ePA & D-Trust im Kreuzfeuer: Warum IT-Sicherheit und Transparenz über Erfolg der digitalen Patientenakte entscheiden.
Das Jahr 2025 begann mit einem Paukenschlag für alle IT-Sicherheit und Datenschutz Interessierten. Wenn Sie es genau nehmen, ist der Vorgang schon länger im Gange. Die elektronische Patientenakte (ePA) stand bereits vor der Einführung in der Kritik. Gleichzeitig ist sie ein Sinnbild dafür, warum so viele Digitalisierungsprojekte aufgrund fehlendem Vertrauen scheitern. Doch eins nach dem anderen.
D-Trust meldete am 16.01., dass Sie Ziel eines Cyberangriff geworden sind. Doch wer ist eigentlich D-Trust? D-Trust ist ein Unternehmen der Bundesdruckerei und ist spezialisiert auf die Herstellung von Signaturkarten. Diese elektronischen Heilberufeausweise und Praxisausweise werden für den Zugriff auf die Telematikinfrastruktur (TI) und damit die elektronische Patientenakte benötigt.
D-Trust teilte mit, dass die ausgegebenen Karten nicht kompromittiert und weiter genutzt werden können. Nach Medienberichten sind die Angreifer “nur” an personenbezogene Daten gelangt. Dazu gehören Name, E-Mail-Adresse und Geburtsdatum. In manchen Fällen wurden auch Adress- und Ausweisdaten von Ärzten entwendet. Der Vorfall ereignete sich nach Angaben des Dienstleisters bereits am 13. Januar. Laut einer Schätzung der dpa sind Daten von mehr als 10.000 Ärzten ausgelesen worden.
Der Chaos Computer Club (CCC) teilte zuletzt mit, dass es sich bei dem Angreifer um einen Sicherheitsforscher handle. Er habe ohne kriminelle Absicht die Sicherheitslücke gemeldet. Die Daten seien restlos gelöscht worden. Eine vertrauensbildende Maßnahme in die Digitalisierung, welches die Mission von D-Trust ist, war diese Aktion sicherlich nicht, unterstreicht aber wieder einmal die Notwendigkeit einer funktionierenden IT-Sicherheitsstruktur auf allen Ebenen.
Beim 38. Chaos Communications Congress Ende 2024 demonstrierten Bianca Kastl und Martin Tschirsich, wie angreifbar die elektronische Patientenakte im aktuellen Stadium ist. Trotz aller Warnungen wurde am 15. Januar 2025 die ePA für alle gesetzlichen Versicherten bereitgestellt, die nicht widersprochen haben. Parallel dazu startete die Erprobungsphase in den Modellregionen Hamburg und Umland, Franken und Teilen NRWs. Nach erfolgreicher Erprobung werden Praxen, Krankenhäuser und Apotheken die ePA bundesweit nutzen können.
Mit einem offenen Brief haben sich 28 Organisationen aus dem Gesundheitswesen und der Zivilgesellschaft an den Bundesgesundheitsminister Karl Lauterbach und die gematik gewendet. Sie forderten, dass vor einem bundesweiten Start der ePA alle berechtigten Bedenken glaubhaft und nachprüfbar ausgeräumt werden. Sie schlugen fünf Schritte zur Wiederherstellung des Vertrauens vor:
Reaktion auf die Kritik: Die Gematik kündigte an, vor dem bundesweiten Rollout technische Lösungen einzubauen. Diese sollen den Missbrauch von Arztausweisen verhindern und die Krankenversicherungsnummer zusätzlich verschlüsseln. Zudem will man Nutzer der Telematikinfrastruktur sensibilisieren und das System zur Erkennung von auffälligem Nutzungsverhalten ausweiten. Die Gematik betonte außerdem, dass das theoretische Problem, welches der CCC beschrieben hat, vor der Einführung der ePA gelöst werden soll.
Die elektronische Patientenakte ist ein komplexes und ambitioniertes Projekt mit Chancen und Risiken. Ich unterstütze grundsätzlich jede Form der Digitalisierung. Allerdings wenn es den die Akteure an Offenheit, Selbstkritik und verantwortungsvoll Umgang fehlt, wird es schwierig.
Die jüngsten Vorfälle wie das D-Trust-Datenleck und die Offenlegung des Chaos Computer Clubs unterstreichen die Bedeutung der IT-Sicherheit gerade im Gesundheitswesen. Trotz angekündigter Verbesserungen durch die Gematik ist es wichtig, die Entwicklung der ePA kritisch zu begleiten und eine unabhängige Bewertung sicherzustellen. Nur so kann die elektronische Patientenakte langfristig erfolgreich sein. Fehlt das Vertrauen der Nutzer, kommt es zu unnötigen Blockaden und geringer Akzeptanz. Das gilt gerade auch für zukünftige Digitalisierungsprojekte.
NIS2 ist jetzt relevant, weil die Richtlinie Cybersicherheit erstmals verbindlich und überprüfbar macht – mit Haftung, Meldepflichten und klaren technischen Vorgaben.
Alles über Spear-Phishing. Definition, Unterschied zu Phishing und wie sich Unternehmen schützen können.
Safety vs. Security Definitionen, Fail-Safe vs. Fail-Secure, Praxiskonflikte in OT & IT & warum beides zusammengehört
Definition, Bedrohung durch Store now, decrypt later, PQC-Standards (NIST 2024).
IoT-Trends 2026 zeigen AIoT, Edge, CRA-Security und neue Modelle, die aus Daten echten Nutzen machen.
Windows 10 ist out jetzt Upgrade-Optionen, ESU-Kosten, Hardware-Check und Rollout-Plan für Windows 11.
MQTT erklärt Publish Subscribe, Broker und QoS und warum das Protokoll IoT-Daten robust über schwache Netze bringt.
RPA automatisiert regelbasierte Aufgaben per Software-Bots, senkt Fehler und Kosten und entlastet Teams im Alltag.
Instagram Datenleck 2026 Checke Betroffenheit, stoppe Reset-Spam und schütze dein Konto mit 2FA & Phishing-Tipps.
Anomalieerkennung erkennt Ausreißer per KI in Echtzeit und warnt früh vor Ausfällen, Betrug und Angriffen.
Informiert bleiben
Erhalten Sie wöchentlich die wichtigsten Tech-Trends, exklusive Analysen und Experteninterviews – speziell für IT-Entscheider.
Das muss man gelesen haben?
Behalten Sie ihr Wissen nicht für sich und teilen Sie diesen Beitrag.