Archiv

Gesundheits-Apps und Gesundheitsakte
Wie digitale Patientendaten-Verwaltung sicherer werden soll

Mit Gesundheits-Apps und der Gesundheitsakte sollen Patienten ihre Daten selbst verwalten können. Bisher gab es viele Sicherheitslücken, die erst im Nachhinein behoben wurden. Die Branche habe viel zu lange auf "Quick-and-dirty-Lösungen" gesetzt, sagte IT-Experte Peter Welchering im Dlf.

Von Peter Welchering im Gespräch mit Manfred Kloiber |
    Eine Hand bedient eine Computermaus.
    Man müsse bei der Digitalisierung der Gesundheitsbranche weg von der nachträglichen Fehlerbeseitigung, forderte Dlf-IT-Experte Peter Welchering (AFP / Robyn Beck)
    "Für den Nutzer oder auch Patienten, Versicherungsnehmer ist es einfach eine App, auf Android oder iOS, die ihm hilft, seine Daten zu bekommen, zu verstehen und zu nutzen. Das Ganze soll einfach sein und natürlich sicher."
    Manfred Kloiber: So lobt Christian Rebernik, Chef der Vivy GmbH, die gleichnamige Gesundheits-App. Solche Apps und die elektronische Gesundheitsakte sollen ja neben der Video-Arztvisite das Kernstück der Digitalisierung im Gesundheitswesen sein. Nun gab es in diesem Herbst aber gleich mehrere Sicherheitspannen. Wie wird sich das auf die elektronische Gesundheitsakte und die damit verbundenen Digitalisierungsprozesse auswirken, Peter Welchering?
    Peter Welchering: Das könnte für eine starke Lernkurve sorgen. Allerdings wird die nicht ausreichen. Denn die Hersteller von Gesundheitslösungen sind noch immer viel zu stark am gewöhnlichen App-Geschäft orientiert. Sie haben Risikomodelle der Finanzindustrie, die die in Sachen Banking-Apps hat, übernommen.
    Nachträgliches Abfedern des Risikos "nicht akzeptabel"
    Und genau das klappt bei Gesundheitsdaten nicht. Nachträgliches Abfedern des finanziellen Risikos für den Anwender und vor allen Dingen das nachträgliche Aufarbeiten von konzeptionellen Sicherheitslücken sind nicht akzeptabel, wenn es um medizinische Befunde, Medikationspläne und Ähnliches geht. Hier muss ein Paradigmenwechsel her. Der aber kündigt sich nur sehr vorsichtig und zurückhaltend an.
    Kloiber: Das Konzept der elektronischen Gesundheitsakte wird demnächst auch schon 15 Jahre alt. Und im September dieses Jahres, da wurde von 14 gesetzlichen Krankenkassen und zwei privaten Versicherungen etwas vollmundig ein neues Zeitalter für die digitale Patientenakte eingeläutet. Die sollte nämlich mit ihrem Vertragspartner Vivy GmbH vom Patienten über das Smartphone verwaltet werden.
    Zeitgleich wurden Apps für die Diagnose von Krankheitsbildern an den Markt gebracht. In der Schweiz sogar unter großem Zuspruch der Smartphone-Nutzer mit KI-Software. Doch so ganz ohne Sicherheitspannen lief das alles nicht ab. Was die Gesundheitsbranche daraus gelernt hat.
    Leider liegt für dieses Bild keine Bildbeschreibung vor
    Kritik an Vivy-App
    Die Vivy-App, mit der Patienten ihre digitale Krankenakte per Smartphone verwalten können, war erst ein paar Tage am Markt, da hagelte es bereits ordentlich Kritik von Sicherheitsexperten. Schon bei der Installation schickte die Vivy-App nämlich Gerätedaten des Smartphones, mit dem die elektronische Gesundheitsakte verwaltet werden sollte, an zwei Tracking-Dienste. Ohne Zustimmung des Smartphone-Inhabers - der wurde nicht einmal gefragt. Die Entwickler von Vivy reagierten schnell auf die Kritik der Datenschützer, allerdings ausweichend. Vivy trackt weiter, allerdings muss nun der Nutzer vorher zustimmen. Chef Christian Rebernik begründet diese Opt-In-Lösung so:
    "Wenn Sie jetzt die Vivy-App installieren und dann öffnen, dann gehen keine Daten mehr an irgendwelche Tracking-Dienste. Dass wir aber die Möglichkeit bieten, auch unseren Nutzern, uns zu helfen, die Vivy-App weiterzuentwickeln, dafür gibt's zwei Dienste, die wir in Anspruch nehmen und die uns dabei helfen, einfach zu verstehen. Ich gebe jetzt das Beispiel: Sie haben ein Smartphone, was nicht so häufig verwendet wird. Dann wollen wir das natürlich auch lösen können das Problem, wir müssen es bemerken, und dafür gibts die Möglichkeit, den Nutzer auch zu unterstützen.
    Eine elektronische Patientenakte - hier bei einem Modellversuch in Rheinland-Pfalz - speichert auf freiwilliger Basis unter anderem Diagnosen, die verordneten Medikamente und Röntgenbilder.
    Patienten sollen mit der elektronischen Gesundheitsakte die Möglichkeit bekommen, ihre Daten selbst zu verwalten (dpa / picture alliance / Thomas Frey)
    Aber das erfolgt erst nach Einwilligung für die Nutzer, die uns auch hier weiterhelfen wollen, das Produkt wirklich gut zu machen. Und das ist ganz wichtig, glauben wir. Denn nur dadurch können wir auch gewährleisten, dass eine App nicht nur benutzbar ist, sondern auch stabil ist und gut funktioniert."
    Die Smartphone-Nutzer wollten das eben so, lautet die stereotype Begründung. Und diese Bedürfnisse müsse ein App-Entwickler auch in Sachen elektronischer Gesundheitsakte eben befriedigen. Christian Rebernik:
    "Jetzt könnte man ja sagen: Grundsätzlich dürfen Gesundheitsdaten nicht auf mobilen Endgeräten oder auf Android-Geräten sein. Wir wissen aber auch, und das sehen wir schon heute, dass ja nicht nur auf iOS-Geräten Bank-Anwendungen verwendet werden, sondern dass der Nutzer sehr wohl auch auf Android-Geräten diese Anwendungen nutzen möchte."
    Sicherheits-Angriffe auf Vivy-App "nur theoretisch"
    Als Ende September dann Sicherheitsforscher der Firma Modzero gleich mehrere Sicherheitslücken beim Übertragen von medizinischen Dokumenten mit Vivy in der App und im Browser des Arzt-PCs fanden, arbeiteten die App-Entwickler zwar intensiv mit den Sicherheitsforschern zusammen, um die Lücken zu schließen. Doch gleichzeitig betonten Rebernik und seine Kollegen in der Geschäftsführung der Vivy GmbH, es habe sich ja nur um theoretische Angriffe gehandelt.
    Auf die Gesundheitsdaten der Vivy-Nutzer, die auf Amazon-Servern gehostet werden, sei kein wirklicher Angriff verübt worden. Die nachträgliche Fehlerbeseitigung bei Gesundheits-Apps reicht Doktor Andy Fischer, Chef des schweizerischen Medizinanbieters Medgate, nicht. Er fordert Penetrationstests, die Simulation von eigentlich gar nicht vorgesehene Systemzuständen und sie systematische Suche nach Sicherheitslücken - schon in der Entwicklungsphase. Andy Fischer beschreibt das von ihm mitentwickelte System so.
    "Das Kernsystem, das wir verwenden - wir nennen das das sogenannte Patienten-Management-System. Das ist ein System, das einerseits die Prozesse unterstützt, die Arbeitsprozesse. Es ist aber auch ein System, das eben ein Knowledge-based System ist. Das unterstützt die Ärzte oder Ärztinnen eben bei der Wissensgenerierung. Und es ist ein Dokumentationssystem, demnach natürlich der Daten-Kollektor."
    Weil das System auch Diagnoseempfehlungen gibt, werden die Lernprozesse der KI-Software akribisch kontrolliert. Die zusätzlichen Sicherheitsüberprüfungen verteuern und verzögern die Entwicklung. Deshalb haben sich die Produktmanager von Medgate ganz bewusst vom klassischen Modell der App-Entwicklung gelöst.
    Sicherheitslücken im Vorfeld beseitigen
    Kloiber: Es geht also um ein neues Entwicklungsmodell für Digitalisierungsprojekte im Gesundheitswesen. Was muss da anders gemacht werden, Peter Welchering?
    Welchering: Zunächst müssen wir hier weg von der nachträglichen Fehlerbeseitigung. Es gibt inzwischen sehr viele prognostische Verfahren, um Sicherheitslücken schon bei der Entwicklung zu vermeiden. Und die müssen hier stärker berücksichtigt werden. Das kostet allerdings sehr viel Geld. Apps gelten aber in der Entwicklergemeinde als Billigprodukt. Hier muss also der gesamte Produktentwicklungsprozess völlig umgekrempelt werden.
    Ein sehr beachtliches Sicherheitsniveau
    Kloiber: Wie sieht es denn mit den Vernetzungskomponenten aus, die schon im Rahmen der Gesundheitskarte etwa entwickelt wurden? Können die in solche Projekte übernommen werden?
    Welchering: Die Konnektoren zum Beispiel, also die Zugriffspunkte der Telematik-Infrastruktur im Gesundheitswesen, haben inzwischen ein sehr beachtliches Sicherheitsniveau erreicht. Die nicht in Gesundheits-Apps zu integrieren und stattdessen weniger sichere Zugangspunkte zu entwickeln, das geht eigentlich gar nicht. Das hat die Branche auch begriffen. Allerdings fremdeln die mit den Konnektoren immer noch. Das hat zum einen damit zu tun, dass die immer noch als Inbegriff der Gesundheitsbürokratie gelten.
    Wir haben ja fast ein Jahrzehnt Entwicklungszeit gebraucht, bis die Konnektoren den Standard, auch den Sicherheitsstandard erreicht hatten, den sie jetzt haben. Das wurde in der Tat auch gegen viele Widerstände aus der IT-Branche durchgesetzt, die das doch mal ein bisschen schneller entwickeln wollten. Ein weiterer Punkt ist natürlich, dass vorhandene Komponenten nicht einfach ungeprüft für Digitalisierungsprojekte im Gesundheitswesen übernommen werden dürfen. Mit der TLS-Verschlüsselung haben die Entwickler zahlreicher Apps da schwer gesündigt.
    Quick-and-dirty-Entwicklung immer bevorzugt
    Kloiber: Das hört sich so an, als müssten einige Verantwortliche in der Branche sich da aber von ihren Geschäftsmodellen kräftig verabschieden.
    Welchering: Machen wir uns nichts vor: In dieser Branche wurde die Quick-and-dirty-Entwicklung immer bevorzugt. Die Produkte reifen dann beim Kunden. Und zweitens ging es immer darum, möglichst viele Funktionen, die von der Marktforschung als erwünscht oder nachgefragt bezeichnet werden, dann in die Produkte zu integrieren.
    Kloiber: Was bedeutet das für die Apps, mit denen dann elektronische Gesundheitsakten verwaltet werden sollen?
    Welchering: Dass diese Anwendungen eben nur für die Verwaltung der digitalen Patientenakte entwickelt und eingesetzt werden. Dass es eben nicht noch mal eine schlecht dokumentierte und so gut wie gar nicht abgesicherte Schnittstelle für eine Smart Watch oder für einen Fitness-Tracker geben darf. Und es bedeutet natürlich, dass Sicherheitsforscher die Angriffspunkte schon während der Entwicklung des Produkts finden müssen und nicht, wenn es am Markt ist. Die Digitalisierung in der Gesundheitsbranche setzt erhebliches Vertrauen voraus.
    Diesem Vertrauen werden die verantwortlichen Manager und Entwickler nur gerecht, wenn sie ein sehr viel höheres Sicherheitslevel anlegen, das die Entwicklung teurer macht, das mehr Ressourcen braucht. Und da stehen wir vor einem spannenden Paradigmenwechsel. Mal schauen, ob der in der Gesundheitsbranche gelingt.