08.01.2025
ePA – der nächste Akt im Trauerspiel
Prof. Dr. med. Jürgen Windeler
Die ePA sei „absolut sicher“, so eine große Kasse in ihrem Informationsschreiben an ihre Versicherten. Andere Verantwortliche verkünden mantramäßig, dass Sicherheit höchste Priorität habe. Und nun berichtet der Chaos Computer Club erneut über seit Jahren bekannte, unverändert bestehende gravierende Sicherheitsmängel, Möglichkeiten für unbefugte Zugriffe, teilweise über „Wege, die uns allen offenstehen“.
So formulierte es Martin Tschirsich in dem Vortrag, den er zusammen mit Bianca Kastl auf dem Kongress 38C3 gehalten hat.
Silvester ist gerade vorbei. In Zusammenhang mit illegal hergestellten, verkauften oder verwendeten „Böllern“ sind Menschen zu Schaden gekommen, nicht nur die Anwender, auch Unbeteiligte. Was war die Folge? Politiker überschlugen sich mit Forderungen nach Konsequenzen, mehr Kontrollen, Strafen; die Gewerkschaft der Polizei fordert ein Böllerverbot. Sogar Grenzkontrollen wurden ins Spiel gebracht – alles zu unserer Sicherheit.
Einige Tage zuvor veröffentlichte der Chaos Computer Club (CCC) seinen aktuellen Erfahrungsbericht zur Sicherheit der ePA. Es war wieder einmal gelungen, mit grundsätzlich jedem zur Verfügung stehenden Mitteln und – natürlich – speziellen computertechnischen Kenntnissen Zugang zu Daten in der ePA zu bekommen – zu allen! Und aus dem spannenden Vortrag [1] wird auch deutlich, dass neben offensichtlichen, seit Jahren bekannten konzeptionellen Sicherheitsrisiken – z.B. PIN-Verzicht – eben auch der „menschliche“ Faktor im Sinne von Unkenntnis und Leichtsinn eine Gefahrenquelle ist.
Nur eine laue Stellungnahme der gematik
Politiker überschlugen sich mit Forderungen nach Konsequenzen … hätte man sich vorstellen können. Stattdessen erging eine laue Stellungnahme der gematik, in der betont wurde, dass das Vorgehen des CCC spezielle Kenntnisse erfordere – ja, hoffentlich! Und die Beschaffung eine Institutionsausweises sei „illegal“ – als ob sich Angreifer, die sich für unsere Daten interessieren, zunächst über die rechtlichen Voraussetzungen versichern würden. Die gematik betont, dass auf einen solchen unbefugten Zugriff „nicht nur Geld-, sondern auch Freiheitsstrafen“ stünden. Wer hätte das gedacht? Aber zum einen muss man die Verantwortlichen dafür erst einmal kriegen und zum anderen – viel bedeutsamer – macht dies unbefugte Einblicke und ihre Konsequenzen nicht ungeschehen und bringt geklaute Daten natürlich nicht wieder zurück. Es entsteht vielmehr ein nicht wieder gut zu machender, nachhaltiger Schaden, wie u.a. den Opfern des Datenklaus in Finnland.
Für die verletzten Bölleropfer kam offenbar niemand auf die Idee, sie mit dem Hinweis, dass die Täter bestraft werden können – wenn man ihrer denn habhaft geworden wäre –, zu trösten und zu beschwichtigen.
Allerdings gibt es einen wesentlichen Unterschied. Jeder Bürger weiß, dass es das Risiko von Betrug, Einbruch, Raub oder Schlimmerem gibt. Wir werden durch tägliche Berichte und Warnungen daran erinnert, zu Vorsicht und Schutzmaßnahmen angehalten, so sehr und nachhaltig, dass eine Bemerkung, man könne ja gar nicht mehr … und früher war das nicht so schlimm, nicht selten zu hören ist. Null Risiko gibt es nicht, aber jeder kann das Risiko für die eigene Person bewerten, abwägen, Schutzmaßnahmen ergreifen, entscheiden, Angebote anzunehmen oder bestimmte Orte und Veranstaltungen zu besuchen.
Chaos Computer Club fordert Selbstverständlichkeit
Bei der ePA wird das Risiko dagegen nach Kräften verschleiert. Nirgendwo in offiziellen Dokumenten, nirgendwo auf der Informationsseite des Ministeriums, natürlich auch nicht in der aktuellen Stellungnahme der gematik wird ausgesprochen, dass es Risiken gibt, dass diese Risiken derzeit höher sind als sie sein müssten (und als Datenschützer sie für vertretbar halten), und dass es Risiken auch immer geben wird. Bürger können also weder etwas bewerten noch können sie (re)agieren. Vielmehr: Sie könnten schon (widersprechen), aber ohne den leisesten Hinweis auf Probleme und Risiken gibt es gar keinen Anlass, seinen Widerspruch geltend zu machen. Der CCC fordert daher eine Selbstverständlichkeit: „transparente Kommunikation von Risiken gegenüber Betroffenen“. Und wenn der CCC ein „Ende der ePA-Experimente am lebenden Bürger“ fordert, dann darf man ergänzen, dass „Experimente“ ohne explizites Einverständnis – in das Experiment! – der Versuchspersonen ohnehin nicht statthaft sind. Experimente mit Opt-out-Regelung sind jedenfalls nicht möglich.
Am Wochenende ließ sich dann der (Noch)Gesundheitsminister mit der Aussage vernehmen: „Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind.“ Auch wenn man dies als Anzeichen für einen geordneten Rückzug ansehen kann – oder als politisch vorausschauende Distanzierung –, so kann ihm jedenfalls die Konsequenz seiner Aussage wohl kaum bewusst gewesen sein. Mit einer Anforderung „technisch unmöglich“ wird es eine ePA niemals geben.
Die hilflosen Reaktionen der Verantwortlichen sind ein weiteres Kapitel im Trauerspiel „ePA für alle“. „Intransparente Risikobetrachtungen im digitalen Gesundheitswesen zerstören Vertrauen“, so der CCC – man könnte übrigens „digitalen“ weglassen und wäre mitten in der Pandemieaufarbeitung. Aber es wird unverdrossen und wider besseres Wissen verkündet, dass alles sicher sei und alle Probleme gelöst würden. Es wird weiter geplappert, dass „die Daten Leben retten und die Forschung beflügeln“ können [2]. Man könnte auch sagen: Es wird alles unternommen, um Vertrauen in politische Versprechen und in die Digitalisierung zu zerstören.
Lesen Sie zu diesem Thema vom Autor auch:
„ePA – die Opt-out-Lösung ist so nicht vertretbar“, Observer Gesundheit, 3. Dezember 2024,
„Digitalistan oder der Tanz um das binäre Kalb“, Observer Gesundheit, 9. April 2024.
Alle Kommentare ansehen