Offener Brief mit 28 weiteren Organisationen

ePA: CCC appelliert an Lauterbach Katharina Brand, 15.01.2025 12:13 Uhr

Forderung an Lauterbach: Der CCC und 28 Organisationen fordern Transparenz, Sicherheit, Mitbestimmung und einen schrittweisen, offenen Entwicklungsprozess der ePA. Foto: Andrea Gaitanides/stock.adobe.com
Berlin - 

Heute startet der deutschlandweite Rollout der „ePA für alle“. Anlass genug für den Chaos Computer Club (CCC) gemeinsam mit 28 weiteren Organisationen Bundesgesundheitsminister Karl Lauterbach (SPD) in einem offenen Brief dazu aufzufordern, Transparenz in den Entwicklungs- und Sicherheitsprozess der ePA zu bringen und die aufgedeckten Schwachstellen zu beheben.

Die ePA ist nicht sicher: Das haben die CCC-Expert:innen Bianca Kastl und Martin Tschirsich auf dem 38. Chaos Communication Congress (kurz: 38C3) demonstriert und dabei zentrale Sicherheitsprobleme der ePA offengelegt. In Folge dessen haben sich laut der Organisation „viele Experten aus dem Gesundheitswesen erschüttert über die Analyse und die demonstrierten technischen und organisatorischen Mängel gezeigt.“

Die darin angesprochenen Probleme sind den Verantwortlichen laut CCC seit Jahren bekannt, werden jedoch bisher nicht ausreichend adressiert. Sie appellieren deshalb für eine Offenlegung der technischen Details und Sicherheitsbewertungen der ePA. „Unabhängige Sicherheitsforschende müssen Zugang zu relevanten Unterlagen erhalten, um den aktuellen Stand der ePA objektiv bewerten zu können“, fordern sie.

Die ePA in ihrem aktuellen Zustand auszurollen, ist angesichts ihrer besorgniserregenden Sicherheitsprobleme eine falsche Entscheidung. Denn die Behauptung, dass die ePA sicher ist, trifft nicht zu. Dass Bundesgesundheitsminister Karl Lauterbach dies wahrheitswidrig und unverfroren behauptet, leugnet die belegten und beweisbaren Schwachstellen.

Calvin Baus, Sprecher des CCC

Offener Brief an Lauterbach

Jetzt hat der CCC gemeinsam mit 28 weiteren Organisationen aus dem Gesundheitswesen und der Zivilgesellschaft – darunter Ärzte- und Bundesverbände, die Aidshilfe und der Verbraucherzentrale Bundesverband – einen offenen Brief an Lauterbach formuliert. „Wir sind überzeugt, dass Deutschland und Europa eine gut gemachte digitale Infrastruktur des Gesundheitswesens benötigen und eine patient:innenorientierte ePA dazu einen wesentlichen Beitrag leisten kann“, zeigen sich die Verfasser überzeugt. Sie weisen Lauterbach auf die Sicherheitslücken der ePA und ihrer zugehörigen Infrastruktur hin, die der CCC Ende 2024 auf der 38C3 präsentiert hat: „In Kombination hätten diese Lücken Unbefugten einen Vollzugriff auf die Patient:innenakten aller 70 Millionen gesetzlich Versicherten erlaubt. Darüber hinaus sind wesentliche Schwächen im Umfeld der ePA weiterhin ungelöst, zum Beispiel Prozesse der Ausgabe von Gesundheitskarten.“

„Alle berechtigten Bedenken müssen vor einem bundesweiten Start der ePA glaubhaft und nachprüfbar ausgeräumt werden. Die nun gefundenen Sicherheitslücken zu schließen, ist dafür eine grundlegende Voraussetzung, aber alleine nicht ausreichend.“

Auszug aus dem offenen Brief an Bundesgesundheitsminister Karl Lauterbach (SPD)

Das sind die Forderungen

Zwar begrüßen die Unterzeichnenden die Bereitstellung einer Testinstanz und die Einführung einer Testphase, da nur so Sicherheitslücken frühzeitig identifiziert und ein Datenleck verhindert werden konnten. Eine öffentliche Begutachtung durch Wissenschaft, Zivilgesellschaft und unabhängige Expert:innen sei allerdings essenziell, um Risiken rechtzeitig zu beheben und das Vertrauen in die ePA zu stärken. Aus Sicht der Unterzeichnenden sind deshalb folgende Maßnahmen für den langfristigen Erfolg entscheidend:

  • Sicherheit: Start in Modellregionen nur mit zusätzlichen, transparent kommunizierten Sicherheitsmaßnahmen.
  • Beteiligung: Substanzielle Einbindung von Patientinnen, Ärztinnen und digitaler Zivilgesellschaft mit echtem Mitspracherecht.
  • Bewertung: Veröffentlichung von Quelltexten, Bereitstellung von Testumgebungen und rechtlich abgesicherte Sicherheitschecks.
  • Transparenz: Offenlegung von Vorteilen und Risiken; neutrale Information durch Krankenkassen.
  • Weiterentwicklung: Berücksichtigung von Kritik und kontinuierlicher Entwicklungsprozess für größtmöglichen Nutzen.