CCC warnt vor unabsehbaren Risiken bei der elektronischen Gesundheitskarte

Nachdem der ehemalige Geschäftsführer der gematik, Dirk Drees, im Dezember 2007 aufgrund der vielen technischen Probleme das Handtuch warf, übernahm nun Peter Bonerz die Führung über das immer wieder verzögerte Projekt. Mehr als ein theoretisches Konzept für die Gesundheitskarte habe die gematik jedoch bisher nicht vorzuweisen. Peter Bonerz erklärte auf der Cebit, dass die geplante technische Infrastruktur noch nicht in Betrieb genommen werden könne, da die offizielle Ausschreibung der Public-Key-Infrastruktur (PKI) des zentralen Backbone-Server-Verbundes bislang immer noch nicht abgeschlossen sei.

"Was sich nach einem Aprilscherz anhört, meint die gematik tatsächlich ernst", sagte der Sprecher des Chaos Computer Club (CCC), Dirk Engling. "Es werden neue riesige Datenberge angehäuft, ohne dass das Sicherheitskonzept zum Zugriff auf die medizinischen Daten bisher erprobt wurde. Ein Feldtest des Kommunikationssystems konnte aufgrund der fehlenden Ausschreibung gar nicht erfolgen. Jede Softwareklitsche leistet da bessere Arbeit, obwohl diese nicht über ein Milliardenbudget verfügen."

In den bisherigen Feldtests habe es nach Angaben der gematik Probleme mit dem Zugriff auf die Karten sowie mit dem Einsatz des neuen elektronischen Rezeptes (eRezept) gegeben. Diese Funktion wird als die Hauptanwendung der eCard beworben. Die ursprünglich vorgesehenen Feldtests mit 100.000 Karten seien gleich ganz abgeblasen worden.

Von der Öffentlichkeit fast unbemerkt würde zeitgleich mit der Gesundheitskarte jedem Bürger eine eindeutige Nummer (Patienten-ID) zugewiesen. Damit könne jeder Mensch und seine Krankengeschichte auch nach Jahren noch zurückverfolgt werden. Die Stammdaten aller Versicherten sollen zentral und unverschlüsselt gespeichert sowie zur Authentifizierung genutzt werden. Zusätzlich würde auch die bislang freiwillige elektronische Patientenakte (ePA) zentral gespeichert, auch wenn die Bundesregierung immer wieder behauptet, dass die Kontrolle über die sensiblen Daten beim Versicherten bleibe.

Aus der bisher vorliegenden technischen Dokumentation der Gesundheitskarte gehe außerdem hervor, dass es später so genannte Mehrwertdienste geben soll. Durch dieses fragwürdige Geschäftsmodell sollen in Zukunft die immensen Kosten der Einführung und des Betriebes der Infrastruktur refinanziert werden.

"Es ist nicht akzeptabel, dass Patientendaten, auch wenn diese teilweise freiwillig gespeichert wurden, als Handelsware verwendet werden sollen. Es dürfte für einen Unfallpatienten nicht angenehm sein, in seinem Briefkasten ein Angebot über günstige Hüften zu finden. Die Bundesregierung hat bislang nicht erklärt, wofür genau diese ominösen Mehrwertdienste verwendet werden", kommentierte CCC-Sprecher Dirk Engling. Auch die Antwort der Bundesregierung auf eine Kleine Anfrage der FDP zur elektronischen Gesundheitskarte hätte keine Klärung gebracht.

Der CCC warnt vor der Einführung der elektronischen Gesundheitskarte, da notwendige Feldtests zur Evaluierung aufgrund der Fehlplanung nicht wie vorgesehen durchgeführt, sondern die unkalkulierbaren Risiken und Nebenwirkungen des Experiments ab April von den Patienten und den Angehörigen der Heilberufe getragen werden. Den Schutz der Daten sollen ohnehin zum großen Teil die Praxen und Kliniken gewährleisten, die jedoch überhaupt keinen zusätzlichen Nutzen durch die eCard haben. Im Gegenteil: Die Ärzte und Apotheker seien diejenigen, welche die Kosten des 4,5-Milliarden-Euro-Projekts vorschießen müssen. Ein medizinischer Nutzen der Gesundheitskarte werde seitens der Bundesregierung ohnehin nicht mehr behauptet. Es sei völlig unklar, warum weiterhin Milliarden für dieses Projekt ausgegeben werden. (jdo)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.