Ursprünglich veröffentlicht: https://www.kuketz-blog.de/gematik-erklaert-die-epa-sicherheitsluecke-fuer-erledigt-aber-das-eigentliche-problem-ist-systemisch/
Die gematik hat nur einen Tag nach dem offiziellen Start der elektronischen Patientenakte (ePA) eine Sicherheitslücke eingeräumt. Doch anstatt transparent über strukturelle Defizite zu sprechen, liefert sie eine Mischung aus beschwichtigenden Formulierungen, selektiver Darstellung und politischer Abwiegelung. Wer sich die Pressemitteilung genauer anschaut, erkennt: Das Problem ist größer als ein »Szenario«. »Der Chaos Computer Club hat ein Szenario für unberechtigte Zugriffe […] beschrieben.« Die gematik spricht verharmlosend von einem Szenario. Gemeint ist: Der CCC könnte den Behandlungskontext einer versicherten Person einsehen bzw. zugreifen. Das war kein hypothetisches Gedankenspiel, sondern ein nachvollziehbarer, praktisch demonstrierbarer Angriffspfad auf reale Gesundheitsdaten. Das Wort Szenario…
Leider stimmt die ARD in das Lied gerne mit ein, indem Aussagen, die so einfach technisch unmöglich einzuhalten sind, unhinterfragt wiedergegeben werden und dem Zuschauer dadurch ein falsches Bild von Sicherheit vermittelt. Beispielsweise wird der Bericht über die Schwachstellen aus der Tagesschau vom 30.04.2025 mit dem folgenden Satz von Lauterbach abgeschlossen:
Lauterbach hatte immer betont, dass das System erst dann eingeführt werde, wenn kein Hackangriff mehr möglich sei
Das passiert, wenn Leute über Dinge reden und entscheiden, von denen sie keine Ahnung haben (Politiker). Man sollte meinen, dass sie dann wenigstens in der Lage sind, an fähige Leute zu delegieren… Aber heutzutage ersetzt Marketing und PR leider das Wissen. (wenn man nicht davon ausgeht, dass es wider besseren Wissens geschieht, weil man lieber schaut, wie man die eigenen Taschen vollstopft oder die seinen zu stärken, im Bewusstsein, nichts befürchten zu müssen. )
Das systematische Fehlen einer konsequenten Challenge-Response-Lösung über ein in der Patientenkarte angebrachtes Secure Element hat diese Woche auch Linus Neumann moniert:
Dazu passt auch der ältere Thread von @Reklow, der durch die bundesweite Einführung zum Monatswechsel wieder aktuell geworden ist:
Moin!
Gerade habe ich in der Mediathek den folgenden Beitrag gesehen:
04.08.2025 ∙ Schleswig-Holstein Magazin ∙ NDR
Elektronische Patientenakte - eine erste Bilanz
Am Ende des Berichtes wird gesagt, das die ePA ab Oktober diesen Jahres verpflichtend sein wird. Kann das wer bestätigen? Ich habe Anfang diesen Jahres meiner Krankenkasse die Nutzung der ePA widersprochen/untersagt.
Soweit ich es bisher verstanden habe wird es verpflichtend für Ärzte und medizinische Einrichtungen die ePA befüllen / auslesen zu können.
Für Patienten besteht weiterhin die Opt-Out-Möglichkeit keine ePA haben zu müssen.
Ja, für Leistungserbringer. Also kein Grund zur Sorge wenn du widersprochen hast. Siehe auch → https://www.bundesgesundheitsministerium.de/epa-vorteile/
Ab dem 1. Oktober 2025 folgt die Verpflichtung für die Leistungserbringer, die ePA zu nutzen.
Gerade auf heise gelesen ( https://heise.de/-10639297 )
"Die ePA ist unglaublich sicher. Natürlich, mit viel krimineller Energie findet man immer irgendwo irgendwie einen Weg. Das kann ich nicht leugnen, aber die Leute haben kein Problem damit, auf Instagram, auf Facebook und sonstwo ihre Sachen zu posten“, so Orschulik. Ihn würde es „mehr stören, wenn auf meinem Konto 3000 Euro fehlen, als wenn möglicherweise irgendwo […] ein kleiner Datenabfluss“ sei.
Alter Schwede! Und das aus dem Mund von dem, der bei der TK für die ePA verantwortlich ist. Mir wird schlecht! Wie kann man so argumentieren?!
Und was soll dieses “KI-ready” der ePA?? Was zur Hölle??
“die Leute” gibt es nicht, würde ich ihm ganz kurz antworten, um einen Fehler in seiner “Argumentation” aufzudecken.
Ja, ich war auch absolut schockiert über diese saloppe Aussage. Es geht um die mit intimsten Daten die ein Mensch besitzt und da sei „ein kleiner Datenabfluss“ weniger schlimm als Geldverlust… 
Aber am meisten habe ich auch bei „KI-ready“ die Augen groß gemacht. Wie will ein KI-Modell, welches momentan noch Daten im Klartext benötigt, tatsächlich anonym Gesundheitsdaten verarbeiten?
Soweit ich weiß, steht die vollständig homomorphe Verschlüsselung der Daten, bei der die KI auch ohne Entschlüsselung die Daten nutzen könnte noch im Anfangsstadium und verbraucht noch viel zu viel Rechenleistung. Und selbst da gibt es noch keine absolute Sicherheit auf Rückschlüsse bei gewissen Szenarien
Schön, dass ihm das „KI-ready“ herausgerutscht ist… damit ist klar, wohin sich das bewegt.