Den Sicherheitsforschern Bianca Kastl und Martin Tschirsich ist es gelungen, an gültige Heilberufs- und Praxisausweise sowie an Gesundheitskarten von dritten Personen zu gelangen. Kastl ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org. Tschirsich ist beim Chaos Computer Club aktiv und arbeitet im Bereich der Informationssicherheit.

Konkret Identifizierten die beiden folgende Sicherheitsprobleme:

* Fehlerhafte Sicherheitsmechanismen: Schwachstellen in den Spezifikationen ermöglichen es, Zugriffstoken ohne Gesundheitskarte zu erstellen.

* Manipulation von Gesundheitskarten: Elektronische Gesundheitskarten können durch einfache Anrufe bei Krankenkassen auf fremde Namen bestellt werden. Die nötige Zeit für einen Angriff beträgt oft weniger als 20 Minuten.

* Fehlende PIN-Abfrage: Ab der Version 3.0 entfällt die PIN, so dass nicht einmal der physische Besitz einer Karte für den Zugriff erforderlich ist.

* SQL-Injection und gefälschter IT-Support: Angriffe auf Kartenherausgeberportale sowie der Kauf gebrauchter Kartenterminals ermöglichten die Manipulation von Patientendaten.

Tschirsich und Kastl kritisieren weiter, dass viele dieser Schwachstellen seit Jahren bekannt sind, jedoch nicht behoben wurden. Bereits vor Jahren hatte man ähnliche Mängel bei Heilberufsausweisen und Praxiszugängen festgestellt. Sie fordern deshalb:

* Transparente Kommunikation: Versicherte müssen besser über die Risiken der ePA informiert werden.

* Unabhängige Sicherheitsbewertung: Eine objektive Prüfung der Schwachstellen soll das Vertrauen in die ePA stärken.

* Sichere und staatliche digitale Infrastruktur: Kastl fordert eine öffentliche, sichere Plattform für die lebenslange Patientenakte.