39C3: Probleme mit der elektronischen Patientenakte (ePA) erklärt Sicherheitsforscherin Bianca Kastl
Video Overview & Insights
Die elektronische Patientenakte steht nach wie vor in der Kritik. Im Interview erklärt Sicherheitsforscherin Bianca Kastl, wo noch nachgebessert werden sollte.
Man kann übrigens noch immer widersprechen! (Ende Mai 2026)
Ein Jahr nach dem Start der elektronischen Patientenakte kritisiert die IT-Sicherheitsforscherin Bianca Kastl weiterhin Mängel an deren Sicherheitsarchitektur – vor allem bei Identitäten, Transparenz und Verantwortung. Kurz vor dem Start von Version 3.0 der elektronischen Patientenakte hatte sie gemeinsam mit Martin Tschirsich Sicherheitslücken bei der ePA aufgezeigt.
Aus Kastls Sicht liegt der Kern der Schwächen in den Identitäts- und Authentifizierungsverfahren der Telematikinfrastruktur: Unsichere oder organisatorisch fehleranfällige Prozesse machten Missbrauch möglich und ließen sich nicht durch nachträgliche Maßnahmen beheben.
😂wenn du mal nen Kredit brauchst kuckt die Bank erstmal inne epa😅😅😅
Dass viele Versicherte kaum über Risiken und Nebenwirkungen der ePA informiert seien, führt Kastl auf intransparente Kommunikation und beschönigende Darstellungen zurück, wie der Kampagne des Bundesgesundheitsministeriums: „ePA, na sicher!“. Kritische Hinweise von Experten würden von Politik und Behörden häufig ignoriert oder relativiert und Verantwortung werde zwischen den Akteuren hin- und hergeschoben.
Das größte Risiko tragen nach Kastls Einschätzung die Versicherten selbst – durch mögliche Datenschutzverletzungen, falsche Zugriffe oder Systemausfälle. Vertrauen könne nur entstehen, wenn Sicherheitsrisiken unabhängig bewertet, offen kommuniziert und strukturelle Fehler behoben würden. Mit Blick auf die geplante staatliche EU-ID-Wallet warnt Kastl vor einer Wiederholung derselben Fehler, allerdings mit noch größerer Tragweite.
Sie verkaufen alles für Gut😂😂😂 und hinterher....😅😅😅die Deutschen merken nichts.
► Zum Artikel: https://www.heise.de/news/39C3-Weiterhin-ePA-Experimente-am-lebenden-Buerger-11125835.html
_____
Was kann mich tun wenn die ePa trotz Wiederspruch angelegt wurde? Löschen Zugriffsprotokolle, Schadenersatz Schmerzensgeld Nachweis der kompletten löschung beim Dienstleister Datensicherung
► c’t: https://www.ct.de
► heise online: https://www.heise.de
Heise war früher mal gut
► heise online auf Instagram: https://www.instagram.com/heiseonline/
► c't auf Instagram: https://www.instagram.com/ct_magazin/
Bianca?
_____
Redaktion: Keywan Tonekaboni, Marie-Claire Koch
Welcher Arzt liest die? Meine nicht. Mir als Patient nutzt sie also nix. Ich hoffe, dass wenigstens die Notfallinfos gelesen werden. Somit sind die Risiken eigentlich für mich unangemessen.
Video: Özgür Uludaǧ, Anna Gundler
Könnte man in Deutschland nicht einfach mal hinschauen, was in anderen Ländern funktioniert? Auch wenn es in den Ländern nicht so viele Personen betrifft. Ich fühle mich bei allem, was hier in Deutschland als digitalisiert „verkauft“ wird, nicht für ältere Leute, die nicht in diesen IT-Fragen ausgebildet sind, nicht anwendbar sind. Das ist nicht nur bei der Patientenakten so.
More User Perspectives
Epa ist das nicht der Schwedenaldi? Enhetsprisaktiebolaget
@silonet-itDie erwähnte "Aufklärungskampagne" umfasste sehr vieles. Schöne Reden, angeblichen Verbesserungen in Beteichen, die die ePA gar nicht nutzen (können) - Stichwort Notfallmedizin -, bis hin zum Märchen der Selbstbestimmung.
Was sie aber vor allem nicht enthielt, war die Darlegung der Risiken und Einschränkungen. Sowohl in der technischen Umsetzung, als auch in der Bedienbarkeit durch Laien.
Oder wo wurde beispielsweise darauf hingewiesen, dass ein Leistungserbringer sämtliche ihm zugängliche Daten in seiner eigenen IT speichern kann, ohne dass die meisten einen Überblick über diese Daten haben. Gleichzeitig diese Daten Daten auf Verlangen aber auch gar nicht löschen muss, egal, ob diese für den Erbringer überhaupt relevant sind oder waren.
Es geht also nicht nur um die Sicherheit zentraler und im Fokus stehender Speicherorte, sondern um die Massen an bestenfalls bedenklich gesicherten Daten bei 10.000 enden Leistungserbringern.
Im Zusammenspiel mit KIM, das zwangsweise vorherrscht, ein gelebtes Alltagshorrorszenario.
Es ist eben nicht ausreichend, "besser als das bis dato existente" zu sein.
Die Idee die hinter der ePA steckt ist gut. Aber, wie so oft in DE ist die Ausführung mehr als katastrophal. Trotzdem wird es schön geredet.
@axelmatthies5622Ich arbeite in der Qualitätssicherung eines PVS ( Praxisverwaltung Software) Anbieters. Wir bringen seit einem Jahr fast monatlich Patches / Updates zur ePA um den ständigen Anpassungen gerecht zu werden. Eine große Herausforderung. Für mich das größte Problem: Jeder Arzt kann auf alle Daten in der ePA zugreifen, bis vor kurzem sogar auf die Abrechnungsdaten der Krankenkasse. Jeder Arzt / Therapeut, kann im schlimmsten Fall jedes Dokument, egal von wem es in die ePA gestellt wurde, löschen.
@sm4ck82Habe vor einem Jahr Widerspruch eingelegt…
@MarkusSchallWir sehen das...
@Thomas.HackerIch hätte gerne gewusst ob ich die Akte endlich auch nutzen kann? Hab bisher wiedersprochen. Mir sich nicht klar ob sie so unsicher ist wie vor 1nem Jahr. Aus meiner sicht sollte es doch so sein, das sie entweder sicher ist oder eben nicht.
@maxpower1292Îch glaube das interessierte Unternehmen längst insgeheim Patientendatenbanken angelegt haben, die Daten nur noch nicht verwenden dürfen.
@ScanjobIch finde es immer schön zu hören, dass etwas politisch nicht gewollt ist. Denn technisch, ist heute ja eigentlich alles möglich.
@hawksightsEinfach der ePa gesetzlich verbieten unsicher zu sein, dann ist alles gut 🤦😂
@sirfex2423Am meisten besorgt mich, das diejenigen welche am meisten auf ein gut funktionierendes Gesundheitssystem angewiesen sind und auch noch die zahlenmäßige Mehrheit darstellen, mit der ePA absolut überfordert sind: die SeniorInnen
@chrisderwichtDiese ePA ist mMn im Besten Fall unnütz, im schlimmsten gefährlich. Für mich ist das nur Risiko, da alles zentral an einem Ort gelagert ist und Gott weiß wer alles Zugriff darauf hat, ob beabsichtigt oder nicht, ohne irgendwelche Vorteile. Dadurch gibt es weder mehr Therapieplätze, noch kann man sich das postialische herumschicken von Krankenkassen Karten und stark zeitbegrenzten BTM Rezepten sparen. Dafür kriegt man eine App mit einem archaischen Interface die die Hälfte der Zeit nicht funktioniert und so übersichtlich wie der Warenraum im lokalen Supermarkt ist.
Zumal für den Nutzer absolut nicht ersichtlich ist, wie die Daten langfristig geschützt werden sollen, oder wer im Falle von Datenlecks die Verantwortung trägt. Da reicht ein technisches "Upsi" und deine gesamte medizinische Historie ist von der Schufa bis zum Chef für jeden ersichtlich, der eh schon einen guten Draht zu den diversen Data Brokern hat.
Ich bin ganz klar pro ePA. Alles ist besser als der Status Quo.
@wachtmeisterederSollte jeder für sich entscheiden ob er eine ePA will oder nicht.
@Rayn-BrownIch finde, die ePA ist sicherer als der Status quo aus Fax und Papier. Die Sicherheit steht und fällt jedoch mit der Sorgfalt der Versicherten.
@mk24berlin5Klassismus ist keine Kunstepoche, sondern allgegenwärtig. Auch wenn die meisten sich persönlich nicht betroffen fühlen, ist er der Nährboden für jegliche Ungerechtigkeit und Ungleichheit.
@juppjedermanDie App für die Meisten ePA ist leider sehr schlecht gemacht
@Microchaosmac