Schlechte Karten - IT-Sicherheit im Jahr null der ePA für alle

Day 3 17:15 One de Security
Dec. 29, 2025 17:15-18:15
Seit Mitte 2025 steht die elektronische Patientenakte für alle zur Verfügung – nach ein paar kleineren oder größeren Sicherheitsproblemen im Vorfeld, sei es vor einem Jahr auf dem 38C3 oder Ende April zum deutschlandweiten Start. Zeit ein Fazit zu ziehen: Ist die ePA jetzt sicher? Wurden nachhaltige Veränderungen durchgeführt, die zu mehr Sicherheit führen? Kann der Umgang mit der IT-Sicherheit «eines der größten IT-Projekte der Bundesrepublik» für zukünftige Digitalprojekte hilfreich sein? Zeit, mit etwas Abstand auf das zu blicken, was war, was ist und was sich abzeichnet nicht nur bei der ePA, sondern auch beim Umgang mit IT-Sicherheit bei ähnlichen Vorhaben in Deutschland. Eine umfassende Analyse der Historie und der Ursachen einer der weitreichendsten Fehlentwicklungen im Bereich der IT-Sicherheit der letzten Jahre, die sich in weit mehr zeigt, als nur in schlechter Prüfung der Anwesenheit von Gesundheitskarten im Gesundheitswesen.

Zum letzten Chaos Communication Congress konnten Martin Tschirsich und Bianca Kastl eine Ansammlung größerer und kleiner Sicherheitsprobleme in der elektronischen Patientenakte für alle aufzuzeigen – sei es in der Ausgabe von Identifikationsmitteln, in Systemen in der Telematikinfrastruktur oder in angebundenen Systemen. All diese Probleme kumulierten in einem veränderten und reduzierten Rollout der ePA für alle in den Modellregionen Anfang 2025, bei dem bereits erste Maßnahmen zur Schadensminimierung unternommen wurden. Ende April 2025 wurde die ePA für alle dann auch wirklich für alle deutschlandweit bereitgestellt – allerdings traten am gleichen Tag die scheinbar sicher gelösten Sicherheitslücken im Zugangsmanagement wieder zu Tage und wurden alsbald wieder nur provisorisch abgedichtet.

Dieser Talk will etwas zurückblicken auf die Geschichte und die Ursachen dieser Sicherheitsprobleme der ePA für alle. Als «eines der größten IT-Projekte der Bundesrepublik» steht die ePA sinnbildlich für den digitalpolitischen Umgang mit Sicherheitsversprechen und interessensgetriebenen Anforderungen über die Köpfe von Patientinnen oder Bürgerinnen hinweg.

Dabei geht es nicht nur um technische Probleme und deren Behebungsversuche, sondern auch um die strukturellen Ursachen, die große digitale Vorhaben immer wieder in manchen Bereichen scheitern lassen. Diese tiefergehende Betrachtung kann uns dabei helfen, die Ursachen für schlechte IT-Sicherheit auch bei zukünftigen digitalpolitischen Vorhaben in Deutschland besser zu verstehen. Nicht für die ePA für alle und Anwendungen im Bereich der Telematikinfrastruktur, sondern auch weit darüber hinaus.

Tiefergehende Analyse und Nachwirkungen zu 38C3 „Konnte bisher noch nie gehackt werden“: Die elektronische Patientenakte kommt - jetzt für alle!

Speakers of this event

Avatar of Bianca Kastl
Bianca Kastl

Bianca Kastl, Entwicklerin und digitale Erklärbärin, beschäftigt sich längerem beruflich und zivilgesellschaftlich mit digitalen Infrastrukturen und ihren Technikfolgen im Bereich öffentlicher Verwaltung und Gesundheitswesen. Nach diversen Erfahrungen mit digitalen Pandemieanwendungen ist ihr aktueller Fokus die Beschäftigung mit großen Digitalisierungsvorhaben im Kontext der öffentlichen Verwaltung wie dem Onlinezugangsgesetz, Registermodernisierung, Digitale Identitäten sowie dem digitalen Gesundheitswesen wie der elektronischen Patientenakte – besonders intensiv im letzten Jahr – dem europäischen Gesundheitsdatenraum und dem Gesundheitsdatennutzungsgesetz.

Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit (InÖG) und setzt sich dort für bessere Digitalisierung von Verwaltung und Gesundheitswesen ein.

  • Schlechte Karten - IT-Sicherheit im Jahr null der ePA für alle