Mit dem bundesweiten Roll-out der elektronischen Patientenakte (ePA) zum 29. April rückt nicht nur die digitale Vernetzung im Gesundheitswesen in den Fokus, sondern auch die wachsenden Risiken im Bereich der Cybersicherheit. Während die politischen Debatten vor allem um technische Infrastruktur und Zuständigkeiten kreisen, bleiben zentrale Fragen für die operative Umsetzung in den Apotheken bislang unbeantwortet. Für Apothekenbetreiber bedeutet die Einführung der ePA vor allem eines: Die Anforderungen an Datenschutz, IT-Sicherheit und Ausfallschutz steigen massiv – oft ohne ausreichende personelle oder finanzielle Ressourcen, um diesen Anforderungen gerecht zu werden.
Zwar hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) laut Ministerium signalisiert, dass die Sicherheitsbedenken gegen die ePA ausgeräumt seien. Doch die Realität in vielen Apotheken sieht anders aus. Dort fehlt es häufig an spezialisierten IT-Fachkräften, an standardisierten Sicherheitskonzepten und an ausreichendem Schutz gegen gezielte Angriffe von außen. Die zunehmende Vernetzung über die Telematikinfrastruktur (TI), die gleichzeitige Nutzung von E-Rezept, ePA und künftig auch der elektronischen Medikationspläne (eMP) machen Apotheken zu potenziellen Angriffszielen für Cyberkriminelle.
Zudem offenbart sich ein strukturelles Problem: Während größere medizinische Einrichtungen wie Kliniken oder MVZ über eigene IT-Abteilungen verfügen, sind die meisten inhabergeführten Apotheken auf externe Dienstleister angewiesen. Die Qualität und Aktualität der eingesetzten Sicherheitssysteme ist dabei höchst unterschiedlich. Ein erfolgreicher Angriff kann nicht nur Patientendaten gefährden, sondern auch den gesamten Apothekenbetrieb über Tage hinweg lahmlegen – mit teuren Konsequenzen.
Auch der Umgang mit Updates und Softwareinstallationen im Rahmen der ePA-Einführung ist kritisch. Viele Apotheken berichten von unzureichender Kommunikation seitens der Softwareanbieter, Verzögerungen bei der Zertifizierung neuer Module und Unsicherheiten im Umgang mit neuen Zugriffsschnittstellen. Hinzu kommt die Verantwortung, Mitarbeitende im Umgang mit der ePA zu schulen, denn auch menschliche Fehler zählen weiterhin zu den häufigsten Einfallstoren für Cyberangriffe.
Für Apothekenbetreiber stellt sich daher die dringende Frage, wie sie sich gegen die neuen digitalen Risiken wappnen können. Neben einer umfassenden Risikoanalyse und der kontinuierlichen Aktualisierung von Virenschutz und Firewalls gehören auch professionelle Backup-Lösungen und Notfallpläne zur Grundausstattung. Die Anbindung an die Telematikinfrastruktur verpflichtet Betreiber zudem zur Einhaltung strenger Datenschutzvorgaben. Doch selbst technisch gut aufgestellte Apotheken sind nicht vor Erpressungstrojanern, Phishing-Versuchen oder gezielten Systemausfällen sicher.
Experten raten dazu, auch die Versicherungsseite nicht zu vernachlässigen. Eine branchenspezifische Cyberversicherung kann im Schadensfall zumindest finanzielle Risiken abfedern. Allerdings zeigt sich in der Praxis, dass viele Versicherer hohe Anforderungen an Präventionsmaßnahmen stellen – und Schäden nur regulieren, wenn die Sicherheitsvorgaben exakt eingehalten wurden. Eine lückenhafte IT-Dokumentation oder das Versäumnis, regelmäßige Mitarbeiterschulungen nachzuweisen, kann im Ernstfall zum Ausschluss der Leistung führen.
Die Einführung der ePA zeigt damit nicht nur die Chancen der Digitalisierung auf, sondern auch die Schwächen der derzeitigen Sicherheitsarchitektur im niedergelassenen Bereich. Es liegt an der Politik, klare Verantwortlichkeiten zu definieren, Förderinstrumente für IT-Sicherheit bereitzustellen – und Apotheken nicht mit den neuen Risiken allein zu lassen.
Kommentar:
Die Einführung der elektronischen Patientenakte ist ein Meilenstein für das deutsche Gesundheitswesen – aber einer mit deutlichen Rissen im Fundament. Während das politische Berlin von digitaler Effizienz spricht, stehen Apothekenbetreiber an der Frontlinie eines Systems, das zunehmend zur Hochsicherheitszone wird. Die Verantwortung, hochsensible Patientendaten zu schützen, wird auf Betriebe abgewälzt, die mit den praktischen und finanziellen Herausforderungen der Digitalisierung oft überfordert sind.
Die ePA bringt Apotheken in eine neue Rolle – als digitaler Knotenpunkt zwischen Ärzten, Krankenkassen und Patienten. Doch mit dieser Rolle wächst auch das Risiko. Die Telematikinfrastruktur eröffnet neue Wege für den Informationsaustausch, aber auch neue Angriffsflächen für Cyberkriminelle. Es ist naiv zu glauben, dass der Verzicht auf gezielten Dialog mit Apotheken, wie ihn der scheidende Minister erneut praktiziert hat, ohne Folgen bleibt.
Wer Digitalisierung will, muss auch Sicherheit denken – und zwar ganzheitlich. Dazu gehört eine solide Grundausstattung in den Apotheken ebenso wie klare Haftungsfragen, verbindliche IT-Standards, Schulungsangebote und realistische Fördermaßnahmen. Stattdessen lässt man die Betriebe in einem rechtlichen und organisatorischen Graubereich agieren, in dem Fehler existenzbedrohende Folgen haben können.
Die Politik muss sich fragen lassen, ob sie aus vergangenen Sicherheitsvorfällen im Gesundheitswesen wirklich gelernt hat. Und sie muss endlich anerkennen, dass Digitalisierung ohne IT-Sicherheitsstrategie keine Lösung, sondern ein zusätzliches Problem darstellt. Es braucht jetzt einen Paradigmenwechsel – vom einsamen Durchregieren hin zu einem koordinierten und verantwortungsvollen Digitalaufbruch, bei dem Apotheken nicht nur als Vollzugsstelle, sondern als vollwertiger Partner auf Augenhöhe behandelt werden.
Von Engin Günder, Fachjournalist