„Vorteil Nr. 7 – Die Daten in Ihrer ePA sind sicher und geschützt. Medizinische Unterlagen, die Sie bislang selbst verwahren mussten, werden zukünftig in Ihrer ePA gespeichert. So wird vermieden, dass diese verloren gehen oder beschädigt werden. Und auch die Datensicherheit ist garantiert: Die Daten sind auf sicheren, in Deutschland stehenden Servern gespeichert — nach höchsten Standards und den europäischen Datenschutzbestimmungen. Außerdem dürfen Informationen aus der ePA immer nur für klar ausgewiesene, legitimierte Zwecke genutzt werden.“… steht auf der Seite des Bundesgesundheitsministeriums zu lesen. Die Wahrheit ist: weder das eine noch das andere trifft zu, wie sich vor wenigen Tagen erwies.
Die ePA (elektronische Patienten Akte) ist ein digitaler Speicher für alle Unterlagen, die beim Praxisbesuch oder im Krankenhaus erstellt werden. Sie soll ein zentral verwaltetes, digitales Werkzeug sein, das automatisch alle verfügbaren Gesundheitsdaten der gesetzlich Krankenversicherten speichert und übersichtlich strukturiert. Das soll den Informations-Austausch zwischen Patienten, Ärzten und anderen Akteuren im Gesundheitssystem erleichtern.
Schon lange versucht man, den Leuten die ePA aufzuschwatzen
Die ePA ist gar nicht neu: Es gibt sie seit 2021. Zu der Zeit gab es das „Opt-in-Verfahren“. Die Patienten mussten dafür aktiv zustimmen, die ePA zu nutzen. Damals erreichte die Nutzung der ePA nur circa ein Prozent der gesetzlich Versicherten, was so gut wie nichts ist. Ab 15. Januar 2025 wird nun aus der Opt-in- eine Opt-out-Entscheidung, bei dem man die Nutzung und Freischaltung der Akte aktiv ablehnen muss. Mit dem Opt-out-Verfahren soll es jetzt vor allem gelingen, die ePA flächendeckend auszurollen, so die Kassenärztliche Bundesvereinigung (KBV). Damit will man die Zahl der ePA-Nutzer drastisch erhöhen.
Die Absicht: Ein Grund für die fast überhaupt nicht wahrgenommene Akzeptanz der ePA liege sicher an der Bequemlichkeit der Leute. Sicher auch zum Teil, ja. Und deswegen dreht man nun den Spieß um und der bequeme Bürger wird einfach in das ePA-System eingegliedert, wenn er nicht aktiv widerspricht. Jetzt werden viele sich nicht nur aus Bequemlichkeit fügen, sondern auch, weil sie fürchten, sonst weniger Heil-Leistungen zugestanden zu bekommen oder andere Nachteile in Kauf nehmen müssten.
Daher steuert man aktiv mit positiven Berichten dagegen und tut so, als würden sich alle schon auf die ePA freuen:
„Laut dem TK-Report sehen 84 Prozent der Befragten Vorteile in der elektronischen Patientenakte (ePA). Aus den Umfrageergebnissen geht allerdings nicht hervor, ob die Befragten bereits zu den rund 1,5 Millionen Versicherten gehören, die bereits eine ePA aktiviert haben. 69 Prozent bewerten das elektronische Rezept positiv. Auch der Einsatz von Robotern bei Operationen wird von 64 Prozent der Befragten als vorteilhaft angesehen. Die Hälfte der Befragten erwartet einen Vorteil von digitalen Gesundheitsanwendungen die beispielsweise der Verwaltung chronischer Krankheiten dienen und die Therapie begleiten. Die positive Beurteilung dieser Anwendungen kann laut den Forschern teilweise auf deren Verbreitung und Bekanntheit zurückgeführt werden.“
Das scheint auch der Seite „heise online“ etwas dubios zu sein und man mutmaßt, es könnte daran liegen, dass die Umfrage einen hohen Anteil von GKV-Mitgliedern befragte, die sowieso schon eine ePA haben und affin für diese Art von „Verwaltung“sind, denn der Unterschied zwischen einem Prozent und 84 Prozent sei doch „signifikant“. Diese Zahlen stammen aus einer Umfrage, die die Technikerkrankenkasse dem Forsa-Institut in Auftrag gegeben hatte.
„Die ePA für alle“ und alles wird leichter einfacher, sicherer und besser?
Die Lobeshymnen für diese ePA sind beeindruckend:
„Die ePA für alle ist das Kernelement des Digital-Gesetzes, das am 14. Dezember 2023 vom Deutschen Bundestag verabschiedet wurde. Sie wird den Versorgungsalltag für Patientinnen und Patienten und Leistungserbringer erleichtern – im ersten Schritt durch die Einführung der digitalen Medikationsliste. In enger Verknüpfung mit dem E‑Rezept können so ungewollte Wechselwirkungen von Arzneimitteln besser erkannt und vermieden werden. Zudem werden Ärztinnen und Ärzte im Behandlungsprozess unterstützt. (…) Die ePA stärkt Ihre Rechte als Patientin und Patient (…) Ihre Ärztin hat Ihre Medikamente sofort auf dem Schirm – ein Vorteil für Sie, Ihre Ärztin bzw. Ihren Arzt und Ihre Apothekerin bzw. Ihren Apotheker! (…) Die Zugänge zu Ihren persönlichen medizinischen Daten verwalten Sie selbst. Sie können jederzeit festlegen und kontrollieren, wer welche Zugriffsrechte hat und diese ändern.“
Seitenlang kann man auf der Webseite des Bundesgesundheitsministeriums die wunderbaren Vorteile nachlesen und sich freuen, wie alles (in der Theorie) wunderbar ineinandergreift. Und wie penibel alles mehrfach gesichert ist. So steht unter dem Punkt „Haben Unbefugte Zugriff auf meine ePA?“ folgendes, frohgemute Statement:
„Nein. Nur Patientinnen und Patienten sowie das von ihnen berechtigte medizinische Personal haben Zugriff auf die Daten. Selbst Krankenkassen und ihre Ombudsstellen können die Daten in der ePA nicht einsehen.“
Das Unternehmen Gematik hatte zuvor noch ein positives Gutachten des Fraunhofer-Instituts veröffentlicht, das sie beauftragt hatte, die Sicherheit zu prüfen: „Gutachten bestätigt: ePA für alle ist sicher“, hieß es darin und dass eine moderne Sicherheitsarchitektur es ermögliche, dass die enthaltenen Gesundheitsinformationen in der ePA mit den höchsten Sicherheitsstandards geschützt werden.
Die Daten werden also, laut Bundesgesundheitsministerium, auf sicheren Servern innerhalb der Telematikinfrastruktur (TI) gespeichert und in der ePA verschlüsselt abgelegt. Die Kommunikation zwischen den Komponenten der ePA sei Ende-zu-Ende-verschlüsselt. Na, dann ist doch alles gut, oder?
Alle 70 Millionen ePAs können geknackt werden!
„Selbst Krankenkassen und ihre Ombudsstellen können die Daten in der ePA nicht einsehen?“
Jahaaaa … die dort genannten Stellen wohl nicht. Die müssen ja überhaupt erst für den planmäßigen Umgang mit der elektronischen Patientenakte geschult werden. Aber Hacker können sich Zugriff verschaffen und Daten über Personen sind eine moderne Goldgrube. Man kann sie nämlich verkaufen und wenn es sogar nicht nur Name und Adresse eines Menschen sind, sondern so intime Daten, wie die in der Patientenakte, dürften die interessierten Branchen wahre Wucherpreise dafür bezahlen. Denn der Markt ist groß für diese Interessen. Von Funktionswäsche bis zu Schmerztabletten, von Wunderzahnpasta bis zu „Tun Sie dies und sie werden abnehmen, wie ein Abreißkalender“ gibt es eine große, grüne Spielwiese für Betrugsmaschen.
Keine drei Wochen vor dem ePA-Roll-out führte der Chaos Computer Club beim Hacker-Kongress „38C3“ in Hamburg vor, wie einfach Kriminelle das Datengold abgreifen können. Der berühmt-berüchtigte Club hatte die Sicherheitsmängel schnell ausgemacht. Auf dem Kongress führten zwei IT-Sicherheitsexperten vor, wie sie sehr flott die Sicherheitsvorkehrungen auf’s Kreuz legen können und auf einen Streich nach Belieben auf alle 70 Millionen Patientenakten zugreifen.
Der CCC teilte auch freimütig mit, wie leicht sie nicht nur auf eine Weise, sondern sogar auf mehreren unterschiedlichen Wegen die elektronischen Patientenakten knacken können, nachdem Bianca Kastl und Martin Tschirsich auf dem 38. Chaos Communication Congress die Sicherheitsmängel vor den Zuschauern demonstrierten:
Die Elektronik-Sicherheitsexperten zeigten beispielsweise, wie sie sich, recht einfach und immer wieder neu, gültige Heilberufs- und Praxisausweise sowie die Gesundheitskarten Dritter beschaffen und damit – für das System legal – auf Gesundheitsdaten zugreifen konnten. Der Grund: Lücken und Mängel in den Ausgabeprozessen dieser Ausweise, ebenfalls die Beantragungsmodalitäten in den entsprechenden Portalen aber auch im Umgang mit den Karten von Gesundheitspersonal in der „realen Welt“.
IT-Sicherheitsexperten ziehen dem ePA System die Hosen bis auf die Knöchel herunter
Aber auf anderen Wegen ging es auch ganz ohne Heilberufsausweise und gekaperter Gesundheitsausweise von Bürgern. Die beiden IT-Sicherheitsexperten Bianca Kastl und Martin Tschirsich vom Chaos Computer Club (CCC) waren sogar nach eigenen Angaben in der Lage, auf ePAs zufälliger Mitglieder der gesetzlichen Krankenversicherungen zuzugreifen, auch ohne dass sie deren Gesundheitskarte eingelesen hätten, wie in diesem Stream aus dem Hacker-Kongress „38C3“ vorgeführt wird.
Lustig: Es war mal wieder Herr Bundesgesundheitsminister Lauterbach, der noch Ende September 2024 vollmundig erklärte, bisher konnte die ePA-Technologie noch von keinem gehackt werden. Mag sein, aber dann hat das noch kein Versierter probiert. Es lohnt sich diese Demonstration anzuschauen (Bitte auf das Bild Klicken und warten, bis es in einem neuen Tab losgeht):
Wenn man dann sieht, welche Organisationen da alle eingebunden sind und alle „Zugangsschlüssel“ haben. Es gibt also Hunderte von Teilnehmer auf der Verwaltungsebenen, was die Möglichkeiten an Lücken vervielfältigt, durch die man eindringen kann. Dass es gerade einmal eine Stunde brauchte, um an gültige Ausweise für Heilberufe zu gelangen, ist schon ein Kracher.
Bianca Kastl und Martin Tschirsich lassen ziemlich unmissverständlich durchblicken, dass bestimme „Lecks“ schon seit Jahren bekannt sind, aber dennoch immer noch im System und nicht beseitigt worden sind. Die beiden sparen nicht mit Kritik daran, dass die ePA ihr Sicherheitsversprechen nicht einhalten könne. Und dass man einfach nur die Gesundheitskarte von irgendwem ins System einführen kann und schwupp!, ist man ohne große Probleme auf dessen Gesundheitsakte. Jede Bankkarte ist besser gesichert.
Zu Recht monieren sie außerdem, dass das System so, wie es jetzt ist, nicht eingesetzt werden darf. Sie fordern „eine unabhängige und belastbare“ Analyse und Bewertung der Sicherheitsrisiken, die mit der Nutzung der elektronischen Patientenakte auf die Versicherten zukommen und natürlich und eine transparente Kommunikation der Risiken. Ihr Fazit: „Nur wenn die Sicherheit der ePA für alle ausreichend gewährleistet ist, werden Leistungserbringer und Versicherte die ePA akzeptieren und auch nutzen. Das dazu notwendige Vertrauen lässt sich nicht verordnen.“
Was wäre passiert, wenn Bianca Kastl und Martin Tschirsich dieses undichte System nicht auf offener Bühne auseinandergenommen hätten? Es wäre einfach am 15. Januar gestartet und die richtigen Hacker hätten sofort die Arbeit aufgenommen. Das wäre ein Skandal geworden und die Schäden vielleicht sehr hoch.
Abgesehen davon: Theoretisch kann ja jeder, der sich Zugriff auf die ePAs verschafft hat, beliebigen Unsinn einstellen. Eine Katastrophe könnte es werden, wenn jemand Malware oder Bugs, also ein Schadprogramm oder ein Virus in einem Praxisverwaltungssystem zur Infizierung der Dokumente in den Patientenakten „injiziert“. Dann wandert alles über die ePA und die dort abgelegten Dokumente mit und kann unter Umständen das ganze System infizieren.
Gesundheitsdaten werden verteilt: in der EU und an die Pharmaindustrie
Das Europäische Parlament und der Rat der Europäischen Union hat sich in der Nacht vom 14. auf 15. März 2024 darauf geeinigt, die Eckpunkte für einen Europäischen Gesundheitsraum festzuzurren. Günter Born berichtet:
„Der betreffende Europäischen Gesundheitsdatenraum kann also kommen. Knackpunkt aus Sicht der Patienten: Es gibt zwar ein Widerspruchsrecht zur Datenweitergabe – aber nicht global, sondern durch nationale Gesetze wie in Deutschland und Österreich. Wer nicht widerspricht oder im Ausland behandelt wird, kann die Weitergabe der Daten oder den Zugriff durch ausländische Stellen nicht unterbinden. Das Ganze geht auf Pläne der EU-Kommission aus dem Jahr 2022 zurück, die einen europäischen Gesundheitsdatenraum (European Health Data Space) einführen will. Der EHDS soll einer der zentralen Bausteine einer starken europäischen Gesundheitsunion sein. (…) Aus der Ankündigung der EU-Kommission im Jahr 2022 ergab sich das “Versprechen”, den Menschen Kontrolle über ihre persönlichen Gesundheitsdaten zu geben – im eigenen Land und grenzüberschreitend.“ Das würde bedeuten, dass nach den neuen Vorschriften dass ein französischer Reisender ein in Frankreich ausgestelltes Rezept in einer deutschen Apotheke abholen kann, dass Ärzte auf die ePA mit allen Informationen eines rumänischen Patienten zugreifen können, der gerade in Italien behandelt wird.“
Die Pharmaindustrie freut sich schon, denn persönliche Daten sind das Neue Öl, und sie darf ganz legal dran an diese Daten, wenn das nicht ausgeschlossen wurde: Sobald ein Patient seine Karte der Dame auf der anderen Seite des Praxistresens aushändigt und damit Zugriff auf seine Akte gibt, verliert er im Prinzip die Kontrolle über seine Daten. Diese werden nämlich, wenn der Patient nicht die Opt-out-Möglichkeit gewählt hat, in den European Health Data Space (EHDS — Europäischer Gesundheitsdatenraum) eingespeist und auf diese Weise kann auch die Forschung und die Pharmaindustrie ganz legal für ihre Zwecke darauf zugreifen.
Die Pharmaindustrie sagt das auf der Seite der vfa., der forschenden Pharmaindustrie, auch mehr oder weniger offen durch die Blume:
„Der digitale Wandel in Forschung und Gesundheit ist längst im Gang: Wie sieht das Gesundheitssystem der Zukunft aus? Welche Chancen birgt die Digitalisierung für die medizinische Versorgung? Damit die digitalen Technologien zum Vorteil von Patient:innen und Versicherten eingesetzt werden, müssen Politik und Wirtschaft eng kooperieren.“
Noch Fragen, warum die forschende Pharmaindustrie so erfreut ist, dass sie für ihre Forschung alle europäischen Gesundheitsdaten auf dem Silbertablett präsentiert bekommt?
Du muss angemeldet sein, um einen Kommentar zu veröffentlichen.