Nachrichten aus der Computerwelt

Schlechte Karten: IT-Sicherheit und Risiken der ePA für alle

- von Computer4You - Hinterlasse einen Kommentar
Symbolbild zur IT-Sicherheit der elektronischen Patientenakte: Eine abstrakte Europakarte, darüber digitale Gesundheitskarte und Akte mit Warnsymbol, umgeben von roten Sicherheits-Icons und Codezeilen, die Verwundbarkeit sensibler Gesundheitsdaten und kritischer Infrastrukturen in Europa andeuten.

Schlechte Karten: Wie es 2019 wirklich um die IT-Sicherheit in Europa stand

Wie sicher sind eigentlich unsere digitalen Infrastrukturen – von der elektronischen Patientenakte bis zu staatlichen Netzen? Der Chaos Computer Club (CCC) hat auf dem 39. Chaos Communication Congress (39C3) unter dem Titel „Schlechte Karten – IT-Sicherheit im Jahr Null der ePA für alle“ eine ernüchternde Bestandsaufnahme geliefert. Der Vortrag zeigt, wie politische Entscheidungen, technische Schulden und ein oft naiver Digitalisierungsoptimismus zusammenspielen – mit Folgen für Millionen Bürgerinnen und Bürger.

Digitale Gesundheitsdaten: Jahr Null der elektronischen Patientenakte

Mit der Einführung der elektronischen Patientenakte (ePA) wurde ein neues Kapitel in der digitalen Gesundheitsversorgung aufgeschlagen. Im Vortrag wird deutlich, dass dieses „Jahr Null“ weniger ein Aufbruch als ein riskantes Experiment ist. Denn Gesundheitsdaten gehören zu den sensibelsten Informationen überhaupt – und sind gleichzeitig ein begehrtes Ziel für Angreifer.

Die Referenten kritisieren, dass zentrale Fragen der IT-Sicherheit und des Datenschutzes häufig nachgelagert behandelt werden. Statt ein robustes Sicherheitskonzept als Grundlage zu definieren, dominierten Zeitdruck, politische Symbolik und der Wunsch nach „sichtbarer Digitalisierung“.

  • Komplexe Telematik-Infrastruktur mit vielen beteiligten Akteuren
  • Hohe Attraktivität von Gesundheitsdaten für Cyberkriminelle
  • Regulatorische Vorgaben, die Sicherheit nicht konsequent priorisieren

Besonders problematisch sei, dass Bürgerinnen und Bürger kaum nachvollziehen können, wer wann auf welche Daten zugreift und wie diese technisch geschützt werden. Transparenz und Kontrolle bleiben damit oft hinter den Versprechen der Digitalisierungsprojekte zurück.

Politik, Regulierung und die Illusion der Kontrolle

Der Vortrag beleuchtet auch die politische Dimension der IT-Sicherheit. Während auf europäischer Ebene immer neue Strategiepapiere, Verordnungen und Sicherheitsinitiativen angekündigt werden, bleibt die praktische Umsetzung häufig lückenhaft. Die Diskrepanz zwischen Anspruch und Wirklichkeit wird anhand konkreter Beispiele aus Verwaltung, Gesundheitswesen und kritischer Infrastruktur aufgezeigt.

Ein zentrales Motiv: Die Illusion, man könne komplexe Sicherheitsprobleme vor allem über Regulierung und Zertifizierungen lösen. Der CCC hält dagegen, dass echte Sicherheit nur durch solide Architektur, minimierte Angriffsflächen und kontinuierliche unabhängige Prüfungen erreicht werden kann.

„Compliance ersetzt keine Sicherheit – und ein Zertifikat stoppt keinen Angreifer.“

Die Referenten fordern, dass staatliche Stellen und Betreiber kritischer Systeme stärker auf offene Sicherheitsanalysen, Bug-Bounty-Programme und transparente Fehlerkultur setzen, statt Schwachstellen zu verharmlosen oder zu verschweigen.

Technische Schulden und strukturelle Schwachstellen

Ein weiterer Schwerpunkt des CCC-Beitrags sind die tief sitzenden strukturellen Probleme in der IT-Landschaft. Viele Systeme, die heute kritische Aufgaben übernehmen, basieren auf veralteten Architekturen, proprietären Schnittstellen und historisch gewachsenen Netzen. Diese „technischen Schulden“ lassen sich nicht mit einzelnen Patches oder kurzfristigen Projekten beheben.

Im Vortrag werden typische Muster benannt:

  • Legacy-Systeme, die aus Kostengründen weiterbetrieben werden
  • Fehlende Trennung von Netzen und Diensten
  • Unzureichende Härtung von Standardkomponenten
  • Komplexe Lieferketten mit intransparenten Abhängigkeiten

Besonders kritisch ist die Kombination aus hoher Komplexität und mangelnden Ressourcen in vielen IT-Abteilungen. Sicherheitsupdates, Monitoring und Penetrationstests konkurrieren mit dem Tagesgeschäft – und werden in der Praxis häufig nachrangig behandelt. Die Folge: Angreifer finden immer wieder bekannte, aber ungepatchte Schwachstellen.

Rolle der Sicherheitscommunity: Offenlegen statt Wegschauen

Der Chaos Computer Club positioniert sich im Vortrag klar als Korrektiv in der digitalen Öffentlichkeit. Durch unabhängige Analysen, Responsible Disclosure und öffentlichkeitswirksame Aktionen versucht die Community, auf Missstände hinzuweisen und Verbesserungen anzustoßen. Dabei geht es nicht um Skandalisierung um jeden Preis, sondern um eine sachliche, überprüfbare Auseinandersetzung mit Sicherheitsrisiken.

Die Referenten betonen, dass Sicherheitsforschung im öffentlichen Interesse stattfindet und nicht kriminalisiert werden darf. Nur wenn Forscherinnen und Forscher ohne Angst vor rechtlichen Konsequenzen Schwachstellen melden können, verbessert sich das Sicherheitsniveau insgesamt.

„Wer Sicherheitslücken verschweigt oder Melder bedroht, schützt nicht die Nutzer – sondern nur den eigenen Ruf.“

Gleichzeitig richtet sich der Appell an Unternehmen und Behörden, Sicherheitsforschung aktiv zu unterstützen, klare Meldewege zu schaffen und auf Augenhöhe mit der Community zu kommunizieren.

Ausblick: Was sich an der IT-Sicherheitskultur ändern muss

Der Vortrag „Schlechte Karten – IT-Sicherheit im Jahr Null der ePA für alle“ endet nicht nur mit Kritik, sondern auch mit Forderungen an Politik, Wirtschaft und Gesellschaft. Im Kern geht es um einen Kulturwandel: Weg von symbolischer Sicherheit, hin zu überprüfbarer Robustheit.

  • Sicherheitsarchitektur von Beginn an in Projekte integrieren
  • Unabhängige Audits und offene Sicherheitsberichte etablieren
  • Verantwortung klar zuordnen – technisch, organisatorisch, politisch
  • Digitale Grundrechte und Datenschutz als feste Leitplanken verankern

IT-Sicherheit wird damit zur dauerhaften Querschnittsaufgabe, nicht zu einem einmaligen Projekt. Der CCC macht deutlich, dass es dafür nicht nur bessere Technik braucht, sondern auch mehr Transparenz, realistische Erwartungen und eine kritische Öffentlichkeit, die genau hinschaut, wenn neue Digitalprojekte gestartet werden.

Quellen und weiterführende Informationen

Quelle: Media CCC

Ähnliche Beiträge

Symbolbild: Moderne Krankenhausstation mit Monitoren, vernetzter Medizintechnik und IT-Arbeitsplatz, das die Klinik als kritische Infrastruktur zeigt und auf die Bedeutung von Cybersicherheit und Schutz sensibler Patientendaten hinweist.

Kritische Infrastruktur: Kliniken stärken IT-Sicherheit jetzt

Symbolbild mit moderner Stadt- oder Unternehmensszene bei Nacht, darüber digitale Netzwerke, Datenströme und Sicherheitssymbole wie ein Schloss oder Schild – verdeutlicht IT-Sicherheit, Datenschutz und Cyber-Resilienz als zentralen Standortfaktor für Investitionen und digitale Geschäftsmodelle.

Warum IT-Sicherheit zum entscheidenden Standortfaktor wird

Beitragsbild: Symbolgrafik mit mehreren PCs, auf deren Bildschirmen das Windows‑10-Logo zu sehen ist, darüber ein auffälliges Warnsymbol oder Schild zu IT-Sicherheit, das auf die weiter hohe Verbreitung von Windows 10 trotz nahendem Support-Ende und steigenden Sicherheitsrisiken hinweist.

IT-Sicherheit: Noch fast jeder zweite PC mit Windows 10

Über Computer4You

Hi, hier sollten ja eigentlich ein paar Dinge über mich stehen, wie zum Beispiel: dann und dann hier und dort geboren, da herumgekommen und dort nicht weg gekommen, nachdem er dieses und jenes gemacht hat, aber jetzt eben doch was anderes macht, entgegen seiner damaligen Vorstellungen und Wünsche. Viel Spaß beim Lesen.

Zeige alle Beiträge von Computer4You →

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert