Angeblich sei bei der ePA keine Prüfung der Sicherheit gegen Zugriffe der Geheimdienste "relevant", steht im Sicherheitsgutachten.
Daran gibt es keinen Zweifel: Die elektronische Patientenakte (ePA) kommt. Im Februar bekommt sie nach dem Willen der Bundesregierung jede Bürgerin und jeder Bürger. Wer das nicht will, muss der Nutzung aktiv widersprechen. Tja, nun will man sie noch nicht einmal in Hinblick auf einen möglichen Missbrauch durch Geheimdienste überprüfen lassen.
70 Millionen Elektronische Patientenakten für Hacker zugänglich
Das kann ja wohl nicht wahr sein, dürfte sich so mancher denken. Vor allem in Hinblick auf die Präsentation von Bianca Kastl und Martin Tschirsich auf dem Hamburger Chaos Communication Congress (38C3).
Die beiden Sicherheitsexperten haben bei ihren Untersuchungen gravierende Sicherheitsmängel festgestellt. Vorgestern zeigten sie im Rahmen ihres Vortrages der Öffentlichkeit, wie wenig Aufwand man betreiben müsste, um auf die Daten eines jeden Versicherten zuzugreifen. Dafür mussten sie die elektronische Patientenakte noch nicht einmal besitzen. Wer sich für weitere Details interessiert: Hier kann man sich die Folien ihrer Präsentation anschauen. Bald ™ wird der Talk von Kastl und Tschirsich im unten eingebundenen Video bei media.ccc.de verfügbar sein. Das Video wird veröffentlicht unter der Lizenz CC BY 4.0.
Sicherheitsgutachten hält Angriffe der ePA durch Geheimdienste für „nicht relevant„
Das Fraunhofer-Institut für sichere Informationstechnologie (SIT) erstellte im Auftrag der Gematik die Sicherheitsanalyse des Gesamtsystems ePA für alle. „In Bezug auf das ePA-System wurde nach Absprache mit der gematik festgelegt, dass Angriffe durch Regierungsorganisationen nicht relevant sind.„, steht wortwörtlich im oben verlinkten PDF-Dokument. Bekannt gemacht hat dies dankenswerterweise die Redaktion von ZEIT Online.
Datenaustausch erleichtert die Behandlung von Kranken
Dabei haben die Pläne durchaus ihre Vorzüge. Denn mithilfe des neuen Systems können Mitarbeiter von Labors oder Krankenhäusern, Haus- und Fachärzte Diagnosen, Laborberichte, Röntgenbilder und vieles mehr austauschen. Doch die ePA-Daten sind wirklich sehr intim. Sie sollten keinesfalls in die Hände Dritter fallen.
Elektronische Patientenakte ist unzureichend abgesichert
Das Frauenhofer SIT zog in seiner Analyse das Fazit, dass die Systemarchitektur „mit besseren technischen und organisatorischen Maßnahmen gegen Innentäter abgesichert werden muss.“ Soll heißen: Man müsse vor Einführung der ePA dafür sorgen, dass nur die Personen die Dokumente einsehen können, die intern dafür vorgesehen sind. Unter Punkt 6.18 beschreibt man außerdem den Misstand, dass es „keine Maßnahmen gegen Click-Tap-Jacking im Frontend“ gäbe. Und selbst das ist noch nicht alles, was bemängelt wurde.
Warum ist das für mich relevant?
Dass intime Daten geheim bleiben, ist für jeden wichtig. In der elektronischen Patientenakte kann aber zum Beispiel vermerkt sein, dass man an ADHS, Diabetes, Depressionen, Brustkrebs oder einer anderen Krankheit leidet, was möglichst niemand wissen sollte. Geheimdienste hingegen würden sich über derart gezielte Informationen sicher sehr freuen.
Sie könnten mithilfe der ePA viele Rückschlüsse ziehen, um Personen besser kennen zu lernen, die sie überprüfen, anwerben oder erpressen wollen. Auch gäbe es, wie ZEIT ONLINE es so schön skizziert, die Möglichkeit, den Ruf bekannter Persönlichkeiten zu zerstören, indem man ihre Krankengeschichte veröffentlicht. Möglich wäre für die Schlapphüte vieles, geschützt werden soll leider umso weniger. Stellt sich also die Frage, was sich das Bundesgesundheitsministerium eigentlich dabei gedacht hat…
