Laut Tschirsich könnten sich Kriminelle durch die Schwachstellen umfassenden Zugang zu sensiblen Gesundheitsdaten verschaffen. Mehr als 70 Millionen Bundesbürger sollen in den kommenden Wochen die elektronische Patientenakte erhalten, in der Diagnosen, Arztbriefe, Medikationen und sonstige Gesundheitsdaten zentral erfasst werden. Tschirsich zufolge hat der CCC nachgewiesen, "dass Angreifern der Zugriff auf sämtliche digitalen Patientenakten möglich wäre".

Bereits im August 2024 habe er die Manipulationsmöglichkeiten der Agentur Gematik mitgeteilt, so Tschirsich. Als "Nationale Agentur für Digitale Medizin" ist die Gematik zuständig für die Telematik-Infrastruktur, also die sichere Vernetzung der medizinischen Versorgung innerhalb Deutschlands. Im Dezember 2024, so Tschirsich weiter, habe er die Sicherheitslücken praktisch demonstriert, kurz vor einer geplanten Veröffentlichung der Erkenntnisse beim CCC-Kongress in Hamburg.

Darauf habe Gesundheitsminister Karl Lauterbach den CCC über sein Büro kontaktiert und "sehr dringlich" um ein persönliches Gespräch gebeten, sagte Tschirsich. Bei einer Videokonferenz am 20. Dezember hätten die Vertreter des CCC jedoch keine Gelegenheit gehabt, ihre Bedenken vorzubringen und auf weitere Sicherheitsmängel einzugehen.

"Er hat uns zu verstehen gegeben, dass diese Akte kommt - komme was wolle, so unser Eindruck", sagte Tschirsich. Lauterbach habe ihnen mitgeteilt, dass die elektronische Patientenakte am 15. Januar eingeführt werde, "auch ohne die von uns kritisierten Ursachen für mögliche Angriffe zu beheben". Es würden jedoch Maßnahmen entwickelt, um einen groß angelegten Angriff zu erschweren.

Das Bundesgesundheitsministerium teilte auf Anfrage des "Stern" mit, das vom CCC im Dezember präsentierte Angriffsszenario sei "in dieser Kombination neu" gewesen. "Darauf haben sowohl das Bundesgesundheitsministerium wie auch die Gematik direkt reagiert", so ein Sprecher. "Diese neue Sicherheitslücke wird derzeit technisch aufgelöst und ist bis zum Start der ePA in Deutschland behoben. Die ePA für alle geht nicht ans Netz, bevor solche Risiken für den massenhaften Angriff nicht ausgeschlossen sind." In der Pilotphase sei das Angriffsszenario des CCC nicht relevant, weil nur für die Testphase registrierte Ärzte Zugriff auf Patientenakten im Behandlungskontext hätten.

Auch die Gematik teilte auf Anfrage mit, das Angriffsszenario des CCC sei bis Dezember unbekannt gewesen und habe "eine neue Risikobetrachtung notwendig gemacht". Die Gematik habe die Punkte des CCC mit einem Maßnahmenpaket adressiert. Nach Umsetzung der Maßnahmen stehe dem bundesweiten Rollout nichts entgegen.

Quelle: dts Nachrichtenagentur