Die weiteren Iterationen der ePA gibt Abbildung 1 wieder. Ein wichtiger erster Meilenstein ist die ePA in der Version 3.1, die bereits im Sommer 2025 kommen soll. Hier sollen zum einen der digitale Medikationsprozess über die eML hinaus in Richtung eMedikationsplan und Arzneimitteltherapiesicherheit (AMTS) weiterentwickelt sowie unter anderem die Anbindung des TI-Messengers und der DiGA ermöglicht werden. Ozegowski bekräftigte auch noch einmal, dass bereits ab Sommer 2025 eine Ausleitung der ePA-Daten in Richtung Forschungsdatenzentrum (FDZ) erfolgen soll.
Sebastian Zilch, Unterabteilungsleiter „gematik, Telematikinfrastruktur, E-Health“ beim BMG, ging ausführlicher auf die anstehende Einführungsphase und die geplante Kommunikationskampagne ein. Letztere wird von fischerAppelt gestaltet und soll deutschlandweit in vielen neuen und traditionellen Medien sowie auf Plakatwänden und auf der Website ePA-Vorteile.de vonstattengehen.
Die noch nicht ganz finalisierten Motive werden die Vorteile der ePA für Versicherte und medizinische Einrichtungen griffig in den Vordergrund rücken: „Wir wollen darstellen, warum es sinnvoll ist, die ePA einzuführen und zu nutzen“, so Zilch. Darüber hinaus müssten wesentliche Kommunikationsimpulse in die jeweiligen Zielgruppen, aber auch von den Krankenkassen und den Kassenärztlichen Vereinigungen ausgehen, so Zilch: „Das können nicht die gematik und das BMG alleine machen.“
Vier Wochen Testen soll reichen
Was die Einführungsphase angeht, ist vorgesehen, dass die Primärsystemhersteller die nötigen Funktionen mit dem Update zum ersten Quartal 2025, spätestens kurz danach, zur Verfügung stellen. Ab dem 15. Januar soll der Rollout dann in den zwei Modellregionen Franken und Hamburg starten. Das wird so vonstattengehen, dass die Krankenkassen jenen jeweils 1,5 Millionen Menschen mit Heimatadresse-Postleitzahl in den Modellregionen die ePA zuerst ausstellen, damit es dort in den jeweils rund 150 kooperierenden Arztpraxen und Apotheken zu möglichst vielen Patientenkontakten mit ePA kommt.
„Wir gehen davon aus, dass diese Modelltestphase vier Wochen dauert“, so Zilch. Währenddessen sollen sukzessive die mehreren zehn Millionen anderen ePAs angelegt werden, sodass dann ab Mitte Februar eine bundesweite ePA-Nutzung möglich werde. Bereits bestehende ePAs sollen auf die neue ePA migriert werden, die Versicherten erhalten dazu Anfang 2025 eine entsprechende Nachricht beim Öffnen ihrer ePA-App. Insgesamt ist Zilch betont optimistisch: „Es gab noch nie ein TI-Projekt, das so intensiv begleitet und vorbereitet wurde.“
BSI warnt vor Fake News zur ePA
Dass es zur Einführung der ePA auch Gegenwind geben wird, das erwartet Claudia Plattner, Mathematikerin auf dem Chefsessel des Bundesamts für Sicherheit in der Informationstechnik (BSI): „Wir gehen davon aus, dass viel an falscher Information rausgehen wird, wenn die Patientenakte live geht.“ Dagegen will auch das BSI anarbeiten – ohne berechtigte Sicherheitsbedenken kleinzureden. Allein im Jahr 2023 habe es 50 Prozent mehr Cyberangriffe auf das Gesundheitswesen gegeben als im Jahr zuvor.
Gesundheitsdaten, so Plattner, seien attraktive Daten, weniger weil Hacker an einzelnen sensiblen Inhalten interessiert seien, sondern eher deswegen, weil sich mit diesen Daten Geld erpressen lasse und weil sie für personifiziertes Phishing genutzt werden könnten. Umso wichtiger ist für Plattner, dass die digitalen Infrastrukturen im Gesundheitswesen nach dem Stand der Technik geschützt werden. Bei der elektronischen Patientenakte sei das gegeben. Die Anmeldung über das mobile Endgerät, die Identifizierung über den entweder auf dem elektronischen Personalausweis oder der eGK basierenden (Gesundheits-)ID-Token, die durchgängigen Verschlüsselungen als Teil dessen, was seit einiger Zeit „vertrauenswürdige Ausführungsumgebung“ (VAU) genannt wird, sowie ein breites Spektrum an Sicherheitsmaßnahmen im Backend – zusammengenommen sei das eine Sicherheitsarchitektur nach modernsten Standards, so Plattner.
Adäquat gesichert? „Unsere Antwort ist ja.“
„Kann man mit dieser Architektur ein adäquates Sicherheitsniveau erreichen? Unsere Antwort ist ja, man kann, und das haben wir auch ganz klar gesagt. Es müssen ein paar Voraussetzungen erfüllt sein, aber die stecken alle in der Umsetzung.“ In diesem Bereich, in der Umsetzung, werde das BSI vor der ePA-Einführung und auch danach nach Kräften unterstützen. Dabei geht es um Prüfverfahren und Sicherheitsstandards, um Angriffsanalysen und vieles mehr: „Das ist ein fortlaufender Prozess, und wir werden weiterhin allen Beteiligten auf den Füßen stehen.“
Neben dieser allgemeinen Einschätzung ging Plattner auch auf einige Detailfragen ein, die teils viel diskutiert sind. Ein Thema ist die digitale ID, die der Anmeldung an der mobilen App zugrunde liegt. Das jetzt vorgesehene Nebeneinander von eGK-basierter Gesundheits-ID einerseits und ePersonalausweis-basierter Gesundheits-ID andererseits ist für die BSI-Chefin eine Übergangslösung: „Wir wollen das irgendwann konvergieren.“
Was die Identity Provider angeht, sei es das Ziel, an einen Punkt zu kommen, an dem die Bundesverwaltung eine zentral auf dem ePersonalausweis basierende Identity-Lösung zur Verfügung stellt: „Wir wollen perspektivisch den ePersonalausweis auf dem Handy. Da sind wir noch nicht, aber das ist die gemeinsame Vision.“ Die jetzt vorgesehene Gesundheits-ID sei eine Lösung, die es erlaube, „nicht länger zu warten, sondern loszulaufen.“
Ende-zu-Ende endet. Oder doch nicht?
Auch auf den grundsätzlichen Wechsel bei der Sicherheitsarchitektur zwischen bisheriger Telematikinfrastruktur bzw. bisheriger ePA und der neuen „ePA für alle“ ging Plattner ein. Die viel zitierte Ende-zu-Ende-Verschlüsselung, die angeblich aufgegeben werde, hält die BSI-Chefin für eine Art politisches Schlagwort. Was es gegeben habe, sei eine Änderung bei den Anforderungen an den Datenaustausch bzw. die Datennutzung.
„Ursprünglich war nur die Kommunikation zwischen Arzt und Patient vorgesehen“, so Plattner. Die Anforderung unter anderem einer forschenden Auswertung der Daten erfordere aber eine andere Architektur, denn dazu brauche es einen (serverseitigen) Punkt, an dem auf die Daten zugegriffen werden könne. Das ist Plattner zufolge eine fachliche Entscheidung, bei der das BSI letztlich agnostisch sei: „Wenn das gewünscht ist, ist es unser Job, zu sagen, wie eine Architektur aussehen muss, mit der das sicher umsetzbar ist.“
Genau das werde durch die gewählte ePA-Architektur erreicht: „Wir haben weiterhin eine Ende-zu-Ende-Verschlüsselung, es gibt nur einfach mehr Transportwege.“ Das impliziert, dass mit Schlüsseln gearbeitet wird, die an anderen, gesicherten Stellen lagern und nicht nur beim Patienten. Aber es sind weiterhin individuelle Schlüssel für jede einzelne Person.
Die Schlüssel werden generiert aus einem Master-Key und der individuellen Krankenversichertennummer. Aufbewahrt werden sie in Hardware-Sicherheitsmodulen (HSM), die an allen wichtigen Stellen der Infrastruktur zu finden sind. Der gematik-Chef Florian Hartge machte in diesem Zusammenhang noch darauf aufmerksam, dass sich die Änderung der Sicherheitsarchitektur – unabhängig vom Thema Datenzugriff für die Forschung – auch sehr günstig auf die Performance des ePA-Systems und auf die Zugriffszeiten auswirken werde.