CCC warnt vor Sicherheitslücken

Lauterbach: ePA erst bei „Hacker-Sicherheit“ Lilith Teusch, 04.01.2025 19:01 Uhr

Der CCC hatte Ende Dezember vor Sicherheitslücken in der ePA gewarnt, auf X meldet sich nun Karl Lauterbach zu Wort. Foto: Andreas Domma
Berlin - 

Der Chaos Computer Club (CCC) sorgte vergangene Woche für Aufsehen: Auf einem Kongress zeigten Sicherheitsforscher, wie einfach auf Gesundheitsdaten der elektronischen Patientenakte (ePA) zugegriffen werden kann. Nun äußerte sich auch Bundesgesundheitsminister Karl Lauterbach (SPD) auf X: Die ePA werde erst kommen, wenn „alle Hackerangriffe“ unmöglich seien. 

Zum Jahreswechsel hat der CCC erneut auf gravierende Sicherheitslücken in der elektronischen Patientenakte (ePA) hingewiesen. Auf dem 38. Kongress des CCC wurden Schwächen in den Ausgabeprozessen, Beantragungsportalen und im praktischen Umgang mit Gesundheitskarten aufgezeigt. Die Sicherheitsforschenden demonstrierten, wie mit geringem Aufwand Gesundheitsdaten Dritter kompromittiert oder Zugriffe auf Patientenakten ermöglicht werden können.

Die Warnungen des CCC wurden diese Woche von vielen Medien aufgegriffen. Mit Verweis auf einen zu diesem Thema erschienenen Artikel im Spiegel erklärte Karl Lauterbach (SPD) auf der Social-Media-Plattform X: „Artikel ist kritisch, aber fair. Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind. Daran wird schon länger gearbeitet.“ Er fügt auch hinzu: „Wir brauchen die Digitalisierung für eine bessere Medizin und Forschung.“

Die Gematik hatte bereits auf die Hinweise und Forderungen der IT-Expert:innen reagiert: „Die vom CCC vorgestellten Angriffsszenarien auf die neue ePA wären technisch möglich gewesen, die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen.“ Sie verweist auf Maßnahmen wie zusätzliche Verschlüsselung und Monitoring, die vor dem bundesweiten Rollout umgesetzt werden sollen. Die Gematik betont die Zusammenarbeit mit Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), das bereits Lösungen zur Verhinderung von Angriffen entwickelt habe.