Sicherheitslücke bei der ePA – Ein gefährliches Versagen

Ein Offenbarungseid der digitalen Sicherheit

Am 30. April 2025 berichtete die Tagesschau über einen schwerwiegenden Skandal: Sicherheitsforscher haben gravierende Lücken in der elektronischen Patientenakte (ePA) gefunden. Die Schwachstellen ermöglichen es Unbefugten, sensible Gesundheitsdaten von Millionen gesetzlich Versicherter abzugreifen – teils ohne jegliche Authentifizierung.

Diese Erkenntnisse legen offen, wie gefährlich fahrlässig mit den sensibelsten Daten der Bürgerinnen und Bürger umgegangen wird. In einem Land, das sich als digitaler Vorreiter in Europa inszenieren will, ist das nicht nur peinlich – es ist ein Skandal.

Was genau ist passiert?

Forscher der FH Münster und des Chaos Computer Clubs (CCC) demonstrierten, dass sich Patientenakten von Versicherten bei AOK, Barmer, TK und DAK über gefälschte Anfragen auslesen lassen. Ursache ist eine mangelhafte Implementierung des Authentifizierungsverfahrens bei den Krankenkassen – offenbar ein systematisches Versagen über viele Jahre hinweg.

Was bedeutet das für uns?

Die ePA sollte eigentlich Vertrauen schaffen und die medizinische Versorgung verbessern. Stattdessen bringt sie Millionen Bürger in Gefahr. Gesundheitsdaten gehören zu den persönlichsten Informationen überhaupt. Wer sie kontrolliert oder missbraucht, kann enormen Schaden anrichten – psychisch, sozial und wirtschaftlich.

Was wäre, wenn Arbeitgeber, Versicherungen oder gar Kriminelle Zugriff auf diese Informationen erhalten? Wenn psychische Diagnosen, HIV-Statistiken oder Abtreibungen öffentlich würden?

Politische Reaktionen? Fehlanzeige.

Während sich das Bundesgesundheitsministerium in Beschwichtigungen übt, fordern Datenschützer schon lange striktere Kontrollen. Doch die Regierung drückt weiterhin aufs Digitalisierungstempo – ohne grundlegende Sicherheitsstandards umzusetzen. Es entsteht der Eindruck: Hauptsache digital, egal wie.

Ein Weckruf – oder die nächste vertane Chance?

Deutschland muss schleunigst lernen, dass Digitalisierung ohne Datenschutz keine Zukunft hat. Die ePA braucht ein Sicherheitskonzept, das diesen Namen verdient – unabhängig geprüft, transparent, und mit echter Haftung für Fehlverhalten. Sonst verspielt man nicht nur Vertrauen, sondern gefährdet konkret Leben und Existenzen.

Quellen:

• Tagesschau: Forscher finden Sicherheitslücken in der elektronischen Patientenakte
• Chaos Computer Club – Stellungnahme zur ePA

Siehe auch

• Elektronische Patientenakte: Wenn der Datenschutz zur Nebensache wird
• Warum Deutschland Open Source im Öffentlichen Dienst braucht
• Die elektronische Patientenakte (ePA): Eine kritische Betrachtung