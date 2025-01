IT-Geräte für Arztpraxen einfach bei eBay kaufen

"Wenn zum Beispiel eine Praxis aufgelöst wird, kann sie ihre gesamte IT inklusive Kartenlesegeräten verkaufen." Kastl und Tschirsich konnten beim Gebrauchtwaren-Portal "Kleinanzeigen" Kartenlesegeräte kaufen. Auch bei eBay lassen sich solche Geräte finden. Aber nicht nur das: "Wir haben in diesen Geräten auch aktive Identitätskarten der Ärzte und PINs gefunden. So hatten wir tatsächlich Zugang zur Telematik-Infrastruktur." So hätten sie Patientenakten einsehen können.

Bildrechte: CCC Dass Praxis-Hardware gekauft werden kann – dafür könne man nicht allein den Ärztinnen und Ärzten die Schuld geben, sagt Kastl: "Daran ist auch die Infrastruktur mit Schuld. Es muss möglich sein, Karten zurückzuziehen. Wenn sich Ärztinnen abmelden, wie kann ich den Zugang zurückziehen?"



Die beiden IT-Sicherheitsexperten haben auch eine Lücke bei den Karten der Versicherten zeigen können. "Es ist nicht notwendig, diese Karte wirklich physikalisch einzustecken. Es reicht, dem Gerät die Nummer der Karte vorzuspielen, um Zugriff zur Akte bekommen." Weil es sich dabei um fortlaufende Nummern handeln würde, sei es letztendlich technisch möglich, auf alle elektronischen Patientenakten einer Krankenkasse zuzugreifen, sagt Kastl.

Die Nummer, die Kastl meint, ist die gleiche, die auf den Plastikkarten der Krankenkassen aufgedruckt ist und in Millionen deutscher Portmonees steckt. Sie reiche aus, um Zugang zur Akte zubekommen, sagt Kastl. Manche Experten vergleichen das damit, als würden Banken Zugangs-PINs auf EC- oder Kreditkarten drucken.

Bisher wenig Widerspruch gegen die ePA

Sollten Versicherte also der elektronischen Patientenakte widersprechen? Kastl sagt, sie persönlich habe nicht widersprochen. "Aber ich bin so mein Crash-Test-Dummy für alle Sachen der Telematik-Infrastruktur und will eigenes Testmaterial." Anderen Versicherten empfiehlt sie, erst einmal abzuwarten.

Bildrechte: TK Sachsen-Anhalt Deutschlandweit haben bislang nur wenige Menschen der elektronischen Patientenakte widersprochen. Bei der Krankenversicherung mit den meisten Mitgliedern, der Techniker Krankenkasse (TK), haben nach deren Angaben etwa fünf Prozent der Versicherten Widerspruch eingelegt. Steffi Suchant leitet die Landesvertretung der TK in Sachsen-Anhalt. Sie sagt: "Die Arztpraxen in Sachsen-Anhalt werden erst mit der elektronischen Patientenakte vernetzt, wenn der Test in den Pilotregionen erfolgreich war." In Sachsen-Anhalt würden bereits mehrere tausend TK-Versicherte die freiwillige Variante des Systems nutzen. Nur wenige Sachsen-Anhalter hätten widersprochen.

Steffi Suchant sagt auch: "Wir gehen davon aus, dass die elektronische Patientenakte sicher ist. Wir müssen uns permanent mit der IT-Sicherheit auseinandersetzen – aber das System muss auch nutzerfreundlich sein."

Sachsen-Anhalts Christina Maria Rost sagt, Versicherte sollten abwarten und beobachten, ob und wie die festgestellten Sicherheitsprobleme gelöst werden. "Im Übrigen können die Versicherten der elektronischen Patientenakte zu jeder Zeit widersprechen." Sie müsste dann gelöscht werden. Zum Start der elektronischen Patientenakte hat Sachsen-Anhalts Datenschützerin ein FAQ auf ihrer Internetseite angekündigt und empfiehlt die des niedersächsischen Datenschützers und der Aidshilfe.

Martin Weigele sieht es anders. Er sagt, man sollte der elektronischen Patientenakte widersprechen. Sie sei nicht hinreichend sicher. Weigele ist promovierter Informatiker und Jurist. Er ist außerdem Sprecher der AG Datenschutz und IT-Sicherheit bei der Gesellschaft für Informatik. Weigele bemängelt vor allem, dass im System nicht richtig protokolliert werde, wer auf die Daten zugegriffen hat. "Protokolliert wird nur, dass zum Beispiel die Uniklinik Köln oder die Charité zugegriffen hat. Eigentlich muss eine konkrete Person nachweisbar sein", sagt Weigele. Nur so ließe sich ein Missbrauch konkret nachweisen.

Während Kastl und Tschirsich getestet haben, wie Menschen von außen in das System eindringen könnten, zeigen Weigeles Kritikpunkte auf andere Angriffsmöglichkeiten: Innentäter. Oder auf Hacker, die von einem Krankenhaus aus versuchen, auf das System zuzugreifen. Maximal könnte ein Krankenhaus Zugriff auf 600.000 elektronische Patientenakten haben, sagt IT-Sicherheitsexpertin Kastl. Bildrechte: Manuel Atug

Verlockend für Hacker, die Daten erbeuten und weiterverkaufen wollen. Und dass Gesundheitsdaten ein Ziel krimineller Hacker sind, ist nicht neu: Allein in den vergangenen zwei Jahren wurden millionenfach Gesundheitsdaten von Menschen in Australien, Großbritannien und den USA gestohlen.

Risiken nicht ausreichend berücksichtigt?