IT-Sicherheit

Nutzung elektronischer Patientendaten ohne Gewähr?

An der sicheren Nutzung elektronischer Patientendaten wird sich entscheiden, wie schnell die Digitalisierung in deutschen Kliniken vorankommt. Nachdem IT-Experten auf dem „35C3“ Chaos Communication Congress enorme Sicherheitspannen offenlegten, ist die Branche verschnupft – und der Patient noch mehr verunsichert. 

Sergey Nivens

Symbolfoto

Schon der Titel des Vortrags war eine Botschaft – und sicher keine schmeichelhafte. „All your Gesundheitsakten are belong to us“ hatte Martin Tschirsich von der Schweizer IT-Sicherheitsfirma modzero seinen Vortrag auf dem jüngsten Chaos Communication Congress „35C3“ Ende Dezember getauft – ein kleiner Insidergag für Eingeweihte der IT-Community. Der Titel ist eine Anspielung auf das frühere japanische Computerspiel „Zero Wing“, das zur Jahrtausendwende aufgrund seiner schlechten Übersetzung ins Englische Gamer und Computerfreaks weltweit amüsierte. Seitdem gelten die kruden Übersetzungen des Spiels in der IT-Welt quasi als Synonym für eine stümperhafte Umsetzung. Nur ging es bei Tschirsich nicht um sprachliche Feinheiten, sondern um eklatante Sicherheitsmängel vieler elektronischer Gesundheitskartenprojekte in Deutschland.

Die Schweizer modzero AG ist IT-Sicherheitsanalysen spezialisiert. Tschirsich ist also vom Fach – und belegte in seinem rund einstündigen Vortrag minutiös, welchen haarsträubenden Sicherheitsmängel die Angebote von Vivy, TK Safe oder Vitabook teilweise hatten bzw. immer noch haben. Und das alles trotz Sicherheitsfeatures wie Zwei-Faktor-Authentifizierung und mehrfachen Sicherheitschecks. Das vermeintliche Laientum der Ärzte und IT-Entwickler in der Gesundheitsbranche wurde vom Publikum deshalb mit viel Lachen und Schenkelklopferei begleitet. Allerdings war es mit der Expertise im Publikum teilweise nicht besser bestellt, wie die anschließende Diskussion zeigte. Für manch einen im Saal waren elektronische Gesundheitskarte und elektronische Patientenakte (EPA) identisch.

Gematik: EPA ist sicher 

Dennoch bleibt aber die berechtigte Frage, welche Lehren aus Tschirsichs Vortrag für elektronische Akten zu ziehen sind und welche Konsequenzen die aktuellen Sicherheitsprobleme für die laufende Digitalisierung im Gesundheitswesen haben. Seitens der gematik blieb man trotz aller medialen Aufgeregtheit nach Tschirsichs Vortrag ruhig und verwies zurecht auf das völlig andere Sicherheitsniveau der elektronischen Patientenakte, die Krankenkassen ab 2021 anbieten müssen. Für diese hatte die gematik ebenfalls im Dezember die Spezifikation vorgelegt. Keine der von Tschirsich vorgeführten Probleme bei den Gesundheitskarten wären bei der EPA aufgetreten, versicherte Holm Diening, Leiter der Abteilung Datenschutz bei der gematik, in einem Interview mit der Fachzeitschrift „e-health.com“.

Diening meinte: „Das wäre mit einer Akte gemäß gematik-Spezifikation so nicht passiert.“ Allerdings legte das Sicherheitsdebakel bei den Gesundheitskarten gleich mehrere kapitale Fehler bei der Digitalisierung des Gesundheitswesens schonungslos offen. Alle Gesundheitskartenprojekte sind eine Reaktion auf die äußerst schleppende Umsetzung der digitalen Patientenakte, deren Grundkonzept bereits 2004 formuliert worden war. Die offengelegten Sicherheitsprobleme sind zudem auch ein Resultat der Machtkämpfe in der Selbstverwaltung, die über viele Jahre jede Innovation in der Branche ausbremste. Der Expertise über IT-Sicherheit in der Branche war das nicht zuträglich – und alles begleitet von einer förderalen Kleinstaaterei beim Datenschutz, die Forscher und Industrie schier verzweifeln lässt.

So gibt es in den Bundesländern nicht nur eine unterschiedliche Datenschutzgesetzgebung, „sondern wir haben einen föderalen Flickenteppich auch bei den entsprechenden Datenverarbeitungs regeln in den Landeskrankenhausgesetzen“, sagt der renommierte Medizinjurist Prof. Christian Dierks. Für die medizinische Forschung habe das Datenschutz-Wirrwarr einschneidende Konsequenzen, „weil es länderübergreifende Kooperationen zwischen medizinischen Forschungsinstituten enorm behindert“, so Dierks.

BVITG beklagt Rechtsunsicherheit

Das beklagt auch der Branchenverband BVITG in einem aktuellen Positionspapier über „eine zukunftsorientierte Datennutzung“. Bis heute würde es an einer einheitlichen Rechtsgrundlage für die Datenverwendung fehlen. „Die aktuell bestehende Rechtsunsicherheit für Unternehmen, die innovative Anwendungen bereitstellen, steht einer modernen, datenbasierten Gesundheitsversorgung diametral entgegen“, sagt Christ Berger vom BVITG. Der Verband listete auf vier Seiten akribisch auf, wo es bei der Datennutzung hakt – von einer nach wie vor fehlenden Berücksichtigung der Digitalisierung bei Gesetzesvorhaben über einheitliche Rahmenbedingungen für innovative Verfahren zur Datennutzung, etwa Big Data und künstliche Intelligenz, bis hin zu einheitlichen Rechtsgrundlagen für die geforderte Pseudonymisierung bzw. Anonymisierung von Daten.

  • Schlagwörter:
  • Patientendaten
  • IT-Sicherheit
  • 35C3

Kommentare (0)

Kommentar hinzufügen

Um einen Kommentar hinzuzufügen melden Sie sich bitte an oder registrieren Sie sich.

Jetzt anmelden/registrieren