Wenn Anfang 2025 die Einführung der elektronischen Patientenakte ansteht, dann wird es auch Gegenwind geben, erwartet Claudia Plattner, Mathematikern auf dem Chefsessel des Bundesamts für Sicherheit in der Informationstechnik (BSI): „Wir gehen davon aus, dass viel an falscher Information rausgehen wird, wenn die Patientenakte live geht.“

Dagegen will auch das BSI anarbeiten – ohne berechtigte Sicherheitsbedenken kleinzureden. Allein im Jahr 2023 habe es 50 Prozent mehr Cyber-Angriffe auf das Gesundheitswesen gegeben als im Jahr zuvor. Gesundheitsdaten, so Plattner, seien attraktive Daten, weniger weil Hacker:innen an einzelnen sensiblen Inhalten interessiert seien, sondern eher deswegen, weil sich mit diesen Daten Geld erpressen lasse und weil sie für personifiziertes Phishing genutzt werden könnten.

Modernste Sicherheitsstandards werden eingehalten

Umso wichtiger ist für Plattner, dass die digitalen Infrastrukturen im Gesundheitswesen nach dem Stand der Technik geschützt werden. Bei der elektronischen Patientenakte (ePA) sei das gegeben. Die Anmeldung über das mobile Endgerät, die Identifizierung über den entweder auf dem elektronischen Personalausweis oder der eGK basierenden (Gesundheits-)ID-Token, die durchgängigen Verschlüsselungen als Teil dessen, was seit einiger Zeit „vertrauenswürdige Ausführungsumgebung“ (VAU) genannt wird, sowie ein breites Spektrum an Sicherheitsmaßnahmen im Backend – zusammengenommen sei das eine Sicherheitsarchitektur nach modernsten Standards, so Plattner.

„Kann man mit dieser Architektur ein adäquates Sicherheitsniveau erreichen? Unsere Antwort ist ja, man kann, und das haben wir auch ganz klar gesagt. Es müssen ein paar Voraussetzungen erfüllt sein, aber die stecken alle in der Umsetzung.“ In diesem Bereich, in der Umsetzung, werde das BSI vor der ePA-Einführung und auch danach nach Kräften unterstützen. Dabei geht es um Prüfverfahren und Sicherheitsstandards, um Angriffsanalysen und vieles mehr: „Das ist ein fortlaufender Prozess, und wir werden weiterhin allen Beteiligten auf den Füßen stehen.“

Ziel ist der ePersonalausweis auf dem Handy

Neben dieser allgemeinen Einschätzung ging Plattner auch auf einige Detailfragen ein, die teils vieldiskutiert sind. Ein Thema ist die digitale ID, die der Anmeldung an der mobilen App zugrunde liegt. Das jetzt vorgesehene Nebeneinander von eGK-basierter Gesundheits-ID einerseits und ePersonalausweis-basierter Gesundheits-ID andererseits ist für die BSI-Chefin eine Übergangslösung: „Wir wollen das irgendwann konvergieren.“

Was die Identity Provider angeht, sei es das Ziel, an einen Punkt zu kommen, an dem die Bundesverwaltung eine zentral auf dem ePersonalausweis basierende Identity-Lösung zur Verfügung stellt: „Wir wollen perspektivisch den ePersonalausweis auf dem Handy. Da sind wir noch nicht, aber das ist die gemeinsame Vision.“ Die jetzt vorgesehene Gesundheits-ID sei eine Lösung, die es erlaube, „nicht länger zu warten, sondern loszulaufen.“

Ende-zu-Ende oder Ende-Gelände?

Auch auf den grundsätzlichen Wechsel bei der Sicherheitsarchitektur zwischen bisheriger Telematikinfrastruktur bzw. bisheriger ePA und der neuen „ePA für alle“ ging Plattner ein. Die viel zitierte Ende-zu-Ende-Verschlüsselung, die angeblich aufgegeben werde, hält die BSI-Chefin für eine Art politisches Schlagwort. Was es gegeben habe, sei eine Änderung bei den Anforderungen an den Datenaustausch bzw. die Datennutzung.

„Ursprünglich war nur die Kommunikation zwischen Arzt und Patient vorgesehen“, so Plattner. Die Anforderung unter anderem einer forschenden Auswertung der Daten erfordere aber eine andere Architektur, denn dazu brauche es einen (serverseitigen) Punkt, an dem auf die Daten zugegriffen werden könne. Das ist Plattner zufolge eine fachliche Entscheidung, bei der das BSI letztlich agnostisch sei: „Wenn das gewünscht ist, ist es unser Job, zu sagen, wie eine Architektur aussehen muss, mit der das sicher umsetzbar ist.“

Genau das werde durch die gewählte ePA-Architektur erreicht: „Wir haben weiterhin eine Ende-zu-Ende-Verschlüsselung, es gibt nur einfach mehr Transportwege.“ Das impliziert, dass mit Schlüsseln gearbeitet wird, die an anderen, gesicherten Stellen lagern und nicht nur beim Patienten. Aber es sind weiterhin individuelle Schlüssel für jede einzelne Person.

Die Schlüssel werden generiert aus einem Master-Key und der individuellen Krankenversichertennummer. Aufbewahrt werden sie in Hardware Security Modulen (HSM), die an allen wichtigen Stellen der Infrastruktur zu finden sind. Der gematik-Chef Florian Hartge machte in diesem Zusammenhang noch darauf aufmerksam, dass sich die Änderung der Sicherheitsarchitektur – unabhängig vom Thema Datenzugriff für die Forschung – auch sehr günstig auf die Performance des ePA-Systems und auf die Zugriffszeiten auswirken werde.