Ist die elektronische Patientenakte (ePA) unsicher? Risiken, Kritik und Faktencheck

Mit dem bundesweiten Rollout ist die elektronische Patientenakte (ePA) Teil der digitalen Versorgungsinfrastruktur im Gesundheitswesen.

Doch wie belastbar ist das Sicherheitsmodell – und wo liegen die realen Risikotreiber im Betrieb? Dieser Beitrag zeigt einen Faktencheck zur Sicherheit der ePA sowie Maßnahmen, die die Sicherheit im Gesundheitswesen steigern.

Was ist die elektronische Patientenakte – und warum steht sie in der Kritik?

Die ePA ist rechtlich im SGB V verankert. Sie wird grundsätzlich automatisch für Versicherte angelegt; ein Widerspruch ist per Opt-out möglich. Kritikpunkte adressieren identifizierte Schwachstellen und haben zu Nachbesserungen in Spezifikation und Betrieb geführt.

Zentrale Kritikpunkte an der ePA:

  • Kompromittierte Leistungserbringer-Zugänge: Unabhängige Sicherheitsforscher und das Fraunhofer SIT weisen auf Risiken durch unzureichend geschützte Zugänge hin. Sicherheitsanalysen zeigen, dass Angreifer mit Zugangsdaten einer Institution (z. B. Praxis, Apotheke) unberechtigten Zugriff auf sensible Daten erlangen könnten.
  • Insider- und Betreiber-Risiken: Das Fraunhofer SIT weist darauf hin, dass privilegierte Administratorzugriffe, unzureichende Rollentrennung sowie nicht strikt abgesicherte Backup- und Wiederherstellungsprozesse potenzielle Insider-Angriffsvektoren darstellen können.  
  • Primärsysteme als Schwachstelle: Auch wenn zentrale ePA-Komponenten stark abgesichert sind, können unsichere Primärsysteme das Gesamtrisiko beeinflussen.

Was macht die elektronische Patientenakte sicher – Faktencheck

Beim Abwiegen, ob die elektronische Patientenakte sicher sei, muss zwischen dem rechtlichen Rahmen und der technischen Architektur bzw. der Cybersecurity der Einrichtungen unterschieden werden. Auch IAM-Funktionen wieAuthentisierung, Autorisierung und Befugnisprüfung im Gesundheitswesen nehmen eine zentrale Rolle ein.

Rechtlicher Ordnungsrahmen

Der Betrieb der elektronischen Patientenakte (ePA) ist in Deutschland nach SGB V gerahmt. Dort wird die elektronische Patientenakte als Bestandteil der Telematikinfrastruktur (TI) definiert und reguliert.

Gemäß SGB V dürfen ausschließlich von dergematik zugelassene Komponenten und Dienste der Telematikinfrastruktur eingesetzt werden. Das SGB V definiert weiterhin den regulatorischen Rahmen. Technische und organisatorische Anforderungen werden durch gematik-Spezifikationen und Zulassungsverfahren konkretisiert.

Flankierend bestehen datenschutzrechtliche Steuerungsrechte der Versicherten. Dies etabliert ein governance-basiertes Kontrollmodell mit starker informationeller Selbstbestimmung. Der Rechtsrahmen definiert sicherheitstechnische Anforderungen, die durch gematik-Spezifikationen konkretisiert werden. Er ersetzt jedoch nicht die organisatorische Umsetzung beim Betreiber.

Imprivata Patient Privacy Intelligence schützt die Privatsphäre der Patienten und unterstützt Datenschutzprogramme mit Sicherstellung der Compliance im Gesundheitswesen.

Technisches Sicherheitsdesign

Die gematik-Spezifikation zum ePA-Aktensystem (Version 1.4.0, Stand 28.02.2025) definiert ein sicherheitszentriertes Architekturmodell mit folgenden Kernelementen.

  • Vertrauenswürdige Ausführungsumgebungen (VAU): Isolierte, attestierte Runtime-Umgebungen zur Verarbeitung sensibler ePA-Daten.  
  • VAU-HSM (Hardware Security Module): Kryptografische Schlüssel werden in spezialisierten, manipulationsresistenten Hardwaremodulen erzeugt und geschützt.  
  • Schlüsselbindung an attestierte Instanzen:Kryptografische Operationen sind ausschließlich innerhalb geprüfter und attestierter VAU-Instanzen zulässig.

Das Design zielt darauf ab, strukturelle Angriffsflächen durch Isolation und Hardware-gestützte Kryptografie zu reduzieren.

Fehlkonfigurationen, mangelhafte Schlüsselverwaltung, unzureichendes Monitoring oder organisatorische Defizite können das reale Risikoniveau trotz formal robuster Architektur signifikant erhöhen.

IAM im Kontext der ePA

Im ePA-Kontext ist IAM kein isoliertes IT-Tool, sondern umfasst sicherheitskritische Funktionen wie Authentisierung, Autorisierung und Befugnisprüfung innerhalb der TI-Gesamtarchitektur. Es muss organisationsintern steuern, regulatorische Vorgaben, kryptografische Vertrauensmodelle und patientenzentrierte Governance durchsetzen.

Identitätslösungen für das Gesundheitswesen von Imprivata unterstützen TI-konforme Authentisierung, rollenbasierte Zugriffsdurchsetzung und manipulationssichere Protokollierung.

  1. Starke, TI-konforme Authentisierung
  • Nutzung zugelassener Identitätsmittel
  • Kryptografisch abgesicherte Authentisierung
  • Unterstützung qualifizierter elektronischer Signaturen
  • Bindung von Identitäten an attestierte Umgebungen  
  1. Feingranulare Autorisierung
  • Durchsetzung rollenbasierter Zugriffskontrolle (z. B. Arzt, MFA, Krankenhausarzt).
  • Umsetzung des Need-to-know-Prinzips.
  • Berücksichtigung patientenseitiger Freigaben (dokumenten- oder leistungserbringerbezogen)
  • Trennung zwischen Institutionsidentität und personenbezogener Identität
  • Berücksichtigung patientenseitiger Steuerungsrechte
  • Zugriffsbeschränkungen gemäß Patientenentscheidung
  • Dynamische Anpassung von Zugriffsrechten bei Entzug von Freigaben  
  1. Nachvollziehbarkeit und Revisionsfähigkeit
  • Vollständige Protokollierung aller Zugriffe (wer, wann, auf welches Objekt, mit welcher Rolle)
  • Manipulationssichere Audit-Logs
  • Bereitstellung von Protokolldaten für Patienten (Transparenzanforderung)  
  1. Lifecycle- und Berechtigungsmanagement
  • Automatisiertes Provisioning/De-Provisioning bei Eintritt, Rollenwechsel oder Austritt.
  • Sofortiger Entzug von Berechtigungen bei Statusänderung.
  • Regelmäßige Rezertifizierung von Rollen und Berechtigungen.  
  1. Kryptografische und systemische Sicherheit
  • Sichere Verwaltung von Zertifikaten und Schlüsseln
  • Schutz privilegierter Konten
  • Absicherung gegen Identitätsmissbrauch, Credential-Diebstahl undInsider-Risiken.  
  1. Integration in ein ISMS
  • Risikobasierte Ausgestaltung gemäß ISO 27001 bzw. B3S Gesundheit.
  • Klare Trennung administrativer und medizinischer Rollen.
  • Notfallzugriffsregelungen („Break-Glass“) mit erhöhter Protokollierung.

Auswirkungen eines ePA-Ausfalls in der Praxis

Ein ePA-Ausfall kann medizinisch-organisatorische Auswirkungen (Versorgungsverzögerung) und IT-betriebliche Risiken (Integritäts- und Synchronisationsprobleme) auslösen. EineMeldepflicht nach DSGVO entsteht bei einer Verletzung des Schutzes personenbezogener Daten – also bei unbefugter Offenlegung, Veränderung oder bei einem unbeabsichtigten Verlust, sofern ein Risiko für Betroffene besteht.

Insbesondere können kompromittierte oder instabile Primärsysteme die Gesamtverfügbarkeit der ePA signifikant beeinträchtigen. Die Sicherheit der ePA-Architektur ist von der Betriebssicherheit der angeschlossenen Leistungserbringer abhängig.

Wie Kliniken die ePA sicher integrieren können

Die ePA ist nur so sicher wie ihre Integration in Identitätsmanagement, Berechtigungskonzepte, Primärsysteme und Betriebsprozesse.

1. ISMS-Struktur etablieren

Die IT-Grundschutz-Methodik des BSI bietet einen strukturierten Rahmen für ein belastbares ISMS (BSI Standard 200-2): ePA-Zugriffspfade sollten explizit in Scope, Risikoanalyse und Maßnahmenkatalog aufgenommen werden.

2. Identity & Access Management priorisieren

Das BSI-Modul ORP.4 adressiert generische Anforderungen an Identitäts- und Berechtigungsmanagement als Kernkontrolle, die auch für ePA-Anbindungen relevant sind.

Best Practices des IAM für ePA:

  • Least Privilege
  • MFA insbesondere für privilegierte und administrative Zugriffe verpflichtend
  • Regelmäßige Rezertifizierung
  • Privileged Access Management
  • Trennung institutioneller und personenbezogener Identitäten

Die Anforderungen ergeben sich teils aus TI-Vorgaben, teils aus allgemein anerkannten Sicherheitsstandards (BSI, ISO 27001).

3. Logging & Detection operationalisieren

Das BSI definiert Mindeststandards für Protokollierung und Detektion. ePA-Zugriffe sollten als eigener Monitoring-Use-Case behandelt werden (Anomalien, Massenzugriffe, privilegierte Sessions).

4. Rollentrennung und Lieferkette absichern

Fraunhofer SIT betont die Notwendigkeit klarer Rollentrennung und resilienter Betriebsprozesse. Dazu gehören z. B. ein 4-Augen-Prinzip für administrative Eingriffe und die technische Härtung der angebundenen Primärsysteme (z. B. Patch-Management, Netzwerksegmentierung, Einschränkung lokaler Administratorrechte).

Fazit: Ist die ePA unsicher?

Die ePA ist Teil einer hochkomplexen, vernetzten Infrastruktur mit klar definierten Sicherheitsmechanismen und Governance-Vorgaben.

Die entscheidende Variable ist die operative Umsetzung bei Leistungserbringern. Wer ePA-Sicherheit erreichen will, muss Identitäten kontrollieren, privilegierte Zugriffe überwachen, Primärsysteme härten und Verfügbarkeit aktiv managen. Die ePA kann als Prüfstein für das Sicherheitsniveau des Gesundheitssystems angesehen werden und fordert die Verantwortlichen dazu heraus, die richtigen Maßnahmen umzusetzen.

Imprivata bündelt Anforderungen in einer TI-kompatiblen Architektur – von starker Authentisierung bis zur zentralen Rezertifizierung und Auditierung.

You are currently browsing

Product availability varies by region. Would you like to choose a different region?

No thank you, I'd like to continue