Im Januar 2021 soll die elektronische Patientenakte (ePA) starten. Das führt zu einer engeren Vernetzung von Arztpraxen, Krankenhäusern und auch Apotheken. Allerdings ist das alles andere als unproblematisch, denn laut Untersuchungen der öffentlich-rechtlichen BR und NDR gibt es da immer noch schwere Sicherheitslücken.
Eine Telematik-Infrastruktur für die ePAS wurde innerhalb der letzten Jahre aufgebaut. Benötigt werden dafür in Praxen, Krankenhäusern und Apotheken sogenannte TI-Konnektoren. Das sind spezielle Geräte, die grob mit Routern vergleichbar sind. Genau jene Geräte können aber zu Einfallstoren werden. In etwa 200 Fällen waren Konnektoren offen über das Internet erreichbar, so hat es jedenfalls die Untersuchung ergeben. Selbst für wenig versierte Nutzer wäre es möglich gewesen, die Konnektoren aufzuspüren.
In ca. 30 Fällen hätten Angreifer der Telematik-Infrastruktur vortäuschen können, eine legitime Arztpraxis zu sein, um Zugriff auf alle Patientendaten der Praxis zu bekommen – ganz ohne weiteren Passwortschutz. Das stellt eine Gefahr für tausende von Patienten dar. Die Betreiber der Telematik-Infrastruktur, Gematik, führen das Problem auf falsch angeschlossene Konnektoren zurück. Man habe seine Partner eindringlich auf das Missbrauchspotenzial hingewiesen. Anfang Dezember seien die meisten Probleme in Praxen behoben gewesen – alle aber wohl nicht.
Da gibt es zusätzlich ein zeitliches Problem: Frühestens im Januar solle es eine neue Richtlinie der Kassenärztlichen Bundesvereinigungen für IT-Sicherheitsanforderungen in Praxen geben. Sie soll etwa auch regeln, dass nur zertifizierte Fachleute die Telematik-Konnektoren anschließen. Einige zentrale Anforderungen der Richtlinie könnten sogar erst ab 2022 greifen. Das kommt daher, dass es Widerstand durch die Ärzte gab, die zusätzliche Kosten scheuen. Stattdessen wünschte man sich die bestehende Elektronische Arztvernetzung als Alternative zur Telematik-Infrastruktur. Auch jene weist aber schwere Sicherheitslücken auf und ist daher keine sinnvolle Alternative.
Ergebnis: IT-Sicherheit wird da offenbar nicht sonderlich genau genommen, und erst wenn der Schaden da ist, wird das Geschrei aus der Politik vermutlich groß sein. Das Bundesgesundheitsministerium will die ePA jedenfalls planmäßig einführen.