Rückblick: Fehlentscheidungen im Gesundheitssystem
Im vergangenen Jahr haben die Sicherheitsexpertinnen Bianca Kastl und Martin Tschirsich auf dem Chaos Communication Congress gravierende Mängel in der elektronischen Patientenakte (ePA) offengelegt. Die Analyse zeigte, dass Angreifer bereits ohne physische Gesundheitskarte Zugriff auf sensible Patienteninformationen erlangen konnten – ein beunruhigender Befund, der die grundlegenden Prozesse der Identifikation und Authentifizierung in Frage stellt.
Technische Schwachstellen im Detail
Ein zentrales Problem liegt im Versichertenstammdaten‑Management (VSDM), das sowohl für die ePA als auch für das E‑Rezept genutzt wird. Durch Manipulation des VSDM‑Servers konnten falsche Nachweise erzeugt werden, die vorgaben, eine gültige elektronische Gesundheitskarte sei vor Ort. Mit diesem Trick ließen sich unberechtigt Gesundheitsdaten auslesen. Trotz öffentlicher Zusagen von Bundesgesundheitsminister Karl Lauterbach, die ePA "ohne Restrisiko" zu starten, wurden innerhalb weniger Tage weitere Angriffsmöglichkeiten identifiziert, die keine Kartenkarte, sondern Schwächen in Authentifizierungsabläufen ausnutzen.
Warum die Probleme bestehen bleiben
Nach Kastls Einschätzung hat das schnelle Vorgehen der Bundesregierung, gepaart mit legislativen Eingriffen wie dem Digital‑Gesetz von 2023, die Aufsichtskompetenzen von BfDI und BSI stark eingeschränkt. Diese Beschneidung der Aufsichtsbehörden erschwert die konsequente Nachverfolgung und Behebung von Sicherheitslücken. Zudem wird kritisiert, dass die Gematik lediglich "mit viel Gaffa Tape" improvisierte Lösungen implementierte, ohne die strukturellen Defizite nachhaltig zu beseitigen.
Ausblick: Die staatliche EUDI‑Wallet
Die geplante digitale Brieftasche, die Bürger:innen sowohl online als auch offline ausweisen soll, steht bereits jetzt im Kreuzfeuer der Kritik. Kastl warnt davor, dass die Entwicklung der EUDI‑Wallet den gleichen ungünstigen Pfad wie die ePA einschlagen könnte. Ohne robuste Identifikations‑ und Authentifizierungsmechanismen riskiert das Projekt, zu einem weiteren Ansatzpunkt für Cyberkriminelle zu werden.
Wichtige Lehren für die Zukunft
Die zentrale Botschaft lautet: Technische Sicherheit darf nicht dem politischen Zeitplan untergeordnet werden. Nur ein konsequenter, transparent überwachter Entwicklungsprozess, bei dem Datenschutzbehörden vollen Handlungsspielraum behalten, kann das Vertrauen der Bürger:innen in digitale Gesundheitslösungen sichern. Andernfalls droht ein Teufelskreis aus wiederholten Fehlkonzeptionen, die nicht nur den Datenschutz, sondern auch die Akzeptanz digitaler Angebote gefährden.
