Die ePA 3.0 ein Laborrattenexperiment?

Vorab: diesmal mit einer Handlungsempfehlung für verantwortungsvolle Ärzte und Ärztinnen – kommt am Schluss!

Was mache ich, wenn ein Experiment scheitert und ich die toten Ratten einsammele? Gut, ärgerlich, ich werf die toten Viecher weg und fange nochmal an. Die Gematik GmbH (korrekt: Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH) geht andere Wege, die Versuchsleiter für die ePA 3.0 erklären den toten Ratten, dass sie nur schlafen – und die ePA sei sicher, richtig sicher!

Die Gematik hat sogar vom Fraunhofer Insitut ein Gutachten., das bescheinigt: die ePA sei sicher – säuselt die Gematik.

Randolf-Heiko Sherka, SRC (Security Research & Consulting GmbH im Gesundheitswesen) sieht, das System ist „inzwischen so komplex, dass es kaum noch jemand vollständig durchdringt.“ Kein Wunder, die Spezifikationen, die sich zudem noch laufend ändern, ist ein Papierhaufen mit ungefähr 10.000 Seiten.

Da kann nur KI helfen! Das Fraunhofer-Institut hat sich der Sache wohlwollend angenommen und das Konvolut „in eine eigens dafür aufgesetzte Künstliche Intelligenz überführt und so ein gematik-GPT auf Open-Source-Basis entwickelt,” Danach nochmal von Menschenhand drüber sehen lassen. Die kommen tatsächlich zu dem Schluß: „Die Systemarchitektur ist insgesamt angemessen, lässt sich jedoch noch verbessern.” Verhehlen nicht, dass „ergänzende Maßnahmen, die zum Beispiel vor Innentätern schützen” notwendig sind.

Die punkfarbenen Cyber-Freaks vom CCC (Chaos Computer Club) haben zwischen alten Pizzakarton und Bierdosen ein bissel im Müll gewühlt, die haben ja keine Ahnung, wollten nur spielen.

Um grob zu verstehen, was die zwischen den Pizzakartons gefunden haben, hilft ein Blick auf die Gesamtkomposition .  Einfach anklicken, schon auf Folie 5 erkennen wir,  dass – die Bierdose an der richtigen Stelle platziert – reintreten können und ein Loch finden. Kommt nur auf die Größe an, ob wir zielen müssen oder sofort ein Scheunentor treffen.

Wer lustlos die Folien durchscrollt, der findet Lücken, die seit 2012 bekannt sind, entweder gar nicht beachtet wurden oder notdürftig gestopft. Die Liste ist ein Grand-Prix des Versagens, Nachlässigkeiten und nackter Inkompetenz. Auf der letzten Tagung 38C3 im Dezember 24 vom ChaosComputerClub gab es ein weiteres ePA Festmahl, bei dem nicht nur gezeigt wurde, wie die ePA 3.0 genommen werden kann, um an alle 71 Millionen Versichertendaten zu kommen, der Vortrag  ist ein Krimi!

Und wie äußert sich die Gematik dazu? Die „Angriffszenarien auf die neue ePA wären technisch möglich gewesen, die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich“. Wenn ich mich ins Auto setze, dann kann ich theoretisch einen Unfall haben, aber es passen doch alle auf, da passiert nix, bestimmt. Und wenn doch? Die Gematik hat noch einen soliden Pfeil im Köcher: „Unberechtigte Zugriffe auf die ePA sind strafbar und können nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen!” Jawoll, da fragt Putin, ob er mit der Gematik kooperiert, wenn seine Hacker bei uns straffällig geworden sind – das ist „in der Realität aber nicht sehr wahrscheinlich” – würde ich sagen.

Wer sich selbst ein Bild machen will, welche Nebelkerzen die Gematik gekonnt zündet, der liest die aktuelle Stellungnahme dazu.

Kommen wir zurück zu den Laborratten in der Stellungnahme, also zu uns Patienten. Die kanzelt die Gematik so ab: „Für die ab 15. Januar startende Pilotphase bedeutet dies, dass zunächst nur die in der Modellregion teilnehmenden Leistungserbringer auf die ePA der Versicherten zugreifen können. Die elektronischen Patientenakten aller Versicherten bundesweit sind somit gut geschützt.” Ach so, die Ratten in den Modellregionen brauchen keinen besonderen Schutz? Die werfen wir einfach weg? Und kann denen jemand erklären, dass in einem solchen Zusammenhang das Wort „gut” keinerlei Aussagekraft besitzt? Ne, warte, das ist der Rest einer Nebelkerze, die glimmt noch!

Die Stellungnahme der Gematik endet mit dem bedeutungsschweren Satz: „Außerdem wird die Sicherheit der TI und aller Anwendungen fortlaufend geprüft – in enger Abstimmung mit den zuständigen Behörden und externen Experten.” Seit wann? Was? Die hatten über 20 Jahre Zeit, merken fünf Minuten vor Schluss, dass sie gescheitert sind und machen trotzdem weiter? Welche „externen Experten” hatten die denn? Vielleicht hätte die Gematik schon vor über 15 Jahren mit „externen Experten“ des CCC arbeiten sollen. Ich schätze, bei der Gematik mögen sie kein Dosenbier und Pizza – lieber einen Château Mouton-Rothschild Jahrgang 1945 (3 Literflasche), dazu weiße Trüffel in einer sahnigen Schildkrötensuppe – auf Kassenkosten, versteht sich.

Umhüllt vom Geldsegen unserer Krankenkassen lassen sich die abenteuerlichsten Szenarien nicht nur ausdenken, sondern auch bezahlen, nicht zu knapp! Zu behaupten, die ePA sei für die Versicherten umsonst, müsste strafrechtlich wegen Falschaussage verfolgt werden.

Und was macht Bundesgesundheitsminister Lauterbach? Der duckt sich weg, er kann schlecht die Gematik auflösen, möchte er auch nicht, will aber als scheidender Minister keinesfalls in einem sehr schlechten Licht erscheinen. Auf einem online-Portal (das ich persönlich verachte und deshalb nicht verlinke) erklärt er zu den Erkenntnissen der ehrenamtlichen externen Experten vom CCC: „Die ePA werde erst kommen, wenn alle ‘Hackerangriffe’ unmöglich seien“ (Den Text finden wir auch auf apotheke adhoc)

Konkret würde es bedeuten – basierend auf dem Erfahrungsschatz in der Digitalisierung, den die Gematik in den letzten Jahrzehnten anhäufen konnte:  die ePA kommt nie!

Lauterbach kann diese Forderung sehr gerne stellen, die Gematik wartet nur auf den nächsten Gesundheitsminister – um weiterzumachen, wie bisher. Sie haben schließlich noch ein ganzes Arsenal an Nebelkerzen zur Verfügung.

Und wo bleibt der Tipp für verantwortungsvolle Ärztinnen und Ärzte?

Die ePA kommt, ein bissel später vielleicht, aber sie kommt. Also vorsorgen, nicht bohren – zumal die Patienten weder von der ePA Ahnung haben noch wissen, was sie damit sollen. Die Lösung ist nur ein Blatt Papier weit entfernt. Den Patienten zu erklären, sie mögen widersprechen, weil das Arbeitszeit spart und mehr Zeit für Behandlungen bleibt, sehen sie schnell ein. Doch dann passiert nichts, ärgerlich! In der Praxis muss zu Beginn eines Quartals die Karte eingelesen werden, darauf die Kasse, die Kartennummer, der Name, das Geburtsdatum und was hängt dran? Der Patient selbst. Die Helferin füllt für den Patienten oder auch Patientin dieses Formular vorab aus, reicht den Ausdruck mit einem Stift zur Unterschrift, fertig! Am Ende des Monats können die Widersprüche gesammelt an die verschiedenen Kassen gesendet werden und mit ein bissel Glück ziert demnächst das Türschild der Eintrag:

„ePA-freier Praxisbetrieb“

(Kleiner Tipp für die Sparfüchse unter den Ärztinnen und Ärzten:  die Kosten beim PVS steigen dann nicht schon wieder!)