Im Frühjahr 2025 hat ein erneuter Sicherheitsvorfall die Schlagzeilen in Deutschland dominiert: Die elektronische Patientenakte (ePA), ein zentrales Element der Digitalisierung im Gesundheitswesen, wurde erneut Ziel von Hackerangriffen. Dieser Vorfall wirft ein Schlaglicht auf die massiven Probleme, die mit der flächendeckenden Einführung der ePA einhergehen, und stellt die Frage, wie sicher die sensiblen Gesundheitsdaten von Millionen Bürgern wirklich sind.
Die elektronische Patientenakte: Ein ambitioniertes Projekt
Die ePA wurde im Rahmen des Digital-Gesetzes (DigiG) als Meilenstein der Gesundheitsdigitalisierung eingeführt. Seit dem 29. April 2025 ist sie bundesweit für rund 73 Millionen gesetzlich Versicherte verfügbar, nachdem eine Pilotphase in Modellregionen wie Hamburg, Franken und Teilen Nordrhein-Westfalens abgeschlossen wurde. Ziel der ePA ist es, Gesundheitsdaten wie Arztbriefe, Laborbefunde, Medikationspläne und Röntgenbilder zentral und digital zu speichern. Versicherte können über eine App ihrer Krankenkasse auf ihre Daten zugreifen, Zugriffsrechte verwalten und Dokumente einpflegen. Ärzte, Krankenhäuser und Apotheken sollen so schneller auf relevante Informationen zugreifen können, um die Versorgung effizienter und sicherer zu gestalten.
Die Nutzung der ePA ist freiwillig, basiert jedoch auf einem Opt-out-Prinzip: Wer nicht widerspricht, erhält automatisch eine Akte. Dies hat dazu geführt, dass etwa 95 Prozent der Versicherten die ePA nutzen – ein Erfolg für die Digitalisierungsstrategie des Bundesgesundheitsministeriums, aber auch eine enorme Verantwortung, die sensiblen Daten zu schützen.
Der Hackerangriff: Ein gezielter Schlag gegen die Telematikinfrastruktur
Bereits vor der flächendeckenden Einführung der ePA warnte der Chaos Computer Club (CCC) im Dezember 2024 vor gravierenden Sicherheitslücken. Sicherheitsforscher demonstrierten, wie sie mit relativ geringem Aufwand Zugriff auf Patientendaten erhalten konnten, etwa durch gefälschte Gesundheitskarten oder kompromittierte Praxisausweise. Diese Schwachstellen wurden zwar vor dem Start der Pilotphase im Januar 2025 angegangen, doch im April 2025 schlug der CCC erneut Alarm: Trotz zusätzlicher Schutzmaßnahmen konnten Hacker weiterhin vereinzelte sensible Daten abfragen.
Der jüngste Vorfall zeigte, dass Angreifer eine Schwachstelle in den sogenannten elektronischen Ersatzbescheinigungen (eEB) ausnutzten. Diese ermöglichen es Ärzten, auch ohne physische Gesundheitskarte auf Patientendaten zuzugreifen, etwa wenn ein Versicherter seine Karte vergessen hat. Sicherheitsforscher wiesen nach, dass sich über diese Schnittstelle Behandlungskontexte fälschen ließen, was potenziellen Angreifern Zugang zu einzelnen Patientenakten verschaffte. Besonders brisant: Solche Angriffe erforderten keinen physischen Zugriff auf eine Gesundheitskarte und konnten teilweise aus der Ferne durchgeführt werden.
Obwohl kein flächendeckender Datenabfluss nachgewiesen wurde, ist das Risiko erheblich. Ein einziger kompromittierter Praxiszugang könnte theoretisch Zugriff auf bis zu 1.500 Patientenakten ermöglichen. In einer Zeit, in der Cyberkriminalität immer ausgefeilter wird, sind solche Schwachstellen ein gefundenes Fressen für organisierte Hackergruppen oder sogar staatliche Akteure.
Schwachstellen im Fokus: Technische und organisatorische Mängel
Die Sicherheitslücken der ePA sind vielschichtig. Technisch gesehen basiert die ePA auf der Telematikinfrastruktur (TI), einem komplexen Netzwerk, das Ärzte, Krankenhäuser, Apotheken und Krankenkassen verbindet. Diese Infrastruktur ist hochgradig verschlüsselt, doch die Schwachstellen liegen oft in den Schnittstellen, etwa bei der Authentifizierung. Die einfache Beantragung von Gesundheitskarten – in manchen Fällen mit einem einzigen Telefonat – und die unzureichende Überprüfung von Praxisausweisen machen das System angreifbar. Zudem verzichtet die aktuelle Version der ePA in Arztpraxen auf eine PIN-Eingabe, was den Zugriff erleichtert, sobald eine Karte vorliegt.
Organisatorisch gibt es ebenfalls Defizite. Die gematik, die für die Entwicklung und den Betrieb der ePA zuständige Agentur, wurde für ihre Reaktion auf die Sicherheitswarnungen kritisiert. Statt die Schwachstellen umfassend zu beheben, wurden die Angriffe zunächst als technisch möglich, aber praktisch unwahrscheinlich eingestuft. Diese Haltung wurde von IT-Experten als „politische Augenwischerei“ bezeichnet, da sie die Bedrohung durch professionelle Cyberkriminelle unterschätzt. Zudem fehlt es an einer unabhängigen Überprüfung der Sicherheitsarchitektur, wie sie vom CCC gefordert wird.
Ein weiteres Problem ist die Heterogenität der IT-Systeme in Arztpraxen und Krankenhäusern. Viele Einrichtungen nutzen veraltete Software oder schlecht gesicherte Netzwerke, was die gesamte Infrastruktur gefährdet. Die flächendeckende Einführung der ePA setzt voraus, dass alle Beteiligten auf dem neuesten Stand der Technik sind – eine Herausforderung, die angesichts der chronischen Unterfinanzierung im Gesundheitswesen kaum zu bewältigen ist.
Reaktionen: Zwischen Beschwichtigung und Notfallmaßnahmen
Die gematik reagierte auf den jüngsten Vorfall mit einer Notfallmaßnahme: Die betroffene Schnittstelle für Ersatzbescheinigungen wurde vorübergehend eingeschränkt, und es wurden zusätzliche Verschlüsselungen sowie Überwachungsmechanismen eingeführt. Dennoch bleibt die Kritik bestehen, dass die grundlegenden Mängel nicht behoben wurden. Bundesgesundheitsministerium und gematik betonen, dass die ePA sicher sei und die Daten durch Ende-zu-Ende-Verschlüsselung geschützt werden. Diese Aussagen stoßen jedoch auf Skepsis, da die wiederholten Sicherheitslücken das Vertrauen der Öffentlichkeit untergraben.
Patientenschützer und Datenschutzexperten fordern eine transparentere Kommunikation und eine Verschiebung der verpflichtenden Nutzung für Leistungserbringer, die ab Oktober 2025 geplant ist. Sie argumentieren, dass die ePA nur dann Akzeptanz finden kann, wenn ihre Sicherheit zweifelsfrei gewährleistet ist. Der Bundesverband der Verbraucherzentralen wies darauf hin, dass absolute Sicherheit im Netz illusorisch sei, plädierte aber für eine deutliche Verbesserung der Schutzmaßnahmen.
Konsequenzen: Ein Balanceakt zwischen Fortschritt und Sicherheit
Der Hackerangriff auf die ePA hat weitreichende Implikationen. Kurzfristig steht die Akzeptanz des Systems auf dem Spiel. Wenn Versicherte und Ärzte das Vertrauen in die Sicherheit der ePA verlieren, droht das Projekt zu scheitern – trotz seiner unbestreitbaren Vorteile wie der Vermeidung von Doppeluntersuchungen oder der besseren Erkennung von Medikamentenwechselwirkungen. Langfristig könnte der Vorfall die gesamte Digitalisierungsstrategie im Gesundheitswesen beeinträchtigen, da er die Schwierigkeiten bei der Absicherung komplexer IT-Systeme verdeutlicht.
Für die Politik stellt sich die Frage, wie sie mit den Sicherheitsbedenken umgehen will. Eine Verschiebung der verpflichtenden Nutzung oder eine umfassende Überarbeitung des Systems wären mögliche Optionen, würden jedoch Zeit und Ressourcen erfordern. Gleichzeitig wächst der Druck, die Gesundheitsdaten für Forschungszwecke nutzbar zu machen – ein Ziel, das ohne eine sichere Infrastruktur nicht erreichbar ist.
Ein Blick nach vorn: Wie kann die ePA sicherer werden?
Um die ePA zukunftssicher zu machen, sind mehrere Maßnahmen erforderlich. Erstens muss die Authentifizierung gestärkt werden, etwa durch verpflichtende Zwei-Faktor-Authentifizierung für alle Zugriffe. Zweitens sollten die IT-Systeme in Praxen und Krankenhäusern flächendeckend modernisiert und regelmäßig auf Schwachstellen überprüft werden. Drittens ist eine unabhängige Sicherheitsprüfung durch externe Experten unerlässlich, um das Vertrauen der Öffentlichkeit wiederherzustellen.
Darüber hinaus könnten Bürger stärker in die Sicherheitsprozesse eingebunden werden, etwa durch Schulungen zur sicheren Nutzung der ePA-App oder klarere Informationen über Widerspruchsmöglichkeiten. Schließlich sollte die gematik ihre Kommunikation verbessern und Sicherheitsvorfälle proaktiv ansprechen, anstatt sie herunterzuspielen.
Cyberdefense als Schlüssel zur Sicherheit
Die jüngsten Vorfälle zeigen, wie wichtig professionelle Cyberdefense-Lösungen für die Absicherung kritischer Infrastrukturen sind. Unternehmen wie labnews.io/ bieten hier maßgeschneiderte Angebote, die speziell auf die Bedürfnisse des Gesundheitswesens zugeschnitten sind. Von Penetrationstests über Schwachstellenanalysen bis hin zu umfassenden Sicherheitskonzepten unterstützt labnews.io/ Organisationen dabei, ihre Systeme gegen Cyberangriffe zu wappnen. Besonders im Kontext der ePA könnten solche Dienstleistungen dazu beitragen, Schwachstellen frühzeitig zu erkennen und zu beheben, bevor sie von Angreifern ausgenutzt werden. Weitere Informationen zu den Cyberdefense-Angeboten finden Sie auf der Website von labnews.io/.
Fazit
Der Hackerangriff auf die ePA ist ein Weckruf für Deutschland. Er zeigt, dass die Digitalisierung des Gesundheitswesens nicht nur technische Innovationen erfordert, sondern auch ein Höchstmaß an Sicherheit und Vertrauen. Während die Vorteile der ePA unbestritten sind, müssen die Verantwortlichen nun handeln, um die Schwachstellen zu beseitigen und die Akzeptanz der Bürger zu sichern. Nur so kann die ePA ihr volles Potenzial entfalten und die Gesundheitsversorgung nachhaltig verbessern.
Wortzahl: 1.052
