Vorweg
Die Antwort: Widersprechen. Die ePA ist nicht schlecht, sie ist nicht schlimm, aber sie ist noch sehr jung und muss sich aus unserer Sicht erst noch beweisen. Daher: Widersprechen und in einem Jahr, Ende 2025/Anfang 2026 erneut drüber nachdenken. Das gesagt, den Post lesen und verstehen :)
Ergänzung 30.12.
In den letzten Tagen fand, wie jedes Jahr zwischen Weihnachten und Sylvester, mit dem Chaos Computer Congress die größte Hacker Konferenz Europas statt. Wie zu erwarten war, hat sich eine Gruppe von Leuten mit der ePA befasst und ihre Ergebnisse geteilt. Im Rahmen des Vortrags wurde aufgezeigt, wie ein Angreifer erfolgreich Zugriff auf die entsprechende Infrastruktur, wie bereits 2019 aufgezeigt, und im Anschluss beliebige Patientendaten, ohne Zugriff auf die Krankenkarte, erlangen kann. In diesem Zuge wurde gleichzeitig nachgewiesen, dass Ärzte technisch keinen Zugriff auf die Krankenkarte eines Patienten benötigen, um auf beliebige Patientendaten zugreifen zu können. Die gematik, als Kopf hinter der ePA hat bereits eine Stellungnahme zum Thema veröffentlicht , laut derer unter anderem:
[...]die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen. Dazu zählen zum Beispiel die illegale Beschaffung eines Institutionsausweises (SMC-B Karte), der dazugehörigen PIN, der Vertrag mit einem Zugangsdienst und eine technisch komplexe Manipulation. Unberechtigte Zugriffe auf die ePA sind strafbar und können nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen.
Sie versteckt sich entsprechend hinter einer Komplexität, welche in meinem <1stündigen Vortrag verständlich dargelegt werden kann und der Tatsache, dass das ganze verboten ist. Leider deutet dies darauf hin, dass die gematik die Schwachstellen und entsprechend den Schutz der Patientendaten nicht ernst genug nimmt.
Security
Ein Vor- und gleichzeitig Nachteil der Arbeit im IT-Bereich ist das Vertrauen, dass man genießt. Wir sprechen dabei nicht über Computerreparaturen, sondern die Frage zu aktuellen Themen aus den Nachrichten, komischen eMails, SMS oder Chat Nachrichten. Die Einführung der elektronischen Patienten Akte ist ein nennenswertes Beispiel für eben diese Themen. “Ich habe da einen Brief von der Krankenkasse zur ePA bekommen, soll ich widersprechen oder nicht?”.
Während die Antwort, bereits einleitend steht und recht trivial ist, ist der Weg zu eben dieser Antwort genauso wichtig und kritisch, wie Aussage oder eher die Meinung selbst. Das aktuelle Abraten von der ePA basiert auf dem Konzept, einem gewissen Mangel an Transparenz und jahrelanger Erfahrung mit ähnlichen Systemen und Unternehmen, die eben solche Systeme erstellen und vertreiben.
Das Thema der Cyber Security oder Informationssicherheit oder Cyber Sicherheit oder wie man den Schutz von Computern, Webseiten, Daten und Systemen auch nennen möchte, ist noch recht jung. Wir sichern unsere Systeme erst seit 15-20 Jahren gegen Kriminelle oder Neugierige Leute, zu denen sich auch die Autoren dieser Aussage zählen. Gleichzeitig setzen wir jedes Jahr vollständig neue Technologien ein, welche immer neue Herausforderungen mit sich bringen. Für viele Unternehmen ist dabei das Thema Sicherheit bis heute mehr Theorie als Praxis. Zum einen wird die Notwendigkeit weiterhin unterschätzt, zum anderen sind ausgebildete Experten selten. Selbst Unternehmen, die offensichtlich ihr Bestes geben unterlaufen regelmäßig Fehler, welche bspw. Im Rahmen der Schufa App, des elektronischen Führerscheins, oder auch der Arztpraxis IT ihren Weg in die Presse gefunden haben. Weitere Beispiele sind schlicht den Nachrichten zu entnehmen, welche zwar selten über Schwachstellen sprechen, aber immer häufiger über die Ergebnisse von erfolgreichen Angriffen, welche wiederum Schwachstellen in Systemen oder Prozessen als Grundlage hatten.
Kommen wir endlich zur ePA selbst
Die zentrale Speicherung von Patientendaten hat und bringt viele, viele Vorteile mit sich. Wechselt ihr den Arzt, besucht eine Vertretung oder eine Notfallpraxis mitten in der Nacht, stehen eure Informationen direkt zur Verfügung. Der behandelnde Arzt sieht direkt eure Historie, laufende oder vergangene Behandlungen und welche Medikamente ihr zu euch nehmt. Entsprechend sollte alles besser und schneller laufen. Gleiches gilt für den direkteren Austausch zwischen Hausarzt und Fachärzten. Ob ihr euch damit wohlfühlt oder nicht, ist dabei eine andere Frage, die ganz bei euch persönlich liegt. Hier soll es um eine trockene, technische Betrachtung gehen. Der Zugriff bei den Ärzten direkt wird vermutlich auch weniger Probleme und Risiken mit sich bringen, da all diese Austausche und Kommunikation über ein sicheres Netz abgewickelt werden, es ist einfacher den Arzt selbst zu hacken als das Netz. Was sich in erster Linie ändert, ist die Zentralisierung der Informationen: Wird eine Arztpraxis gehackt, betrifft diese hunderte Patienten, dessen vollständige Krankenakte mit jeder Notiz des Arztes im Internet landen könnten. Wird ein zentrales System einer Krankenkasse oder eines anderen Anbieters einer ePA gehackt, sprechen wir über Millionen von Datensätzen von Millionen von Patienten und allen ihren Ärzten. Ein solches System ist also für einen Angreifer viel spannender als nur eine einzelne Arztpraxis, da sich damit schlicht viel mehr Geld verdienen lässt. Gleichzeitig wird eine solche Datenbank ggf. auch für fremde Länder interessant, da sich mit der Sammlung an Informationen sicherlich eine große Menge an Chaos anrichten lässt. Anders gesagt, malt sich ganz von selbst eine Zielscheibe auf den entsprechenden Datensatz, die wohl oder übel bei einem solchen Projekt immer dazu gehört.
Das Schadenspotential sollte jedem ersichtlich sein, sowohl für sich selbst, die eigene Familie und auch Freunde. Um diesem gerecht zu werden, sollte sichergestellt sein, dass das System dahinter ausgereift ist, und bei neuen Ideen ist dies nie am ersten Tag der Fall.
Hinweis: Die Tatsache, dass ein Produkt, Firma oder Lösung hier erwähnt wurde, ist keine Kritik. Irren ist menschlich, Fehler auch und beides gehört zum Leben dazu. Glücklicherweise gehört es genauso zum Leben dazu, dass man aus eben diesen Fehlern und Irrungen lernt, selbiges haben auch die gelisteten Referenzen getan. Dies ist jedoch, wie auch bei der ePA eine Frage der Zeit.
Widerspruch einlegen
AOK
Unterschiedlich, je nach Region. Details gibt es hier
Barmer GEK
Online unter diesem Link , benötigt jedoch den Code aus dem vermutlich bereits erhaltenen Brief oder per Post mit diesem Vordruck
DAK
Online über dieses Formular , benötigt ein Passwort, dass per Post gekommen ist, alternativ informell per Post oder im Servicezentrum.
Die Techniker
Entweder online nach Login hier oder formlos per Post.
IKK
Abhängig von der genauen Versicherung, bspw.:
- IKK Südwest
- Per IKK classic-App
Links zu Publikationen zur ePA
- https://www.heise.de/news/38C3-Weitere-Sicherheitsmaengel-in-elektronischer-Patientenakte-fuer-alle-10220617.html
- https://www.ccc.de/en/updates/2024/ende-der-epa-experimente
- https://www.gematik.de/newsroom/news-detail/aktuelles-stellungnahme-zum-ccc-vortrag-zur-epa-fuer-alle
- https://www.heise.de/news/Bundesaerztekammer-Chef-Einfallstore-bei-elektronischer-Patientenakte-zu-gross-10231172.html
Links zu Infrastruktur Zugriffen
- https://www.aerztezeitung.de/Wirtschaft/Sicherheitsluecken-bei-E-Arztausweis-und-SMC-B-aufgedeckt-405306.html
- https://e-health-com.de/details-news/ccc-hackt-bestellprozess-gematik-nimmt-stellung/
- https://media.ccc.de/v/36c3-10595-hacker_hin_oder_her_die_elektronische_patientenakte_kommt
Links zu vergangenen Sicherheitsvorfällen
Im obigen Text sind mehrere Beispiele angrissen worden, weitere Details gibt es hier.
Schufa & Bonify
- https://www.zdf.de/nachrichten/wirtschaft/sicherheitsluecke-schufa-bonify-app-mieterauskuenfte-100.html
- https://www.chip.de/news/Bonify-abgeschaltet-Sicherheitsluecke-in-Schufa-App_184884453.html