Das digitale Gesundheitsdatennetzwerk für Ärzte, Kliniken und Krankenkassen weist schon vor dem Start der elektronischen Patientenakte große Sicherheitslücken auf. Das zeigen Recherchen des Chaos Computer Clubs (CCC), von SPIEGEL und NDR.
Die IT-Experten des CCC entdeckten unter anderem ein Datenleck bei einem Anbieter für die elektronischen Chipkarten, mit denen sich Ärzte und Praxen Zugang zu dem verschlüsselten Netzwerk verschaffen können. So waren allein an einem Tag im Oktober die persönlichen Daten von 168 Ärzten, die offenbar in den beiden Wochen zuvor ihren Antrag auf den elektronischen Arztausweis gestellt hatten, frei im Internet zugänglich. Weitere Recherchen von SPIEGEL und NDR zeigen, dass sich der elektronische Arztausweis mithilfe dieser Daten auch von Unbefugten erschleichen ließ.
Die sogenannte Telematikinfrastruktur (TI) soll das Gesundheitssystem vernetzen und demnächst auch Zugriff auf elektronische Patientenakten ermöglichen. Zugang zu diesem speziell gesicherten Netzwerk sollen nur befugte Teilnehmer wie Ärzte oder Praxen über besondere Chipkarten bekommen. Den IT-Experten des CCC ist es gelungen, alle drei relevanten Karten – einen Arztausweis, einen Praxisausweis und eine elektronische Gesundheitskarte – jeweils über einen Dritten zu bestellen und an eine Wunschadresse liefern zu lassen. Auch konnten sie einen sogenannten Konnektor im Internet ordern. Das Spezialgerät, das eigentlich nur an Befugte ausgegeben werden soll, dient dazu, die Verbindung zur TI herzustellen.
Die Gematik GmbH, zuständig für Aufbau und Sicherheit der TI, bezeichnet die aufgedeckten Schwachstellen als »nicht hinnehmbar«. Man wolle nun auf den CCC zugehen, um die Sicherheit der TI »weiter zu optimieren«. Da aktuell noch keine Behandlungsdaten gespeichert würden, seien derzeit aber keine Patientendaten in Gefahr.
