Ralf Krauter: Gesundheitspolitiker und Ärzteschaft streiten seit Monaten kräftig um die elektronische Patientenakte. Schon ab Januar 2021 will Gesundheitsminister Jens Spahn sie verpflichtend für alle Ärzte und Patienten einführen. Doch viele Ärzte halten nichts davon. Und die Hacker auf dem 36c3 in Leipzig unterstützen sie bei diesem Widerstand. Peter Welchering in Leipzig: Was haben die Hacker gegen die E-Akte im Gesundheitswesen?
Peter Welchering: Sie kritisieren, dass die Patienten nicht mehr Herr ihrer Daten sind. Sie haben viel zu viele Sicherheitslücken in der IT-Infrastruktur für die elektronische Patientenakte gefunden. Und sie kritisieren am Digitale Versorgung Gesetz, das der Deutsche Bundestag vor wenigen Wochen verabschiedet hat, dass Sicherheitsaspekte nur unzureichend geregelt sind - und die Verantwortung für solche Sicherheitsfragen überhaupt nicht.
Peter Welchering: Sie kritisieren, dass die Patienten nicht mehr Herr ihrer Daten sind. Sie haben viel zu viele Sicherheitslücken in der IT-Infrastruktur für die elektronische Patientenakte gefunden. Und sie kritisieren am Digitale Versorgung Gesetz, das der Deutsche Bundestag vor wenigen Wochen verabschiedet hat, dass Sicherheitsaspekte nur unzureichend geregelt sind - und die Verantwortung für solche Sicherheitsfragen überhaupt nicht.
Der Patient gibt seine Datenhoheit aus der Hand
Krauter: Lassen Sie uns diese Kritikpunkte mal der Reihe nach abarbeiten. Wieso bleibt denn der Patient nach Ansicht der Kritiker nicht Herr seiner Daten?
Welchering: Weil die für die Technik zuständige Gematik GmbH mit der Entwicklung der IT-Lösung nicht schnell genug sein wird. Der Patient sollte eigentlich die Möglichkeit haben, genau festzulegen, welche Daten die unterschiedlichen Fachärzte oder Allgemeinmediziner, Apotheker oder Therapeuten sehen dürfen. So möchte zum Beispiel ein Patient für seinen Zahnarzt die Diagnose seines Psychologen nicht unbedingt freischalten. Würde man diese Funktionalität von Anfang an einbauen, würde das nach Auskunft der Firma Gematik aber dazu führen, dass die Einführung der elektronischen Patientenakte zum Januar 2021 gefährdet wäre – einfach, weil man noch nicht soweit ist. Diese Möglichkeit für den Patienten, festzulegen, welche Ärzte, Apotheker, Physiotherapeuten welche Daten seiner Patientenakte einsehen dürfen, soll es erst nach 2022 geben. Und auch dann soll die Akte per Smartphone vom Patienten verwaltet werden. Was hier in Leipzig ein weiterer Kritikpunkt ist.
Krauter: Warum? Weil der Zugang via Smartphone per se unsicher ist?
Welchering: Beim iPhone von Apple könnte man noch einiges absichern, aber auch das wird schwierig. Bei Smartphones mit dem Betriebssystem Android von Google kann man sich noch so anstrengen: Man wird so eine Verwaltung der eigenen Patientenakte nie hinreichend sicher hinbekommen. Die Krankenkassen und privaten Versicherungen und die Bundesregierung wollen aber genau das. Und deshalb bieten seit September vergangenen Jahres 14 gesetzliche Krankenkassen und zwei private Krankenversicherungen eine Gesundheitsakte an, die mit dem Smartphone verwaltet werden kann. Und diese Lösungen haben sich die Hacker jetzt mal genauer angesehen. Und es ist ihnen gelungen, sich mit gefälschten Zertifikaten Zugriff auf die gespeicherten Daten zu verschaffen. Das waren zwar nur Testdaten, aber das technische Setting kann direkt übertragen werden auf den realen Betrieb. Beim eRezept, einem elektronischen Rezept, konnte die ID ausgelesen werden, womit sich solche E-Rezepte von einem Smartphone sehr leicht klauen lassen. Und über Sicherheitslücken vor allen Dingen im Android-Betriebssystem kann auf die App für die Verwaltung der Patientenakte zugegriffen werde. Und damit sind die Patientendaten komplett einsehbar – also Laborbefunde, medizinische Diagnosen, Verordnungen,usw.
Welchering: Weil die für die Technik zuständige Gematik GmbH mit der Entwicklung der IT-Lösung nicht schnell genug sein wird. Der Patient sollte eigentlich die Möglichkeit haben, genau festzulegen, welche Daten die unterschiedlichen Fachärzte oder Allgemeinmediziner, Apotheker oder Therapeuten sehen dürfen. So möchte zum Beispiel ein Patient für seinen Zahnarzt die Diagnose seines Psychologen nicht unbedingt freischalten. Würde man diese Funktionalität von Anfang an einbauen, würde das nach Auskunft der Firma Gematik aber dazu führen, dass die Einführung der elektronischen Patientenakte zum Januar 2021 gefährdet wäre – einfach, weil man noch nicht soweit ist. Diese Möglichkeit für den Patienten, festzulegen, welche Ärzte, Apotheker, Physiotherapeuten welche Daten seiner Patientenakte einsehen dürfen, soll es erst nach 2022 geben. Und auch dann soll die Akte per Smartphone vom Patienten verwaltet werden. Was hier in Leipzig ein weiterer Kritikpunkt ist.
Krauter: Warum? Weil der Zugang via Smartphone per se unsicher ist?
Welchering: Beim iPhone von Apple könnte man noch einiges absichern, aber auch das wird schwierig. Bei Smartphones mit dem Betriebssystem Android von Google kann man sich noch so anstrengen: Man wird so eine Verwaltung der eigenen Patientenakte nie hinreichend sicher hinbekommen. Die Krankenkassen und privaten Versicherungen und die Bundesregierung wollen aber genau das. Und deshalb bieten seit September vergangenen Jahres 14 gesetzliche Krankenkassen und zwei private Krankenversicherungen eine Gesundheitsakte an, die mit dem Smartphone verwaltet werden kann. Und diese Lösungen haben sich die Hacker jetzt mal genauer angesehen. Und es ist ihnen gelungen, sich mit gefälschten Zertifikaten Zugriff auf die gespeicherten Daten zu verschaffen. Das waren zwar nur Testdaten, aber das technische Setting kann direkt übertragen werden auf den realen Betrieb. Beim eRezept, einem elektronischen Rezept, konnte die ID ausgelesen werden, womit sich solche E-Rezepte von einem Smartphone sehr leicht klauen lassen. Und über Sicherheitslücken vor allen Dingen im Android-Betriebssystem kann auf die App für die Verwaltung der Patientenakte zugegriffen werde. Und damit sind die Patientendaten komplett einsehbar – also Laborbefunde, medizinische Diagnosen, Verordnungen,usw.
Auch die Arztpraxen im Blick
Krauter: Die IT-Infrastruktur in der Hand der Patienten ist also notorisch anfällig für Hackerangriffe. Wie sieht’s mit den Geräten in den Arztpraxen aus? Wie schätzen die IT-Experten deren Sicherheitsstandards ein?
Welchering: Da kann es natürlich auch Schwachstellen geben, die Angreifern Tür und Tor öffnen. Aber interessanterweise nehmen die Hacker auf dem CCC hier in Leipzig die Telematik-Infrastruktur in den Praxen sogar an einem Punkt in Schutz: Die sagen nämlich: Ungesicherte oder unzureichend gesicherte Praxisnetzwerke haben nicht unbedingt etwas mit der Telematik-Infrastruktur zu tun. Und auch falsch konfigurierte Router, wie das bei der Telekom in diesem Jahr in einer Gemeinschaftspraxis für Orthopädie vorgekommen ist, darf man nicht der Telematik-Infrastruktur anlasten. Da waren vom Provider Telekom einfach Ports im Router freigegeben, die nicht freigegeben sein dürfen. Aber das macht wieder die Frage nach der Verantwortung für IT-Sicherheit dringlich. Arztpraxen allein sind damit sicher überfordert. Das Digitale Versorgung Gesetz hat es hier versäumt, Verantwortlichkeiten klar zu definieren. Das kritisieren auch die Kongressteilnehmer. Aber sie sagen auch klar, dass darüber Fehler in der Telekommunikations-Infrastruktur nicht übersehen werden dürfen, zum Beispiel wurden Patientendaten in einigen Fällen unverschlüsselt versandt. Da hat also die Telekommunikations-Infrastruktur nicht so funktioniert, wie sie es sollte.
Welchering: Da kann es natürlich auch Schwachstellen geben, die Angreifern Tür und Tor öffnen. Aber interessanterweise nehmen die Hacker auf dem CCC hier in Leipzig die Telematik-Infrastruktur in den Praxen sogar an einem Punkt in Schutz: Die sagen nämlich: Ungesicherte oder unzureichend gesicherte Praxisnetzwerke haben nicht unbedingt etwas mit der Telematik-Infrastruktur zu tun. Und auch falsch konfigurierte Router, wie das bei der Telekom in diesem Jahr in einer Gemeinschaftspraxis für Orthopädie vorgekommen ist, darf man nicht der Telematik-Infrastruktur anlasten. Da waren vom Provider Telekom einfach Ports im Router freigegeben, die nicht freigegeben sein dürfen. Aber das macht wieder die Frage nach der Verantwortung für IT-Sicherheit dringlich. Arztpraxen allein sind damit sicher überfordert. Das Digitale Versorgung Gesetz hat es hier versäumt, Verantwortlichkeiten klar zu definieren. Das kritisieren auch die Kongressteilnehmer. Aber sie sagen auch klar, dass darüber Fehler in der Telekommunikations-Infrastruktur nicht übersehen werden dürfen, zum Beispiel wurden Patientendaten in einigen Fällen unverschlüsselt versandt. Da hat also die Telekommunikations-Infrastruktur nicht so funktioniert, wie sie es sollte.