Akten, Akten, Akten

Der Jahreswechsel vollzog sich digital turbu­lent. Im Dezember 2018 hielt Martin Tschi­r­­sich vom schweizerischen IT-Sicherheitsunternehmen Modzero einen viel beachteten Vortrag auf einem Kongress des Chaos Computer Clubs (CCC) „All your Gesundheitsdaten belong to us. Die elektronische Patientenakte kommt“. „Sicherer als Online-Banking haben sie gesagt“ – dass dem nicht so ist, demonstrierte Tschirsich eindrucksvoll. Genüsslich seziert er die auf dem Markt befindlichen Gesundheitsakten (Video). Bei Vivy hatte Modzero „gravierende Sicherheitslücken“ ausgemacht und diese dem Unternehmen mitgeteilt. Es wurde nachgerüstet. Patientendaten, an den Arzt übersandte Dokumente konnten wohl abgefangen und entschlüsselt werden (Mod zero.ch/modlog). Dann geht Tschirsich die weiteren Anbieter von Gesundheitsakten und Telemedizin durch. Schnell wird klar, dass die IT-Sicherheit insgesamt, trotz vieler Zertifikate, bei Weitem noch nicht das Niveau von Online-Banking erreicht hat.

Wie interessant Gesundheitsdaten für Hacker sind, belegt Tschirsich mit Zahlen: Jedes Jahr sind in den USA 30 Millionen Patientenakten betroffen. Das ist die Zahl der gemeldeten Fälle. Missbrauchte Gesundheitsdaten können das Leben des Betroffen irreversibel verändern. Arbeit, Wohnung, das soziale Umfeld können verloren gehen.
Digitaler Knall zwei folgte dann Anfang des neuen Jahres, den ein buntes Blatt den „Hacker-Super-Gau“ nannte. Superlativer ging es wohl nicht. Was war passiert? Ein Schüler hatte teils persönliche Daten hunderter Politiker und Prominenter digital verbreitet. Der „Hacker-Super-Gau“ erwies sich am Ende in den allermeisten Fällen eher als „Gauchen“, da die abgefischten Daten nicht gut gesichert waren. Gesundheitsminister Jens Spahn äußerte sich dazu gegenüber der Schweizerischen Blick-Gruppe : „Ich nehme das ernst, finde aber, dass gerade dieser Fall nicht dramatisiert werden sollte. Dass Passwörter wie ,123456‘ geknackt werden, ist doch kein Beweis dafür, dass unsere staatlichen Sicherheitsstrukturen nicht funktionieren.“

Der Datenklau rief trotz alledem direkt all jene auf den Plan, die schon immer irgendwie mit der Digitalisierung gefremdelt haben. Der Bayerische Fachärzteverband wünschte sich die ePA prompt auf den „Datenmüll“. Der FVDZ forderte ein sofortiges „Moratorium bei Digitalisierung“. Und KBV-Chef Dr. Andreas Gassen fragte  die „digitalbegeisterten Politiker“, ob sie ihre Gesundheitsdaten gerne in den Medien sähen?
Gehen wir einmal einen unpopulistischen Schritt zurück und betrachten die digitale Lage bei Lichte.
Bis 2021 soll die elektronische Patientenakte (ePA) flächendeckend eingeführt sein. Die von Martin Tschirsich aufgezeigten Wege, Zugriff auf Daten aus verschiedenen elektronischen Gesundheitsakten zu erhalten, geben zu denken. Die Banalität der Fehlerquellen ist erschreckend. Halbwahrheiten entstehen aber auch durch eine mangelnde Differenzierung von elektronischer Gesundheitsakte (eGA) und elektronischer Patientenakte (ePA). Die eGA ist nach Paragraf 68 SGB V ein optionales Angebot: „Zur Verbesserung der Qualität und der Wirtschaftlichkeit der Versorgung können die Krankenkassen ihren Versicherten ... Dienstleistungen der elektronischen Speicherung und Übermittlung patientenbezogener Gesundheitsdaten ... gewähren“, heißt es im Gesetz lapidar. Das bedeutet, ein Experimentierfeld für die Krankenkassen – ohne sicherheitstechnische Vorgaben.

Die ePA – nach Paragraf 291a SGB V – wird dem IT-Sicherheitsvorgaben der Gematik entsprechen müssen, um zugelassen zu werden. Eine hundertprozentige Sicherheit wird es auch da nicht geben. Problematisch wird beispielsweise die zentrale Datenspeicherung, die die Gematik vorsieht. Auch der vorgesehene individuelle Zugang zu den Patientendaten über Smartphone und Tablet, wird eine Schwachstelle bleiben. Eine der größten Sicherheitslücken bei der ePA wird der Nutzer selbst sein. Das wird das IT-Sicherheitkonzept berücksichtigen müssen. Auf dzw-Anfrage teilte Martin Tschirsich mit: „Grundsätzlich ist eine dezentrale Datenhaltung zu begrüßen. Dezentrale Datenhaltung allein ist allerdings noch keine hinreichende Bedingung für eine sichere Anwendung. Beispielsweise kann eine dezentrale Datenbank dennoch über einen zentralen Zugangsmechanismus verfügen und über diesen zentralen Zugang angreifbar sein. Es muss also auch die Frage nach dem Zugang der Daten gestellt werden, nicht nur dem Speicherort.“
Prof. Dr. Johannes Buchmann von der TU Darmstadt arbeitet an einem IT-Sicherheitskonzept für sensible Daten. Hier greift das Konzept der dezentralen Speicherung: „Erreicht wird die langfristige Vertraulichkeit durch eine Technologie namens ‚Secret Sharing‘. Dabei wird der Original-Datensatz so auf verschiedene Server aufgeteilt, dass einzelne Teile für sich genommen keinen Sinn ergeben. Erst wenn man genügend Teile – Shares – übereinanderlegt, ergibt sich wieder der Original-Datensatz der Patientenakte. Sollte einer der beteiligten Server kompromittiert werden, kann der Angreifer mit seinem erbeuteten Share also nichts anfangen.“

Die ePA wird kommen. Hoffentlich nicht bunt und laut, sondern mit ausreichend IT-Sicherheits-Know-how.