Nachrichten aus der Computerwelt

Schlechte Karten: IT-Sicherheit der ePA für alle im Fokus

- von Computer4You - Hinterlasse einen Kommentar
Symbolbild zur IT-Sicherheit der elektronischen Patientenakte: Arztpraxis- oder Klinikrechner mit geöffnetem Patientendatensatz, darüber Spielkarten mit Warnsymbolen und digitalem Schloss, die auf hohe Angriffsfläche und „schlechte Karten“ beim Start der ePA für alle hinweisen.

Schlechte Karten: Wie sicher ist die IT im Jahr null der ePA für alle?

Die elektronische Patientenakte (ePA) soll das Gesundheitswesen digitalisieren, Behandlungen beschleunigen und Fehler vermeiden. Gleichzeitig wächst die Sorge, dass hochsensible Gesundheitsdaten in unsicheren IT-Strukturen landen. Ein Vortrag auf dem Chaos Communication Congress (CCC) zeigt, wie lückenhaft viele Systeme in Praxen, Kliniken und bei Dienstleistern tatsächlich sind – und warum das „Jahr null der ePA für alle“ aus Sicht der IT-Sicherheit schlechte Startbedingungen hat.

Digitalisierung im Gesundheitswesen: Anspruch und Realität

Die politische Zielsetzung ist klar: Die ePA soll flächendeckend eingeführt werden, Schnittstellen vereinheitlichen und den Datenaustausch zwischen Ärzten, Krankenhäusern, Apotheken und Krankenkassen erleichtern. Offiziell steht dabei die Datensouveränität der Versicherten im Mittelpunkt, kombiniert mit einem hohen Sicherheitsniveau.

Der im Rahmen des CCC vorgestellte Vortrag zeichnet jedoch ein anderes Bild. Viele Komponenten der aktuellen Infrastruktur – von Praxissoftware über Konnektoren bis hin zu externen Dienstleistern – seien historisch gewachsen, schlecht gewartet und häufig nur notdürftig abgesichert. In der Summe entstehe eine Angriffsfläche, die kaum mit den Versprechungen der Politik vereinbar sei.

Besonders kritisch: Während immer neue Funktionen aufgesetzt werden, bleiben grundlegende Sicherheitsprobleme häufig bestehen. Veraltete Betriebssysteme, fehlende Updates, schwache Zugangskontrollen und unklare Verantwortlichkeiten sind im Gesundheitswesen keine Ausnahme, sondern vielerorts Alltag.

Angriffsflächen in Praxen, Kliniken und bei Dienstleistern

Der Vortrag zeigt anhand konkreter Beispiele, wie angreifbar viele IT-Systeme im Gesundheitsbereich sind. Typische Schwachstellen sind etwa:

  • unsichere Remote-Zugänge zu Praxis- und Kliniksystemen
  • Standard-Passwörter oder gemeinsam genutzte Accounts
  • fehlende Netzwerksegmentierung zwischen Verwaltungs- und Medizingeräten
  • ungenügende Protokollierung von Zugriffen auf Patientendaten

Hinzu kommt, dass externe IT-Dienstleister oft weitreichende Rechte in den Systemen ihrer Kunden besitzen. Werden diese Dienstleister selbst kompromittiert, kann dies Kettenreaktionen auslösen. Ein Angreifer erhält dann nicht nur Zugang zu einem einzelnen System, sondern potenziell zu Hunderten von Praxen oder mehreren Kliniken gleichzeitig.

Der Vortrag macht deutlich: Die Schwachstellen liegen nicht nur in einzelnen Produkten, sondern im Zusammenspiel aus Technik, Organisation und fehlender Sicherheitskultur. Wo IT-Sicherheit als Kostenfaktor und nicht als Grundvoraussetzung verstanden wird, entstehen systemische Risiken.

Die ePA im Fokus: Datenschutzversprechen unter Druck

Mit der Einführung der ePA für alle steigt der Wert der gespeicherten Daten erheblich. Gesundheitsinformationen sind für Angreifer besonders attraktiv – sei es für Erpressung, Identitätsdiebstahl oder gezielte Auswertung sensibler Diagnosen. Gleichzeitig wächst die Zahl der Systeme, die direkt oder indirekt mit der ePA-Infrastruktur kommunizieren.

Der CCC-Vortrag kritisiert, dass die Debatte um die ePA häufig auf Datenschutzrecht und Einwilligungsmodelle verengt wird, während die praktische IT-Sicherheit im Alltag der Praxen und Kliniken zu wenig Beachtung findet. Selbst das beste rechtliche Rahmenwerk nützt wenig, wenn die technische Umsetzung angreifbar bleibt.

Besonders problematisch ist die Kombination aus zentralen Diensten und dezentral schlecht geschützten Endpunkten. Angriffe müssen nicht zwingend auf die Kerninfrastruktur zielen; oft reicht es, schwach gesicherte Randbereiche auszunutzen, um an Daten zu gelangen oder Prozesse zu stören.

Strukturelle Probleme: Regulierung, Haftung und Anreize

Ein zentrales Thema des Vortrags sind die strukturellen Rahmenbedingungen im Gesundheitswesen. Viele Akteure sind in ein dichtes Netz aus Vorgaben, Zertifizierungen und Verträgen eingebunden, ohne dass daraus automatisch bessere Sicherheit resultiert. Zertifikate werden teils als formale Hürde wahrgenommen, nicht als Anlass für kontinuierliche Verbesserung.

Hinzu kommt eine unklare Verteilung von Verantwortung:

  • Praxis- und Klinikbetreiber verlassen sich auf Dienstleister und Hersteller
  • Hersteller verweisen auf regulatorische Vorgaben und Kostendruck
  • öffentliche Stellen setzen Fristen und Funktionen, ohne ausreichende Ressourcen für Sicherheit bereitzustellen

Der Vortrag argumentiert, dass dieses Geflecht dazu führt, dass Sicherheitslücken oft lange bestehen bleiben. Fehlanreize begünstigen schnelle Implementierungen und Kostensenkungen, während Investitionen in robuste Architekturen, Penetrationstests oder Schulungen zurückstehen.

Was sich ändern müsste, um die „schlechten Karten“ zu verbessern

Aus Sicht der Vortragenden braucht es einen grundlegenden Kurswechsel in der IT-Sicherheit des Gesundheitswesens. Gefordert werden unter anderem:

  • realistische Bedrohungsmodelle, die die Attraktivität von Gesundheitsdaten berücksichtigen
  • verbindliche Mindeststandards für Praxen, Kliniken und Dienstleister, die auch praktisch überprüft werden
  • klare Haftungsregeln, die Verantwortlichkeiten entlang der Lieferkette definieren
  • mehr Transparenz über Sicherheitsvorfälle und Schwachstellen

Langfristig könne die ePA nur dann Vertrauen gewinnen, wenn Sicherheit nicht als nachträgliche Zusatzanforderung, sondern als integraler Bestandteil aller Projekte verstanden werde. Der Vortrag auf dem Chaos Communication Congress versteht sich dabei als Warnsignal: Ohne grundlegende Korrekturen droht das „Jahr null der ePA für alle“ zum Startpunkt einer dauerhaften Vertrauenskrise zu werden.

Quellen und weiterführende Informationen

Für vertiefende Analysen zur IT-Sicherheit im Gesundheitswesen und zur elektronischen Patientenakte bieten sich folgende Anlaufstellen an:

Quelle: Media CCC

Ähnliche Beiträge

Symbolbild: Moderne Krankenhausstation mit vernetzten Monitoren und Medizingeräten, im Vordergrund ein Arzt vor mehreren Bildschirmen mit abstrahierter Cyber-Sicherheitsgrafik (Schloss/Schild), die die Klinik als kritische Infrastruktur und die Bedeutung von IT-Sicherheit für die Patientenversorgung zeigt.

Kritische Infrastruktur: Kliniken verstärken IT-Sicherheit

Symbolgrafik zu IT-Sicherheitstrends 2026: abstrahierte Cloud- und On-Premises-Infrastruktur, KI-Elemente, Zero-Trust-Schild und vernetzte Icons für Identität, Compliance und Automatisierung.

IT-Sicherheit 2026: Zero Trust, KI-Schutz und Cloud-Security

Symbolbild mit Stromleitungen und Umspannwerk bei Nacht, darüber abstrakte digitale Daten- und Netzwerkgrafiken; visualisiert IT-Sicherheit, Cyberangriffe und Resilienz in kritischen Energieinfrastrukturen im Kontext von NIS2, KRITIS und Smart Grids.

IT-Sicherheit und Cyber-Resilienz im Energiesektor stärken

Über Computer4You

Hi, hier sollten ja eigentlich ein paar Dinge über mich stehen, wie zum Beispiel: dann und dann hier und dort geboren, da herumgekommen und dort nicht weg gekommen, nachdem er dieses und jenes gemacht hat, aber jetzt eben doch was anderes macht, entgegen seiner damaligen Vorstellungen und Wünsche. Viel Spaß beim Lesen.

Zeige alle Beiträge von Computer4You →

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert