Offener Brief „Fünf Schritte zu mehr Vertrauen in die ePA“
Die AG KRITIS unterstützt den offenen Brief „Fünf Schritte zu mehr Vertrauen in die ePA“.
Die jüngsten Einlassungen des Bundesministeriums zu Änderungen an der ePA, nachdem in einem Vortrag auf dem 38. Chaos Communication Congress Sicherheitslücken präsentiert wurden, erscheinen lediglich während der Testphase begrenzt tragfähig und bieten nur einen überschaubaren Sicherheitsgewinn. Es darf nicht sein, dass das Sicherheitsniveau der ePA vom Schutzgrad einzelner Arztpraxen abhängt.
Die Architektur der ePA muss der Realität Rechnung tragen, dass Arztpraxen weder über ausreichende Budgets noch über die notwendige Fachkompetenz verfügen, um IT-Sicherheit auf hohem Niveau zu gewährleisten. Eine patientenindividuelle Ende-zu-Ende-Verschlüsselung würde es hingegen ermöglichen, das Sicherheitsniveau der Arztpraxen und Leistungserbringer in der Risikoabschätzung geringer zu gewichten.
Besonders kritisch bewerten wir, dass ein „Sicherheitsgutachten“ des Fraunhofer SIT jegliche Angriffe durch Regierungsorganisationen explizit ausgeklammert hat. Ob solche Angriffe möglich sind, wurde daher nicht einmal geprüft. Dies offenbart ein alarmierendes Verständnis von Sicherheitsanforderungen und wirft zusätzliche Fragen zur Resilienz der ePA gegen gezielte Angriffe auf.
In der Stellungnahme der Gematik zum 38C3-Vortrag hieß es, auf die Daten der ePA zuzugreifen sei illegal und somit strafbar. Die IT-Sicherheit muss jedoch so robust sein, dass auch Akteure mit hoher krimineller Energie technisch effektiv daran gehindert werden, an Gesundheitsdaten zu gelangen.
Dass Angriffe von Regierungsorganisationen im Sicherheitsgutachten ausgeklammert wurden, ist nicht akzeptabel. Die Bundesregierung hat den Auftrag, Bürger auch vor fremden Geheimdiensten oder Regierungen zu schützen. In Zeiten hybrider Bedrohungen ist es unabdingbar, auch dieses Szenario zu berücksichtigen. Viele Bürger haben aus dienstlichen Gründen Kenntnis von Staatsgeheimnissen. Nur wenn auch deren Gesundheitsdaten ausreichend geschützt werden, können wir diese Bürger vor Erpressung bewahren.
Schlecht geschützte Gesundheitsdaten sind daher direkt ein Thema der nationalen Sicherheit. Es reicht nicht aus, lediglich Bundesminister und den Bundeskanzler von der ePA auszuklammern, denn Berufsgeheimnisse existieren in nahezu jeder Gehaltsstufe.
Da auch die weiteren Prüfsteine aus dem letzten offenen Brief „Vertrauen lässt sich nicht verordnen“ bislang nicht umgesetzt wurden, empfiehlt die AG KRITIS der Bundesregierung, das Projekt ePA zu stoppen, und rät den Bürgerinnen und Bürgern, der Nutzung der ePA zu widersprechen.
Foto von Chris Liverani auf Unsplash