Gravierende Sicherheitslücke bei der ePA
Nur einen Tag nach dem bundesweiten Roll-out der elektronischen Patientenakte (ePA) wird erneut eine gravierende Sicherheitslücke bekannt. Trotz mehrfacher Beteuerungen der gematik und des Bundesgesundheitsministeriums, dass die ePA höchsten Sicherheitsstandards genüge, zeigen die Enthüllungen von IT-Sicherheitsexperten ein anderes Bild: Die Datensicherheit ist nicht gewährleistet – und das Vertrauen der Bevölkerung sowie der Zahnärzte in diese Anwendung steht auf dem Spiel.
Die Kassenzahnärztliche Vereinigung (KZVWL) und die Zahnärztekammer in Westfalen-Lippe (ZÄKWL) erneuern daher mit Nachdruck ihre Forderung: Es braucht endlich eine unabhängige und externe Überprüfung aller sicherheitsrelevanten Aspekte der Telematikinfrastruktur und insbesondere der ePA.
„Es ist ein schwerwiegendes Versäumnis, wenn Sicherheitslücken erst durch den Hinweis von Hackern öffentlich werden und nicht durch professionelle Vorabprüfungen ausgeschlossen sind“, kritisiert Michael Evelt, stellvertretender Vorstandsvorsitzender der KZVWL. Er ergänzt: „Das Gesundheitswesen ist kein Experimentierfeld für unausgereifte Softwarelösungen. Wir brauchen endlich einen professionellen, dem Wert der Daten angemessenen Umgang mit digitalen Anwendungen – und das heißt vor allem: unabhängige Prüfverfahren vor dem Roll-out, nicht danach.“
„Die Einführung digitaler Anwendungen im Gesundheitswesen muss sich an klaren Anforderungen hinsichtlich Funktionalität, Sicherheit und Praxistauglichkeit orientieren. Systeme wie die ePA müssen ab der flächendeckenden Einführung verlässlich und datenschutzkonform einsetzbar sein“, fügt Dr. Gordan Sistig, Präsident der ZÄKWL, hinzu.
Die beiden Körperschaften verweisen auf ihre bereits im Vorfeld geäußerten Bedenken und unterstützen ausdrücklich die Forderung des Chaos Computer Clubs nach vollständiger Offenlegung und unabhängiger Bewertung sicherheitsrelevanter Komponenten. Dass mit der ePA über sogenannte Ersatzbescheinigungen vereinzelt auf sensible Gesundheitsdaten zugegriffen werden konnte, belegt den unzureichenden Schutz trotz aller gegenteiligen Beteuerungen der Betreiberseite.
Die zentralen Forderungen von KZVWL und ZÄKWL im Überblick:
- Unabhängige und externe Sicherheitsprüfung der ePA und Telematikinfrastruktur durch Fachgremien ohne wirtschaftliche Verflechtungen mit gematik oder BMG.
- Verbindliche Sicherheitsfreigabe durch BSI und Bundesdatenschutzbeauftragte, bevor eine verpflichtende Einführung erfolgt.
- Aussetzung der Verpflichtung für Leistungserbringer, solange keine uneingeschränkte Sicherheit und Usability gewährleistet ist.
- Keine Sanktionen – Digitalisierung darf nicht zur Belastung werden.
KZVWL und ZÄKWL betonen erneut: Die Digitalisierung des Gesundheitswesens ist eine gesamtgesellschaftliche Chance. Aber sie darf nicht um den Preis der Datensicherheit und des Vertrauens verspielt werden.
Quelle: KZVWL
