Arzt für Allgemein-, Sport- und Ernährungsmedizin

Aktuelle Diskussion über die SIcherheit der Patientenakte (Quelle aend.de)

Als „ambitioniert“ bewertete IT-Sicherheitsexperte Martin Tschirsich, Mitglied im Chaos Computer Club (CCC), am Freitag in Berlin den Start der elektronischen Patientenakte im Januar 2021. Gematik-Sicherheitsexperte Holm Diening hielt dagegen.

„Die Akte ist unser Masterpiece. Die Anstrengungen, die wir unternommen haben, um sie sicher zu kriegen, sind schon unglaublich“, sagte Diening bei einer Podiumsdiskussion im Rahmen des Deutschen Krebs Kongresses am Freitag in Berlin.

Der CCC hatte allerdings zuvor Sicherheitslücken im Umfeld der Akte gefunden. Die Schwachstelle lag bei der Herausgabe von Schlüsseln (der änd berichtete). Diening räumte ein, dass die Gematik vom Ergebnis des CCC „ziemlich geschockt“ war. „Wir haben uns gefragt: Warum haben wir diese Respektsgrenzen eingehalten? Warum sind wir in diesen Bereich nicht eingetaucht?“, sagte Diening. Der Gematik-IT-Experte zieht daraus den Schluss: „Man muss eben nicht nur die Akte sicher machen, sondern auch das gesamte Umfeld, das darauf zugreift.“ Das habe der Gesetzentwurf nun definiert. „Aber tätig waren wir vorher schon“, so Diening. Es habe nicht der Regelungen im Entwurf zum Patientendatenschutzgesetz bedurft, um die Akte zu schützen.

Die Vorgaben für den Bau der Akte sind Diening zufolge sicher genug. „Nichts was die Akte betrifft, ist noch schnell sicherheitstechnisch nachgestrickt worden“, sagte der Gematik-Experte. „Die Akte selber ist safe, und muss auch nicht wegen dieser Vorfälle nochmal angefasst werden. Die Fehler lagen ja woanders“. Das Umfeld müsse man sich nun noch einmal ansehen.

Diening stritt nicht ab, dass es keine hundertprozentige Sicherheit gebe. „Ja, das ist so“, sagte er. Entscheidend sei, diese kleine Lücke zu challengen. „Ich bin dem CCC extrem dankbar.“

CCC verschnupft über Spahn

Der CCC ist dagegen über die Einladung von Bundesgesundheitsminister Jens Spahn (CDU), die ePA zu „challengen“ und Schwachstellen zu finden, reichlich verschnupft. „Der CCC lässt sich nicht einspannen als Gehilfe für irgendetwas. Wir haben die Hand gereicht – als Projektteam, das sich mit dieser Akte auseinander gesetzt hat, aber nicht als CCC“, stellte Martin Tschirsich, IT Sicherheits-Experte und Mitglied des Chaos Computer Clubs klar. Spahn habe die gereichte Hand praktisch am Arm gepackt. „Das war ein Schritt zu weit“, so Tschirsich.

Der Hacker und IT-Sicherheitsexperte räumte ein, dass die ePA selbst gut geschützt sei. Doch es habe sich gezeigt, dass es im bestehenden Prozess Defizite gab. Die seien angegangen worden. Jetzt müsse man noch einmal ehrlich diskutieren. „Ich halte das Datum 1.1.2021 persönlich für sehr ambitioniert“, sagte Tschirsich. Er mahnte: „Sicherheit lässt sich nicht beschleunigen.“

Problem: Verteilte Verantwortlichkeiten

Tschirsich meint, dass Fehler im Umfeld der Akte, wie sie der CCC ausfindig gemacht hat, deutlich schwieriger zu finden seien als technische Fehler in der Akte selbst. Das sei ein strukturelles Problem der Informationssicherheit und nicht nur der IT-Sicherheit – und damit schwieriger zu beheben als technische Fehler. Um solche Fehler festzustellen, müsse man sich in die Spezifikationen einarbeiten. Im Fall des Fehlers, den der CCC gefunden hat, habe das drei Monate gedauert. „Das ist eine langwierigere Geschichte. Ich stimme nicht zu, dass man das schnell lösen könnte“, sagte der IT-Sicherheitsexperte.

Dass dieser Fehler nicht aufgefallen sei, liegt Tschirsich zufolge daran, „dass diese Prozesse nicht in der Hand eines Verantwortlichen lagen, sondern dass es verteilte Verantwortlichkeiten gab“. Tschirsich hofft, dass er nicht noch einmal einen Schlüssel bekommt. „Wenn ein zweiter Versuch gelingt, dann hoffentlich durch jemanden, der beauftragt wurde, das zu tun.“ Er appellierte an die Verantwortlichen, offen mit Risiken umzugehen. Es sei falsch, zu sagen, dass die ePA hundertprozentig sicher sei. Stattdessen sollte Transparenz über Sicherheitsmaßnahmen hergestellt werden, forderte er.