Mit der digitalen Umsetzung der am 29. April bundesweit gestarteten elektronischen Patientenakte (ePA) wurde die österreichische Firma RISE beauftragt. Hinter dieser Firma steht der Wiener Geschäftsmann und IT-Professor Thomas Grechenig. Dieser wiederum war langjähriger Projektpartner des von der deutschen Justiz gesuchten Ex-Wirecard-Managers Jan Marsalek. Der österreichische Inlandsgeheimdienst DSN hat laut eigener Darstellung wegen der Einbindung dieser Firma in das Marsalek-Netzwerk die Zusammenarbeit mit RISE eingestellt. Vor diesem Hintergrund wollten die NachDenkSeiten wissen, wieso das Bundesgesundheitsministerium und auch das Verteidigungsministerium nicht dem österreichischen Beispiel gefolgt sind, gerade in so hochsensiblen Bereichen wie Gesundheits- und Verteidigungsdaten. Von Florian Warweg.





Hintergrund

Am 18. Juli 2019 gab die Ärzte Zeitung mit Verweis auf eine Pressemitteilung von Bitmarck bekannt, dass die österreichische Firma RISE den Zuschlag für die Entwicklung einer standardisierten elektronischen Patientenakte in Deutschland erhalte habe:

„Im Ringen um den Auftrag zur Entwicklung einer standardisierten elektronischen Patientenakte (ePA) für das deutsche Gesundheitswesen hat das österreichische Unternehmen RISE (Research Industrial Systems Engineering) den Zuschlag des Auftraggebers Bitmarck erhalten.“

Hinter RISE steht der Wiener Geschäftsmann und IT-Professor Thomas Grechenig, welcher an zahlreichen Projekten mit dem von der deutschen Justiz gesuchten ehemaligen Wirecard-Manager Jan Marsalek beteiligt war. Marsalek empfahl RISE unter anderem der letzten ÖVP-FPÖ-Regierung für die Entwicklung eines österreichischen Staatstrojaners. Die Firma RISE war auch als Auftragnehmer für den Aufbau und den Betrieb von Hochsicherheitsnetzen beim österreichischen Pendant zum deutschen Bundesamt für Verfassungsschutz (BfV), der Direktion Staatsschutz und Nachrichten (DSN), vorgesehen. Doch wie die Wirtschaftszeitschrift Capital bereits im Mai 2024 berichtete, hatte der Chef des DSN im April 2024 erklärt, dass man bei Beschaffungen generell prüfe, ob es Risiken gebe. In diesem Fall habe man „durch Aufklärungen“ dann „entsprechende Netzwerke gesehen“ – damit waren Verbindungen ins Marsalek-Netzwerk gemeint. Daher sei in Folge der Einsatz von Hard- und Software der Firma RISE bei der DSN und anderen österreichischen Behörden „ausgeschlossen“ worden.

Der österreichische Inlandsgeheimdienst hat also die Nutzung von RISE-Produkten grundsätzlich vor mehr als einem Jahr wegen Sicherheitsbedenken untersagt – dieselbe Firma, welche sich in Deutschland weiterhin für die digitale Umsetzung der ePA verantwortlich zeigt und auch über die Tochterfirma 4strat mit Sitz in Berlin ein millionenschweres IT-Projekt der Bundeswehr betreibt: das sogennante „Future Analysis Cooperation System“, kurz FACT – eine IT-Plattform für die Analyse künftiger Bedrohungsszenarien. Das Budget für das Projekt umfasst bis 2032 rund 10 Millionen Euro.

Quelle: Screenshot von Capital, 12. Dezember 2022

„Der Wirecard Untersuchungsausschuss des Bundestages wurde belogen!“

Der Wirecard-Aufklärer und EU-Abgeordnete des BSW, Fabio De Masi, hatte bereits Anfang 2022 als Erster und noch vor dem Zuschlag der Bundeswehr öffentlich auf die Auffälligkeiten bei RISE und der Unterfirma 4strat hingewiesen. Ebenso hatte er im Zuge der bundesweiten Einführung der ePA am 29. April auf die Rolle der Firma und deren Verbindungen zum Wirecard-Skandal und Marsalek aufmerksam gemacht:

Kein Witz: Mit der elektronischen Patientenakte wurde übrigens eine Firma beauftragt (Rise), die ua mit Wiener IT Professor Thomas Grechnig in Verbindung steht. https://t.co/WeNJlE1Uaq Dieser war an Projekten mit dem flüchten Wirecard Manager Jan Marsalek ua Libyen, und Russland… pic.twitter.com/9HgaxD5Ire — Fabio De Masi 🦩 (@FabioDeMasi) April 17, 2025

Gegenüber den NachDenkSeiten erklärte de Masi, angesprochen auf die Zusammenarbeit des Bundesgesundheits- und des Bundesverteidigungsministeriums mit RISE und die entsprechenden Antworten auf der BPK Folgendes:

„In Sonntagsreden wird vor hybriden Gefahren und Cyberspionage aus Russland oder China gewarnt. Aber das enge geschäftliche Umfeld von Jan Marsalek, mit dem der österreichische Staatsschutz aus Sicherheitsgründen die Zusammenarbeit beendet hat, erhält Aufträge für die elektronische Patientenakte und der Bundeswehr. Das riecht 200 Meter gegen den Wind. Marsalek hatte den Wiener IT-Professor, der mit RISE verbunden ist, sogar für die Entwicklung eines Staatstrojaners vorgesehen als die FPÖ in Österreich das Außen- und das Innenministerium führte. Deutsche Sicherheitsbehörden behaupten bis heute sie hätten nicht gewusst wer Jan Marsalek war obwohl Kontakte zu deutschen Geheimdienstkoordinatoren belegt sind. Der österreichische Agent und Fluchthelfer von Marsalek, Martin Weiss, gegen den ein Haftbefehl Österreichs vorlag, hat von einer deutschen Staatsanwaltschaft gar freies Geleit nach Dubai erhalten. Ein Cybersecurity Investor, der die E-Mails der Bundesregierung verschlüsselte, unterhielt Kontakte mit Marsalek und dessen Fluchthelfern. Mir scheint die Kooperation zwischen deutschen Behörden und Jan Marsalek war enger als zugegeben wird! Der Wirecard Untersuchungsausschuss des Bundestages wurde belogen!“

Auszug aus dem Wortprotokoll der Regierungspressekonferenz vom 30. April 2025

Frage Warweg

Mit der digitalen Umsetzung der am 29. April bundesweit gestarteten elektronischen Patientenakte wurde die österreichische Firma RISE beauftragt. Hinter dieser Firma steht der Wiener Geschäftsmann und IT-Professor Thomas Grechenig. Dieser wiederum war langjähriger Projektpartner des von der deutschen Justiz gesuchten Ex-Wirecard-Managers Jan Marsalek. Der österreichische Inlandsgeheimdienst DSN hat laut eigener Darstellung wegen der Einbindung dieser Firma in das Marsalek-Netzwerk die Zusammenarbeit mit RISE eingestellt. Da würden mich die Gründe interessieren, wieso das BMG nicht dem österreichischen Beispiel gefolgt ist, dies gerade auch in einem so hochsensiblen Bereich wie der ePA.

Grüneberg (BMG)

Dazu kann ich Ihnen momentan nichts sagen. Das müsste ich Ihnen nachreichen.

Zusatzfrage Warweg

Herr Müller, dieselbe Frage stellt sich ja auch im Fall des Verteidigungsministeriums. Dieses hat einen seit 2022 laufenden millionenschweren Vertrag mit einer 100-prozentigen Tochterfirma von RISE, dem IT-Startup 4strat mit Sitz hier in Berlin, welches das Softwareprojekt „Future Analysis Cooperation System“, kurz FACT, für die Bundeswehr erstellt hat, welches bis mindestens 2032 läuft. Auch da würde mich interessieren: Wieso vertraut die Bundeswehr bis heute im Gegensatz zum österreichischen Inlandsgeheimdienst einer Firma aus dem Netzwerk des von Interpol gesuchten Marsalek, gerade auch ebenfalls in einem so sensiblen Bereich wie der Bundeswehr-IT?

Müller (BMVg)

Nach meiner Kenntnis handelt es sich bei FACT um eine Analysesoftware von offenen Quellen. Hier sind also, Punkt eins, keine sensiblen Daten betroffen. Punkt zwei ist, dass alle Firmen, mit denen bei Digitalisierung und Softwareprojekten zusammengearbeitet wird, überprüft werden. Sie werden durchleuchtet. Nach dem, was ich weiß – ich glaube, es liegen auch Bundesdrucksachen zu dem Thema vor; darauf könnte ich Sie gerne verweisen -, gibt es in keiner Weise Anhaltspunkte, dass eine Sicherheitsgefährdung vorliegt, sondern eher dafür, dass die Partnerfirma für dieses FACT-Projekt vertrauensvoll ist. In dem Fall gibt es keine Gründe, etwas an diesen Verträgen zu ändern.

Schriftliche Nachreichung des BMG am 2. Mai 2025

Antwort des BMG:

Ihre Frage wurde bereits vor einem Jahr in einer kleinen Anfrage der Abgeordneten Christian Leye, Dr. Sahra Wagenknecht, Ali Al-Dailami, Sevim Dagdelen, Klaus Ernst, Andrej Hunko, Amira Mohamed Ali, Zaklin Nas-tic, Jessica Tatti, Alexander Ulrich und der Gruppe BSW am 3.5.2024 beantwortet. S.u.

Im Übrigen ist Ihre Behauptung, die österreichische Firma RISE habe die elektronische Patientenakte vollständig digital umgesetzt, falsch. Richtig ist: RISE ist an der Entwicklung der elektronischen Patientenakte nicht beteiligt gewesen. Das war Aufgabe der gematik, die dafür die Spezifikation entwickelt hat. RISE ist aber Teil eines Konsortiums, was im Rahmen einer Ausschreibung von einigen Krankenkassen den Zuschlag zur Umsetzung der ePA gemäß der Spezifikation der gematik erhalten hat. Die Bereitstellung der elektronischen Patientenakten (ePA) in Deutschland ist die Aufgabe der jeweiligen gesetzlichen Krankenkasse (Vgl. § 341 Absatz 4 SGB V). Als Anbieter der ePA können die Krankenkassen hierfür Auftragsverarbeiter beauftragen. Diese Entscheidung obliegt allein der jeweiligen Krankenkasse. Falls Sie Fragen dazu haben, müssten Sie sich also an die jeweiligen Krankenkassen wenden.

Aus der kleinen Anfrage:

„Die Sicherheit der mit Beteiligung von Herr Prof. G. und seiner Mitarbeitenden entwickelten Softwareprodukte für Projekte der Telematikinfrastruktur war bzw. ist zu jeder Zeit transparent für die gematik und das Bundesamt für Sicherheit in der Informationstechnik nachvollziehbar. Jede Komponente durchläuft in Abhängigkeit ihrer Kritikalität verschiedene Sicherheitsüberprüfungen oder Sicherheitszertifizierungen und steht zum Teil quelloffen zur Verfügung. Die gematik hatte bereits die ersten Medienberichte Ende 2022 zum Anlass genommen, die Geschäftsbeziehungen des Unternehmens von Herrn Prof. G. zu hinterfragen. Dabei stellte sich heraus, dass das Unternehmen mit Wirecard in der Vergangenheit ausschließlich im Bereich Payment-Software zusammengearbeitet hatte. Diese Geschäftsbeziehung endete bereits im Jahr 2017. Es gibt für die gematik somit keinen Anlass an der Sicherheit der durch die Firma von Prof. G. entwickelten Komponenten der Telematikinfrastruktur und an der Vertrauenswürdigkeit der Firma zu zweifeln.“