Sicherheitsalarm bei der ePA: Hacker finden erneute Schwachstellen!

Deutschland - Am 30. April 2025 hat Bundesgesundheitsminister Karl Lauterbach eine ernüchternde Mitteilung über Sicherheitslücken in der elektronischen Patientenakte (ePA) gemacht. Der Minister bestätigte, dass die neue Sicherheitsmaßnahme der ePA nach ihrem Start offenbar erfolgreich umgangen wurde. Lauterbach äußerte seinen Dank an die gematik, die für die ePA verantwortlich ist, für ihr schnelles Handeln zur Schließung der Sicherheitsschwächen. Das berichtet der Tagesspiegel.

Ein Bericht des „Spiegel“ hat die unzureichenden Sicherheitsvorkehrungen der ePA in den Fokus gerückt. Ethik-Hacker des Chaos Computer Clubs (CCC) hatten eine neu hinzugefügte Schutzmaßnahme überwunden und die Behörden darüber informiert. Die gematik war bereits vor der Veröffentlichung der Ergebnisse des Berichts informiert worden. Der Minister wies darauf hin, dass eine neue Sicherheitsvorkehrung installiert wurde, um die vorher identifizierten Schwachstellen zu schließen. Diese Maßnahme wurde jedoch nun ebenfalls als nicht ausreichend wirksam eingestuft.

Kritik an den Sicherheitsvorkehrungen

Kritiker, darunter auch CCC-Experten, hatten vor einer übereilten Einführung der ePA gewarnt. Bereits im Dezember 2022 hatten Sicherheitsforscher gravierende Mängel im System demonstriert. Außerdem befürchten Experten, dass die ePA nicht die von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) geforderten Sicherheitsstandards erfüllt. Laut Apotheken Umschau wurde ein neuer Sicherheitsmechanismus als „nachgewiesen wirkungslos“ bezeichnet. Trotz dieser alarmierenden Berichte hat die gematik keine Hinweise auf unbefugten Zugriff auf die ePA gemeldet, was laut Experten umstritten bleibt.

Cyberkriminalität stellt eine ernsthafte Bedrohung für das Gesundheitswesen dar. Laut ITSicherheit-Online zielen immer mehr Angriffe auf Kliniken und Gesundheitsdienstleister ab, insbesondere auf sensible Patientendaten und vernetzte Medizingeräte. Ein erfolgreicher Cyberangriff könnte nicht nur hohe finanzielle Schäden verursachen, sondern auch die Sicherheit von Patient:innen gefährden.

Die Einführung der ePA wurde zuvor von Lauterbach als zeitlich bestimmt angekündigt, nachdem alle Hackerangriffe technisch unmöglich gemacht wurden. Der Minister hatte auf die Wichtigkeit einer soliden digitalen Infrastruktur im Gesundheitssektor hingewiesen. Dennoch zeigt die aktuelle Situation, dass auch diese neue Maßnahme nicht die erhoffte Sicherheit bieten kann. Es bleibt zu hoffen, dass die gematik weitere Schritte unternimmt, um die ePA-sensiblen Daten zu schützen und das Vertrauen der Bevölkerung in die digitale Gesundheitsversorgung nicht weiter zu untergraben.