Jusos Potsdam-Mittelmark

Der Landesdelegiertenkonferenz möge beschließen:

Keine “ePA für alle”, solange sie nicht sicher ist

Die SPD-Bundestagsfraktion wird aufgefordert, das Ausrollen der elektronischen Patientenakte, insbesondere aber der sogenannten opt-out Variante, zu pausieren, bis volle Transparenz hergestellt und die Sicherheitsbedenken ausgeräumt wurden.

Bianca Kastl und Martin Tschirsich haben auf dem 38C3 gravierende Fehler und daraus resultierende Sicherheitsrisiken auf mehreren Ebenen der ePA aufgezeigt. Dabei handelte es sich teilweise um “Angriffe”, welche den Aufwand von einem oder zwei Telefonaten, teilweise sogar einfach eines Einkaufs auf “Kleinanzeigen” hatten. So war es auf fast schon primitive Art und Weise möglich, auf bis zu 1.500 ePA mit einer Lese-, Schreib- und Löschberechtigung zuzugreifen. Einige der Methoden hätten dabei selbst einem Laien offengestanden. Sogar eine Methode, welche den Zugriff auf alle elektronischen Patientenakten ermöglicht, wurde gefunden.

Einige der Sicherheitslücken waren den Verantwortlichen teils seit Jahren bekannt und wurden nicht geschlossen, teilweise sogar erweitert. So ist es einfacher geworden, Versichertenkarten in fremdem Namen zu bestellen und zu nutzen. Durch diese Lücke wird mit einem Aufwand von gut 10 Minuten der Zugriff mit Lese- und Löschberechtigung auf einzelne ePA möglich.

Hinzu kommt die chronische Unterversorgung deutscher Arztpraxen und Krankenhäuser, wenn es um Cyber- und IT-Sicherheit geht. Dies ermöglicht den teilweise sehr leichten Zugriff auf die bereits im System vorhandenen Patientenakten.

Solange die vorhandenen Sicherheitslücken nicht geschlossen werden und keine echte Transparenz bezüglich der Sicherheitssituation hergestellt wird, darf die ePA nicht zur Quasi-Pflicht werden. Die gespeicherten Daten sind zu empfindlich, als dass irgendein reales Risiko eingegangen werden darf.