Auf dem diesjährigen 36. Chaos Communication Congress enthüllten Martin Tschirsich und seine Co-Autoren einen fehlerhaften Authentifizierungsprozess der elektronischen Schlüsselkarten der Gesundheitstelematik. Hierzu meint die Vorsitzende der IG Med, Dr. Ilka M. Enger: „Wer bereits bei den analogen Prozessen so patzt, sollte sich nicht auf das digitale Glatteis wagen“
Bereits mehrfach in diesem Jahr wurde – auch in Zusammenarbeit mit der IG Med – von Pleiten, Pech und Pannen in der Implementierung der Gesundheitstelematik berichtet. Nach 15 Jahren und 1,5 bis 3 Milliarden Euro Kosten kann dieses Projekt nach wie vor nicht überzeugen, so die IG Med.
„Einem IT-Sicherheitsexperten aus Schwerte, Jens Ernst, ist es zu verdanken, dass wir inzwischen wissen, dass die Konnektoren in vielen Praxen nicht sicher angeschlossen sind und so manche Praxis auf dem Präsentierteller für Hacker sitzen“, erklärt Enger. „Passiert ist bis jetzt nicht viel – außer, dass man die Ärzte und Praxisbetreiber hierfür in die alleinige Haftung drängen will.“ Das Bundesgesundheitsministerium als „Mehrheitseigner“ der Gematik GmbH mache sich hier der Vertuschung und Verschleppung schuldig und riskiere, dass Patientendaten entwendet werden.
Seit März des Jahres wissen alle beteiligten Stellen vom Bundesdatenschützer über das BSI bis hin zu Gematik, KBV und Bundesgesundheitsminister über diese Problematik Bescheid – passiert sei bis jetzt nichts.
„Jetzt also der nächste Skandal,“ erklärt Bernhard Salomon, Datenschutz-Experte der IG Med, „bereits bei den analogen Bestellprozessen für die absolut sicherheitsrelevanten Identifikationskarten und die Konnektoren wurde so gepfuscht, dass jeder mittelmäßig begabte IT-Nutzer sich elektronisch als Praxis ausgeben kann.“ So würde es bei Inbetriebnahme weiterer elektronischer Anwendungen möglich, eRezepte zu signieren oder Befunde in der kommenden ePatientenakte zu verfälschen – vom Diebstahl von Patientendaten ganz abgesehen. Dass es hier in der Tat ein großes Problem gebe, sehe man an der Reaktion der Gematik. Diese hat die Ausgabe der Identifikationskarten für Ärzte und Praxen gestoppt.
„Damit ist es aber nicht getan,“ erklärt Enger. „Es ist nicht klar, wie viele Karten bereits an unautorisierte Personen geschickt wurden – und jede einzelne ist eine zu viel. Es bleibt daher nichts anderes übrig, als alle bisher ausgegebenen Karten sofort zu sperren und ungültig zu machen.“
Nach Ansicht der IG Med haben die fortgesetzten Skandale das Vertrauen in die Gesundheitstelematik so erschüttert, dass das Milliardenprojekt wie die „Scheuer-Maut“ beerdigt werden müsse, wenn man keinen weiteren Schaden anrichten will. „Datenschutz wird für Praxen inzwischen ein neues Qualitätsmerkmal,“ sagt Salomon. „Wir haben deshalb von der IG Med ein Suchportal eingerichtet, auf dem Patienten mit hohem Datenschutzbedürfnis Praxen finden können, die sich bis jetzt nicht an die TI angeschlossen haben. Unter www.datenschutz-ist-patientenschutz.de kann jeder Praxen in seiner Umgebung finden.“