KZVWL fordert unabhängige Prüfung der Datensicherheit im Gesundheitswesen

Sicherheitsdefizite bei D-Trust GmbH erfordern konkrete Handlungen

Die jüngsten Enthüllungen des Chaos Computer Clubs (CCC) über gravierende Sicherheitslücken bei der D-Trust GmbH, einem Tochterunternehmen der Bundesdruckerei, haben alarmierende Defizite in der Datensicherheit des deutschen Gesundheitswesens offengelegt.

Die Kassenzahnärztliche Vereinigung Westfalen-Lippe (KZVWL) fordert: So kann es nicht weitergehen! Die Datensicherheit muss höchste Priorität haben und endlich extern und unabhängig geprüft werden. Es ist inakzeptabel, dass Unternehmen, die für die Datensicherheit im Gesundheitswesen eine so große Rolle spielen, erst vom CCC auf ihre eklatanten Sicherheitslücken aufmerksam gemacht werden müssen.

Michael Evelt, stellvertretender Vorstandsvorsitzender der KZVWL und TI-Vorstand, verlangt: „Wir brauchen endlich einen professionellen und dem Wert der Daten angemessenen Umgang mit dieser Situation. Das Gesundheitswesen ist kein Experimentierfeld!“

Die KZVWL fordert deshalb, folgende Maßnahmen unverzüglich umzusetzen:

Unabhängige Prüfung der Sicherheitsrisiken: Patientendaten müssen effektiv geschützt werden. Es bedarf einer externen und unabhängigen Überprüfung der Telematikinfrastruktur, um bestehende Schwachstellen zu identifizieren und zu beheben.

Generalüberholung statt Flickenteppich: Der Vorfall bei der D-Trust muss umfassend aufgeklärt werden. Auch deshalb ist die Einführung der ePA für alle auf unbestimmte Zeit zu verschieben. Erst wenn alle Einfallstore geschlossen sind, kann überhaupt an eine Umsetzung dieses Projekts gedacht werden.

Die Sicherheit der Gesundheitsdaten und eine patientenzentrierte Digitalisierung müssen oberste Priorität haben. Alles andere ist unverantwortlich.

Zum Hintergrund

Die D-Trust GmbH, ein Tochterunternehmen der Bundesdruckerei, ist für die Ausstellung von Zertifikaten und Sicherheitslösungen in der Telematikinfrastruktur (TI) des deutschen Gesundheitswesens verantwortlich. Diese Zertifikate sind essenziell, um eine sichere digitale Identität für Praxen, Apotheken und andere Akteure im Gesundheitswesen zu gewährleisten. Der Chaos Computer Club (CCC) deckte nun gravierende Sicherheitslücken in den Systemen von D-Trust auf, die potenziell dazu führen könnten, dass Unbefugte Zugriff auf geschützte Gesundheitsdaten erhalten.

Besonders brisant ist dieser Vorfall im Zusammenhang mit der geplanten Einführung der elektronischen Patientenakte (ePA), die ab 2025 für alle gesetzlich Versicherten angelegt werden soll. Ohne solide Sicherheitsvorkehrungen droht das Vertrauen in dieses zentrale Digitalisierungsprojekt schwer beschädigt zu werden. Die aktuellen Enthüllungen zeigen, dass grundlegende Schutzmechanismen offenbar nicht ausreichend geprüft wurden – ein unhaltbarer Zustand, wenn es um hochsensible Patientendaten geht.