständige Gematik und das Bundesgesundheitsministerium zurückzuspielen.

Die Kassenärtzliche Bundesvereinigung (KBV) erwartet für die Praxen neben einem hohen Zeit- und Verwaltungsaufwand durch die Einführung der ePA auch einen Aufklärungsaufwand für die Patientinnen und Patienten, weshalb sie ein umfangreiches Informationspaket bereit stellt. Die Informationen richten sich vorwiegend an Ärztinnen und Ärzte, aber auch Patientinnen und Patienten finden hier interessante Informationen: www.kbv.de

Quelle: Deutscher Paritätischer Wohlfahrtsverband - Gesamtverband e.V., E-Mail vom 09.01.2025