ePA für alle: Hacker-Kongress zerlegt Sicherheitslücken nach einem Jahr

Die elektronische Patientenakte steht nach ihrem ersten Jahr im Praxistest in der Kritik. Auf dem Chaos Communication Congress in Hamburg präsentieren Sicherheitsexperten ein vernichtendes Fazit zu anhaltenden Sicherheitslücken – trotz Regierungswechsel.

Hamburg – Ein Jahr nach dem bundesweiten Start der „ePA für alle“ stellen Sicherheitsforscher auf dem 39. Chaos Communication Congress (39C3) in Hamburg ein verheerendes Zeugnis aus. Trotz des Regierungswechsels und wiederholter Sicherheitsbeteuerungen seien fundamentale Schwachstellen aus der Einführungsphase bis heute nicht behoben. Die Kritik konzentriert sich auf eine vielbeachtete Kongress-Session mit dem Titel „Schlechte Karten – IT-Sicherheit im Jahr null der ePA für alle“.

Forscher, darunter Mitglieder des Chaos Computer Clubs (CCC), legen eine detaillierte Analyse des ersten Betriebsjahres vor. Ihr Befund: Die bundesweite Einführung Ende April 2025 war von der Wiederkehr kritischer Sicherheitslücken geprägt. Besonders problematisch seien Schwachstellen in den Ident-Verfahren und im Umgang mit den Heilberufsausweisen.

Passend zum Thema IT‑Sicherheit zeigt ein kostenloser Cyber‑Security‑Leitfaden, warum viele Einrichtungen auch nach Patches weiter angreifbar bleiben. Der Report fasst aktuelle Bedrohungen, praxisnahe Schutzmaßnahmen und Prioritäten für schnell umsetzbare Audits zusammen – ideal für IT‑Verantwortliche und Entscheider, die Risiken sofort reduzieren wollen. Inklusive Checkliste zur Priorisierung bekannter Sicherheitslücken. Kostenlosen Cyber‑Security‑Leitfaden herunterladen

„Probleme, die nach den Enthüllungen auf dem 38C3 Ende 2024 eigentlich gepatcht sein sollten, tauchten am Tag des bundesweiten Starts erneut auf“, so ein Researcher. Das Opt-out-System, das für über 70 Millionen gesetzlich Versicherte automatisch eine Akte anlegte, habe die Angriffsfläche massiv vergrößert. Die Experten kritisieren die Architektur der Telematikinfrastruktur als zu zentralisiert und für einen schnellen Rollout optimiert – auf Kosten robuster Sicherheit.

Warken in der Zwickmühle zwischen Betrieb und Umbau

Die Kritik trifft Bundesgesundheitsministerin Nina Warken (CDU) in einer schwierigen Phase. Sie übernahm das Amt am 6. Mai 2025 von Karl Lauterbach – nur Wochen nach dem flächendeckenden Start der ePA. In einem Interview mit Der Spiegel betonte sie zwar die Notwendigkeit „neuer Wege“ in der Digitalisierung, vermied aber eine klare Bewertung der ePA‑Einführung.

Die neue Führung steht vor einem Dilemma: Ein laufendes System mit Millionen Datensätzen verwalten, während Experten eine grundlegende Überarbeitung der Architektur fordern. Bislang hat der Regierungswechsel nicht zu einem technischen Neuanfang geführt. Die Session auf dem Kongress stellt die entscheidende Frage: Reichen die aktuellen Maßnahmen aus, oder hat das „Jahr null“ lediglich einen niedrigeren Sicherheitsstandard normalisiert?

Vom Modellprojekt zur Massenanwendung: Eine holprige Timeline

2025 sollte zum Durchbruchsjahr der ePA werden. Nach einem Start in Modellregionen wie Hamburg und Franken am 15. Januar folgte der bundesweite Rollout Ende April. Doch genau dieser Übergang zum Opt-out-Modell habe neue Instabilitäten gebracht, so die CCC-Analyse.

Das Kernproblem liege im Zugriffsmanagement. Die Möglichkeit, dass Unbefugte durch Ausnutzung von Schwachstellen bei der Ausgabe von Gesundheitskarten und digitalen Identitäten auf Akten zugreifen könnten, bleibe bestehen. Zwar seien nach den Vorfällen im April provisorische Patches eingespielt worden. Eine nachhaltige Lösung für sichere digitale Identitäten im Gesundheitswesen fehle jedoch.

Die parallel laufende Informationskampagne „ePA? Na sicher!“ wird vor diesem Hintergrund kritisch gesehen. Sie habe in der Bevölkerung ein falsches Sicherheitsgefühl hinsichtlich der Technologiereife erzeugt.

Ausblick: Druck für Transparenz und Neubewertung wächst

Der Diskurs auf dem 39C3 macht deutlich: Die Spannung zwischen Digitalisierung und Datenschutz wird 2026 zunehmen. Die Sicherheits-Community fordert unabhängige Audits und transparenten Umgang mit den bekannten Schwachstellen – statt „Security by Obscurity“.

Für Ministerin Warken und ihr Haus werden die kommenden Monate entscheidend sein. Müssen bestimmte Funktionen gestoppt werden, um die architektonischen Mängel zu beheben? Oder geht die Expansion trotz bekannter Risiken weiter? Marktbeobachter rechnen damit, dass der Druck durch die Kongress-Enthüllungen das Ministerium zu einem neuen Fahrplan für ePA-Sicherheitsupdates zwingen könnte.

Mit weiteren Demonstrationen spezifischer Schwachstellen bis zum Kongressende am 30. Dezember dürfte der Handlungsdruck auf Gematik und das Gesundheitsministerium weiter steigen. Die Glaubwürdigkeit der digitalen Gesundheitsversorgung steht auf dem Spiel.

PS: Sie sorgen sich um Datensicherheit in der Gesundheits‑IT? Dieser Gratis‑Report erklärt, welche Sofortmaßnahmen (u. a. Identitätsmanagement, Protokollierung und unabhängige Audits) binnen Wochen wirkungsvoll sind und welche rechtlichen Anforderungen Sie jetzt beachten sollten. Praxisnahe Umsetzungs‑Tips helfen Behörden, Kliniken und Dienstleistern, die nächste Angriffswelle abzuwehren. Gratis Cyber‑Security‑Report anfordern