„ePA im Blindflug“

Kommentar von Dr. Gerd W. Zimmermann

Wie es scheint, wird die bundesweite Einführung der elektronischen Patientenakte (ePA) zu einem Prestigeprojekt, mit dem sich der vermutlich scheidende Gesundheitsminister Lauterbach „um jeden Preis“ schmücken möchte. Nur so sind die völlig diskrepanten Problemschilderungen des Chaos Computer Clubs (CCC), des Bundesgesundheitsministeriums (BMG) und nun auch der Kassenärztlichen Bundesvereinigung (KBV) zur gleichen Thematik zu deuten.

Nach Auffassung des CCC sind die aufgedeckten Sicherheitslücken systematisch, sodass der Prozess, in dem diese Akte entstehen soll, zwangsläufig nicht zu einer sicheren, vertrauenswürdigen digitalen Gesundheitsakte führen kann. Das ist deutlich, zumal CCC konkrete Beispiele dafür benennt, wie man sich ohne größere Anstrengung Zugriff auf die Karte verschaffen kann. Kritisch sei dabei insbesondere die Vielzahl an Beteiligten im System, von Krankenkassen und Gesundheitsinstitutionen bis hin zu technischen Dienstleistern, die alle Zugriffsmöglichkeiten auf unterschiedliche Ebenen der ePA haben. So sei es gelungen, mit einem einfachen Anruf bei einer Krankenkasse Gesundheitskarten auf falsche Identitäten ausstellen zu lassen, wodurch ein direkter Zugang zur Patientenakte ohne weitere Sicherheitsprüfungen ermöglicht würde. Demgegenüber klingt eine Stellungnahme des Bundesgesundheitsministers vom 09.01.2025 eher verharmlosend. Die Daten der Bürger sind sicher vor Hackern, meinte man dort, was stark an ein Versprechen erinnert, das einmal ein Sozialminister zur Rentenzahlung gemacht hat.

Die Probleme, die CCC geschildert habe, wären alle bereits für die Pilotphase gelöst und würden für den Rollout noch von dieser Bundesregierung gelöst werden. Könnte man unterstellen, dass eine so klare Aussage doch wohl fundiert sein muss, wäre eine weitere Beschäftigung mit dem Thema überflüssig. Liest man eine Stellungnahme der KBV zum Problemkreis vom 10. Januar 2025 aufmerksam durch, drängt sich allerdings die Frage auf, ob alle Beteiligten, die sich jetzt zu Wort melden, von der gleichen Sache reden.

Zum Start der ePA in den Modellregionen am 15. Januar soll nach Auskunft der KBV eine Liste der dort teilnehmenden und damit zugriffsberechtigten Praxen, Apotheken und Krankenhäuser technisch in die Aktensysteme eingebracht werden, damit sichergestellt werden könne, dass tatsächlich nur die in der Modellregion teilnehmenden Leistungserbringer auf die ePA der Versicherten zugreifen können. Bedenkt man, dass eine solche Selbstverständlichkeit jetzt erst und damit überhastet, umgesetzt werden soll, verspürt man ein gewisses Frösteln. Dies umso mehr, als für den Start des bundesweiten Rollouts weitere Maßnahmen geplant sind, die man bisher aber noch nicht kennt. Klar ist nur, dass die durch den CCC aufgedeckten technischen Sicherheitslücken (insbesondere der ePA-Zugriff ohne eGK - ICCSN-Angriff) vor dem bundesweiten Rollout geschlossen werden müssen, um die Sicherheit der ePA zu gewährleisten und das Vertrauen sowie die Daten der ePA-Nutzer nicht zu gefährden.

Hierzu sind aber offensichtlich umfangreiche Maßnahmen erforderlich, deren Ausmaß man im Moment aber überhaupt noch nicht abschätzen kann. So wird der (freie) Verkauf von TI-Komponenten, die für den Zugang zur TI benötigt werden, (jetzt erst) besonders kritisch gesehen und müsste folgerichtig unterbunden werden, wie etwa die Einstufung der SMC-B Karte als gewöhnlicher Teil der Praxisausstattung.

Arzt- und Psychotherapeutenpraxen müssten noch mehr als bisher auf den sicheren Umgang mit der eigenen Praxis-IT sensibilisiert werden. Keinesfalls dürfe ein unberechtigter Remote-Zugriff auf die Praxis-IT, zum Beispiel durch Ausnutzung von Sicherheitslücken, möglich sein, weil die IT-Sicherheitsrichtlinie der KBV (wer kennt die eigentlich) nicht konsequent umgesetzt würden. Den Praxen wird deshalb empfohlen, sich durch von der KBV zertifizierte Dienstleister unterstützen zu lassen. So sollte z.B. die Identität von Anrufern sorgfältig, gegebenenfalls durch Rückruf an eine hinterlegte Nummer, verifiziert werden. Wer schon einmal versucht hat, einen solchen Kontakt mit seinem Dienstleister aufzunehmen, wird sich durch eine solche Empfehlung ziemlich „veräppelt“ fühlen.

Fazit

Bedenklich bei der gesamten Darstellung ist, dass wie selbstverständlich das Problem der ePA bereits im Vorfeld auf die Praxen verlagert werden soll, obgleich noch nicht einmal zu den laufenden Prozessen eine Erstattung der Kosten, die den Praxen so entstehen, gewährleistet ist. Die gesamte, derart aufgestaute Sicherheitsproblematik rund um die ePA will die KBV nun am 23. Januar 2025 (also eine Woche nach dem Probestart) in einem Arbeitskreis ausführlich darstellen und diskutieren. Man darf gespannt sein!

10.01.2025, 18:12, Autor/-in: Dr. Gerd W. Zimmermann

ärztenachrichtendienst am 10. Januar 2025