In der kühlen Dezemberluft Hamburgs versammelten sich auch dieses Jahr zwischen den Jahren Tausende von Hackern, Aktivisten und Tüftler zum Chaos Communication Congress. Was vor 40 Jahren mit knapp 400 Hackern in einem Hamburger Bürgerhaus begann, hat sich längst zu einem der wichtigsten Ereignisse der internationalen Hackerszene entwickelt.
Auch in diesem Jahr zog der Kongress wieder mehr als 14.000 Teilnehmer an – nicht nur Technikbegeisterte, sondern auch Vertreter aus Politik, Wissenschaft und Kunst. Auf zahlreichen Vorträgen, die auch online verfügbar sind (externer Link), ging es um Datenlecks bei Volkswagen, unsichere Wahlsoftware und um die Frage, ob künstliche Intelligenz zu mehr Ungleichheit führen wird.
"70 Millionen Akten mit erschreckend geringem Aufwand"
Vor allem die Enthüllungen zur elektronischen Patientenakte (ePA) sorgen für Aufsehen. Die Sicherheitsexperten Martin Tschirsich und Bianca Kastl deckten gravierende Sicherheitsmängel in der ePA auf. "Diese Sicherheitslücken ermöglichen potenziell den Zugriff auf mehr als 70 Millionen Patientenakten – und das mit erschreckend geringem Aufwand", warnte Tschirsich in seinem Vortrag.
Gesundheitskarten per Telefon: Ein 20-Minuten-Hack
Was die Experten demonstrierten, klingt alarmierend: Mit einem simplen Telefonanruf bei den Krankenkassen ließen sich elektronische Gesundheitskarten auf beliebige Namen bestellen – ein Vorgang, der gerade einmal 10 bis 20 Minuten in Anspruch nahm.
Besonders brisant: Die neue Version der ePA (3.0) verzichtet in Arztpraxen komplett auf eine PIN-Eingabe. Der bloße Besitz einer Karte reicht damit aus, um auf hochsensible Gesundheitsdaten zuzugreifen.
Digitale Skeleton Keys: Das System ist komplett verwundbar
Die aufgedeckten Schwachstellen gehen jedoch noch weiter. Die Sicherheitsforscher zeigten, wie Mängel in der technischen Spezifikation es ermöglichen, digitale Zugriffsschlüssel für die Akten beliebiger Versicherter zu erstellen – ohne dass dafür überhaupt eine physische Gesundheitskarte vorliegen muss. Besonders beunruhigend: Ein einziger kompromittierter Praxiszugang könnte bereits ausreichen, um auf bis zu 1.500 Patientenakten zuzugreifen.
Notfall-Patches statt Systemreform
Die Nationale Agentur für Digitale Medizin, die Gematik, verantwortlich für Entwicklung und Betrieb der ePA, hat auf die Enthüllungen reagiert (externer Link). Für die am 15. Januar 2025 startende Pilotphase soll zunächst nur eine ausgewählte Gruppe von Leistungserbringern in einer Modellregion Zugriff erhalten.
Vor dem bundesweiten Rollout plant die Organisation verschiedene Sicherheitsmaßnahmen, darunter eine zusätzliche Verschlüsselung der Krankenversichertennummer und verstärkte Überwachungsmaßnahmen.
CCC: "Experimente am lebenden Bürger" müssen enden
Dem Chaos Computer Club (CCC) geht diese Reaktion nicht weit genug. Die Hacker-Vereinigung fordert ein sofortiges Ende der "ePA-Experimente am lebenden Bürger" und kritisiert die mangelnde Transparenz (externer Link) gegenüber den Betroffenen.
Die Debatte um die Sicherheit der elektronischen Patientenakte spitzt sich damit weiter zu: Während Befürworter die potenziellen Vorteile für die Gesundheitsversorgung betonen, sehen Kritiker in der Zentralisierung sensibler Gesundheitsdaten ein nicht zu rechtfertigendes Sicherheitsrisiko.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!