Die elektronische Patientenakte (ePA) soll Anfang 2025 in Deutschland flächendeckend eingeführt werden. Damit erhalten alle gesetzlich Versicherten automatisch eine ePA, sofern sie nicht widersprechen.
Martin Tschirsich und Bianca Kastl zeigten auf dem 38C3 jedoch auf, dass u. a. durch Fehlverhalten von Versicherern und/oder Ärzten bzw. deren Mitarbeitenden unberechtigte Dritte vollen Zugriff auf die Patientenakten einzelner Versicherter erhalten können. Dazu gehörten der Weiterverkauf von Konnektoren/Lesegeräten mit noch gestecktem elektronischen Heilberufsausweis (eHBA) oder Institutionsausweis (SMC-B) sowie der Versand eines eHBA durch Dienstleister oder einer eGK durch Versicherungen an eine fremde Adresse.
Solange solche Angriffsvektoren nicht ausreichend adressiert werden, werden die Stimmen, die vor einer Einführung warnen, laut bleiben.
