Stell dir vor, du bist krank. Du gehst zum Arzt. Du vertraust darauf, dass alle Infos über dich sicher sind. Doch was wäre, wenn jemand heimlich mitlesen kann? Jemand, den du gar nicht kennst. Genau das kann jetzt in Deutschland passieren.
Es geht um die elektronische Patientenakte, kurz ePA. In der ePA sollen Ärztinnen und Ärzte wichtige Infos über dich speichern. Zum Beispiel, ob du operiert wurdest, welche Medikamente du bekommst, welche Allergien du hast oder ob du schwere Krankheiten hast. Es geht um sehr persönliche Dinge. Um Dinge, die niemand außer dir und deinem Arzt wissen sollte.
Doch jetzt ist klar: Dieses System ist nicht sicher. Und das ist nicht nur eine Vermutung. Das wurde bewiesen.
Zwei IT-Experten, Martin Tschirsich und Bianca Kastl, haben gezeigt: Über die sogenannte Ersatzbescheinigung kann man in das System eindringen.
Was ist das?
Manchmal vergessen Patientinnen oder Patienten ihre Gesundheitskarte. Dann stellt der Arzt eine Ersatzbescheinigung aus. Das ist ein Zettel, auf dem steht: Diese Person ist bei einer Krankenkasse versichert. Diese Funktion ist praktisch – aber sie wurde zum Einfallstor für Hacker.
Denn genau über diesen Weg konnten Tschirsich und Kastl auf hochprivate medizinische Daten zugreifen.
Beide sind Mitglieder des Chaos Computer Club, kurz CCC. Der CCC ist die wichtigste Organisation in Deutschland, wenn es um Computersicherheit geht. Seit Jahrzehnten zeigt der Club auf, wo Technik gefährlich oder schlecht gemacht ist. Und auch diesmal hat der CCC wieder früh gewarnt. Schon im letzten Jahr hat der Club viele Probleme bei der ePA öffentlich gemacht. Die Einführung wurde deshalb verschoben.
Doch jetzt zeigt sich: Die Fehler wurden nicht vollständig behoben.
Der Betreiber „gematik“ sagt zwar, man habe die Sicherheitslücken inzwischen geschlossen. Doch das Vertrauen ist zerstört. Immer wieder wird an der ePA herumgebastelt. Doch jede Veränderung macht das System nur noch schlimmer. Es wird nicht besser – es wird verschlimmbessert.
Der (noch) Gesundheitsminister Karl Lauterbach (SPD) hatte öffentlich gesagt: „Ein Zugriff durch Unbefugte ist ausgeschlossen.“ Das war falsch. Sehr falsch.
Ein Sprecher des CCC, Linus Neumann, sagte im Deutschlandfunk, dass er selbst der ePA widersprochen hat. Er hat entschieden, dass seine eigenen Daten nicht in dieses System aufgenommen werden dürfen. Und das sagt jemand, der sich wirklich auskennt.
Ich kann nur sagen: Ich folge dieser Empfehlung.
Denn die Wahrheit ist:
Dieses System ist funktional kaputt.
Es gehört zurück auf Anfang.
Es muss ganz neu gemacht werden.
Nicht unter der Aufsicht von Ministerien, die keine Ahnung von IT haben. Nicht von Firmen, die einfach nur einen Auftrag abarbeiten. Sondern mit den Leuten vom CCC. Mit Menschen, die seit Jahrzehnten zeigen, wie man Systeme sicher und datenschutzfreundlich baut.
Der Umgang der Regierung mit den Daten von gesetzlich Versicherten ist fahrlässig. Das bedeutet: Die Regierung geht leichtsinnig mit unseren sensibelsten Informationen um.
Die Daten von Privatversicherten sind gar nicht betroffen. Es geht hier also um den Großteil der Bevölkerung. Um uns. Um die Millionen Menschen, die in Deutschland gesetzlich versichert sind.
Der Start der ePA wurde trotz aller Warnungen am 30. April 2025 durchgedrückt. Seit diesem Tag steht die ePA allen offen. Die Nutzung ist für Patientinnen und Patienten freiwillig. Aber für Ärztinnen und Ärzte wird sie ab Oktober 2025 zur Pflicht.
Das ist absurd. Man zwingt das Gesundheitssystem, ein fehlerhaftes, unsicheres System zu benutzen.
Ich sage ganz klar:
Diese Totgeburt gehört eingestampft.
Wir müssen zurück auf Null.
Und dann gemeinsam mit dem CCC etwas bauen, das sicher ist. Etwas, dem wir alle vertrauen können.
Bis dahin: Widersprecht der ePA!
Informiert euch. Fragt beim CCC nach. Schützt eure Daten.
Denn wenn einmal etwas im Netz landet, ist es für immer da.
Und es geht hier um mehr als Technik.
Es geht um Gesundheit. Um Würde. Und um Vertrauen.