Welches Datenleck hätten Sie denn gerne?

Welches Datenleck hätten Sie denn gerne?
Kolumne von Stephan Zwerenz

Im Bundesgesundheitsministerium geht es in letzter Zeit richtig zur Sache. Die Digitalisierung im Bereich der Gesundheit und Pflege ist dank Jens Spahn (CDU) auf dem Vormarsch. 20 Gesetze hat der Gesundheitsminister in 20 Monaten auf den Weg gebracht, die ab Januar 2020 ihre Wirkung entfalten. Dabei wird neben der Einrichtung einer 24/7-Servicestelle für Arzttermine, der Einführung der Masernimpfpflicht und der Verwendung von Apps, mit der Ärzte mit ihren Patienten in Zukunft effizienter kommunizieren zu können, auch die Einführung der elektronischen Patientenakte (ePA) im Januar 2021 vorbereitet. 



Mögliche Sicherheitslücken werden dabei wie bereits in anderen Ländern gekonnt ausgeblendet. Der Bundesregierung gehe es vor allem darum, das digitale Netzwerk des Gesundheitswesens (gematik) zügig voranzubringen. Jens Spahn beschrieb das Vorgehen des Gesundheitsministeriums auf einer Ärztekonferenz im Januar 2019 wie folgt: „Ich werde bei dem Thema gematik und elektronische Patientenakte mehr Geschwindigkeit reinbringen, weil über 14 Jahre nichts passiert ist, Hacker hin oder her.“ Im Grunde ein löbliches Unterfangen, doch Hacker mit bösen Absichten reiben sich unterdessen schon mal die Hände, denn im Darknet floriert der Handel mit sensiblen Patientendaten bereits seit Jahren. 

Hacker hin oder her

Die größten Sicherheitslücken der gematik liegen allerdings nicht vordergründig in Quellcodes oder unsicheren Chiffrierungen, denn diese sind durch eine End-to-End-Verschlüsselung relativ sicher. Um aber über die sogenannte Telematikinfrastruktur (TI) an Patientendaten zu kommen, braucht man letztlich nicht einmal besondere IT-Kenntnisse zu besitzen. Das hat ein Projektteam des Chaos Computer Clubs (CCC) Ende Dezember auf dem Jahrestreffen des CCC in Leipzig bewiesen. Das Team um den IT-Sicherheitsexperten Martin Tschirsich hat gezeigt, dass das Problem vor allem in der nachlässigen Identifizierung von Ärztinnen und Patienten liegt.

Zusammen mit dem Nachrichtenmagazin Spiegel und dem NDR hat das Team gezeigt, wie einfach es ist, einen Gesundheitsausweis, den Heilberufs- oder Arztausweis eines Dritten über das Internet zu bestellen. Vorsicht Spoileralarm! Man benötigt dazu neben einer Email-Adresse nur einen Scanner oder ein Faxgerät. Dann kann man die komplizierten Sicherheitssysteme einfach umgehen und gelangt somit an den benötigten Zugangsschlüssel. Zudem konnte man den „Konnektor“, also das Gerät, das den eigenen Rechner mit dem bundesweiten TI-Netzwerk verbindet, einfach im Internet bestellen. Alle nötigen Zugangsdaten, die man dann noch brauchte, um auf die Patientenakten zugreifen zu können, fanden sich, mit Ausnahme des Geburtsdatums des Patienten, auf einer handelsüblichen Überweisung. 



Das Recherche-Team hat es sich anschließend nicht nehmen lassen, einen gefälschten Arztausweis spaßeshalber an die Käsetheke eines Supermarktes schicken zu lassen, um zu zeigen, wie nachlässig mit dem Identitätsnachweis bei der Bestellung umgegangen wird. Der Kartenaussteller medisign fand die angegebene Adresse anscheinend nicht sonderbar genug, um die Angaben nochmal überprüfen zu lassen. Vielleicht arbeiten aber auch unzählige Ärzte heimlich in Supermärkten. Man kann da nur spekulieren. Doch immerhin hat zumindest medisign sofort auf das Sicherheitsleck reagiert und die Ausgabe von neuen Ausweisen auf Eis gelegt, bis das Problem gelöst ist. Das ist natürlich tragisch, denn nun müssen wir wieder selber zum Arzt gehen, um verschreibungspflichtige Medikamente kaufen zu können.

Risiken und Nebenwirkungen

Das Beispiel verweist auf grundlegende Probleme, die sich im Umgang mit den überstürzten Digitalisierungsbemühungen im Bereich der Gesundheit und Pflege zeigen. Momentan werden überarbeitete Ärztinnen und Krankenhäuser mit ihren Problemen in puncto Datensicherheit allein gelassen. Daher häufen sich in letzter Zeit auch Geschichten darüber, wie Ärzte Patientendaten via WhatsApp verschicken, sie auf ungesicherten Datenbanken lagern oder die Rechner von Praxen nicht ausreichend geschützt sind. Die Datensicherheitsbehörden sind unterbesetzt und letztlich müssen neben Politikern und IT-Sicherheitsfirmen auch Journalisten die Ärztinnen und Patienten für das Thema Datensicherheit sensibilisieren und über Problemlösungen aufklären.

Eigentlich hätte die elektronische Gesundheitsakte viele Vorteile, da zum Beispiel in Notfällen wichtige Informationen schnell zur Verfügung stehen würden, Vorsorgemaßnahmen eingeleitet und Vorerkrankungen bei Behandlungen besser berücksichtigt werden könnten. Auch gesamtkörperliche Zusammenhänge wären einfacherer zu ermitteln, da die befürchtete Krebserkrankung vielleicht doch nur eine Zahnwurzelentzündung ist. Allerdings könnte sich dann die Zahnärztin auch über vorangegangene Schwangerschaftsabbrüche der Patientin informieren oder über den letzten misslungenen Suizidversuch. Dementsprechend wird die ärztliche Schweigepflicht de facto außer Kraft gesetzt, vor allem auch dann, wenn Krankenkassen Anspruch auf die Daten erheben könnten, um etwa Krankenkassenbeiträge anzupassen oder die Patientinnen zu Vorsorgemaßnahmen zu verpflichten.

Doch eine gut durchdachte Telematikinfrastruktur, die die Verantwortung für Sicherheitsmaßnahmen nicht den Ärztinnen und Ärzten auferlegen, sondern den Staat dazu verpflichten würde, könnte durchaus nützlich sein und letztlich für mehr Datensicherheit sorgen. Allerdings müssten dabei in erster Linie die Patientinnen und Patienten selbst entscheiden können, wem sie ihre Daten anvertrauen und wem nicht. Nach aktuellem Stand ist das geplante System aber dazu nicht in der Lage. Dafür müsste man vor allem gemeinsam nach Lösungen suchen und auf die Kritikpunkte von IT-Experten hören, die die Probleme im TI-Netz schon seit Jahren thematisieren.

(aus der Kolumne bei Flurfunk)

Beliebte Posts aus diesem Blog

Abends in der Huschhalle

Kein Skandal im Sperrbezirk

»Man muss Anfängen wehren, auch wenn diese aus einer vermeintlich richtigen Richtung kommen«