Chaos Computer Club (CCC) bestätigt Befürchtungen zur Datensicherheit und erkennt Sicherheitslücken
Ohne Frage kann die Einführung einer patientengeführten Gesundheitsakte für Patienten und Ärzteschaft Vorteile im Behandlungsverlauf mit sich bringen. Mit Blick auf die nach wie vor bestehenden Sicherheitsmängel warnt die Kassenzahnärztliche Vereinigung Niedersachsen (KZVN) jedoch vor einer vorschnellen und auf politischen Druck vorangetriebenen kurzfristigen Einführung der „ePA für alle“ mit zentraler Datenspeicherung für 70 Millionen Bürger.
Der Chaos Computer Club (CCC) hat aktuell eindrucksvoll demonstriert, dass es professionellen Hackern mit vergleichsweise wenig Aufwand möglich ist, per Fernzugriff und mit Hilfe illegal beschaffter oder gefälschter Zugangsberechtigungen über eine unsicher konfigurierte Telematik-Infrastruktur (TI) bis in die zentrale Datenspeicherung der ePA vorzudringen. Die Folgen einer Offenlegung intimster Gesundheitsdaten wären für die Betroffenen unübersehbar und nachhaltig. Die ärztliche Schweigepflicht als Grundlage einer vertrauensvollen Arzt-Patienten-Beziehung wäre endgültig ausgehebelt.
Der Vorsitzende des Vorstandes der KZVN, Dr. Jürgen Hadenfeldt, schließt sich daher den Vorbehalten des CCC und namhafter Datenschützer inhaltlich an und fordert vor dem endgültigen Ausrollen der „ePA für alle“ eine unabhängige und belastbare Bewertung der Sicherheitsrisiken sowie eine transparente Kommunikation der Risiken gegenüber den Betroffenen. „Andernfalls könnte sich der Begriff „ePA für alle“ wörtlich gesehen als zutreffend erweisen, wenn neben Ärzten, Patienten und sonstigen berechtigten Gesundheitsinstitutionen auch wirtschaftlich Interessierte, Internet-Monopolisten und Kriminelle an die Daten gelangen würden!“ gibt Dr. Hadenfeldt zu bedenken.
Vor diesem Hintergrund reicht es nicht aus, dass die gematik GmbH erklärt, erkannte Sicherheitslücken durch ein mehrstufiges Sicherheitskonzept schließen zu wollen. Eine zentrale Datenspeicherung mit Tausenden von Zugriffsberechtigten wird immer Angriffsflächen bieten, die nur durch dezentrale Datenspeicherung einzugrenzen sind. „Insofern ist es nachvollziehbar, wenn Patienten im Rahmen der opt-out-Lösung derzeit bewusst der Einrichtung einer ePA widersprechen“, betont Dr. Hadenfeldt.
Quelle: KZVN