Die elektronische Patientenakte (ePA) erfüllt weiterhin nicht die vorgegebenen Sicherheitsanforderungen. Das berichtet der Spiegel mit Verweis auf die Sicherheitsforscher Martin Tschirsich und Bianca Kastl. Diese konnten dem Bericht zufolge erneut ausnutzbare Schwachstellen finden, mit deren Hilfe man auf konkrete Patientenakten hätte zugreifen können. Hacker haben im vergangenen Jahr bereits auf große Sicherheitsbedenken hingewiesen, der Start der Anwendung wurde daraufhin verschoben. Der Betreiber implementierte weitere Sicherungen. Zuletzt hatte der geschäftsführende Bundesgesundheitsminister Karl Lauterbach (SPD) versichert: "Sicherheit geht immer vor." Während der Testphase wurden daher noch zusätzliche Vorkehrungen umgesetzt. So sei es gelungen, Sicherheitsprobleme für einen Massenzugriff auf ePAs zu lösen, die der Chaos Computer Club herausgearbeitet hatte. Vereinzeltes Zugreifen ist möglich Laut den Experten lassen sich trotzdem noch vereinzelt sensible Daten abfragen – über eine Schnittschelle für sogenannte Ersatzbescheinigungen. Sie wurde eingeführt, damit Ärztinnen und Ärzte auch dann abrechnen können, wenn Patientinnen oder Patienten ihre Gesundheitskarte vergessen haben. Laut dem Bericht des Spiegels ist das ePA-System nicht völlig unsicher, ein Hack ist eher unwahrscheinlich, doch schlecht gesicherte Systeme und leicht zugängliche Karteninformationen stellten weiterhin ein Risiko dar. Der Betreiber teilte derweil mit, die Lücken bereits geschlossen zu haben. "Der Gematik liegen Informationen vor, dass der Chaos Computer Club (CCC) ein Szenario für unberechtigte Zugriffe auf die elektronische Patientenakte beschrieben hat", heißt es in einer Mitteilung. Über elektronische Ersatzbescheinigungen für Versichertenkarten könne man an Informationen gelangen, um auf einzelne elektronische Patientenakten zuzugreifen. "Die Gematik hat diese Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestehen könnte, geschlossen." Die potenziell betroffenen Versicherten seien identifiziert und geschützt worden. © Lea Dohle Newsletter Was jetzt? – Der tägliche Morgenüberblick Starten Sie mit unserem kurzen Nachrichten-Newsletter in den Tag. Erhalten Sie zudem freitags den US-Sonderletter "Was jetzt, America?" sowie das digitale Magazin ZEIT am Wochenende. Registrieren Mit Ihrer Registrierung nehmen Sie die Datenschutzerklärung zur Kenntnis. Vielen Dank! Wir haben Ihnen eine E-Mail geschickt. Prüfen Sie Ihr Postfach und bestätigen Sie das Newsletter-Abonnement. Diese E-Mail-Adresse ist bereits registriert. Bitte geben Sie auf der folgenden Seite Ihr Passwort ein. Falls Sie nicht weitergeleitet werden, klicken Sie bitte hier . Seit Dienstag steht die elektronische Patientenakte (ePA) allen Versicherten und Leistungserbringern in Deutschland zur Verfügung. Die Nutzung der ePA bleibt für Versicherte freiwillig, für Leistungsbringer ist sie ab Oktober 2025 verpflichtend. "In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen", sagte Lauterbach laut der Mitteilung. Er sei der Gematik dankbar, dass sie auf die ersten Hinweise direkt reagiert und die Sicherheitslücke geschlossen habe. Laut Gematik wurde dafür das gesamte Verfahren der elektronischen Ersatzbescheinigung "vorerst ausgesetzt".