Anzeige

Der Spahnplan

Erneute Kritik an der Sicherheit der Telematikinfrastruktur: Ist das Mut zur Lücke?

Erneute Kritik an der Sicherheit der Telematikinfrastruktur: Ist das Mut zur Lücke?

In einer Unterrichtung durch die Bundesregierung vom 18. Dezember 2019 werden „Eckpunkte einer Digitalstrategie der Bundesregierung“ vorgestellt.

Hierin heißt es: „Die verantwortungsvolle Nutzung von Daten setzt dabei ein hohes Informationssicherheitsniveau voraus ... Wir wollen eine digitale Zukunft gestalten, der die Menschen vertrauen können. Dabei ist unser Ziel, dass die Menschen durch technische Maßnahmen geschützt werden ... Der Staat trägt hierbei besondere Verantwortung ... durch gute Rahmenbedingungen und geeignete Sicherheitsarchitekturen Vertrauen zu schaffen und Sicherheit zu geben, damit Bürgerinnen und Bürger ... die Chancen der Digitalisierung nutzen“.

Die Telematikinfrastruktur im Gesundheitswesen sollte mit seinen sensiblen Patientendaten dem eigenen Anspruch im besonderen Maße gerecht werden.  Der gerne öffentlich und forsch auftretende Bundesgesundheitsminister Jens Spahn wird nicht müde „Tempo in die Digitalisierung“ zu bringen – mit Gesetzen, Terminen und Sanktionen. Nun Beschleunigung hat er gebracht und Druck. Spätestens seit der eigenmächtigen Übernahme der Mehrheit an der Gematik durch das BMG geht es mit der TI voran.

In ähnlich forschem Tempo kommen nun echte und vermeintliche Schwachstellen der TI in wohldosierter Dramaturgie in die Öffentlichkeit. Den ersten Streich machte die Entdeckung, dass ein Großteil der Konnektoren nicht auf die von der Gematik empfohlene Weise angeschlossen wurden. Praxen, die nicht über eine zusätzliche IT-Sicherheitsstruktur verfügen, sind damit angreifbar. Zum Jahresende 2019 kam das nächste Überraschungspaket. Einige Sicherheitsexperten um den Chaos Computer Club zeigten, dass schon der Weg zu analogen Komponenten wie Heilberufs- und Praxisausweis ganz ohne Hackerkunst bedenkliche Sicherheitslücken aufweist. Der zweite Streich. Die Gematik setzte die Ausgabe erst einmal aus.

Jens Spahn zeigte sich unbeeindruckt. Die Ärzte Zeitung zitiert den Minister mit den Worten: „Ich werde bei dem Thema Gematik und elektronische Patientenakte mehr Geschwindigkeit reinbringen, weil über 14 Jahre nichts passiert ist, Hacker hin oder her.“ Spahn weiter: „Entscheidend ist, dass die Datensicherheit ab Tag eins gewährleistet ist.“ Tag eins ist der 1. Januar 2021.

Nun folgte der dritte Streich. Der IT-Sicherheitsexperte Thomas Maus hat „im Auftrag von Ärzten an deren Konnektoren nichtinvasive und nichtdestruktive Analysen durchgeführt“, heiß es in seinem ausführlichen Bericht „Hinweise auf mögliche Verwundbarkeiten der Medizin-Telematik“, der in der „c‘t“ 3/2020 erschien. Hier führt Maus aus, dass konkret im T-Systems-Konnektor Open-Source-Komponenten zum Einsatz kämen, die verwundbar seien. Er kommt zu dem Ergebnis: „Die neue Firmware-Version 1.5.3 hatte am 31. Dezember 2019 immer noch 291 Hinweise auf klärungsbedürftige Verwundbarkeiten: 7 kritische, 117 hochbrisante und 167 mittelschwere.“ Sein Urteil über das Kartenterminal fällt nicht viel besser aus – ebenso seine Einschätzung zum CGM-Konnektor. Dramatisch konstatiert er: „Updaten? Abschalten!“

Nun sind all diese „Enthüllungen“ nicht frei von professioneller Eitelkeit, gleichwohl zeigen sie TI-Schwachstellen bei der Installation der Konnektoren, beim Vergabeprozess von Heilberufs- und Praxisausweisen und zumindest nachvollziehbare „Verwundbarkeiten“ der auf dem Konnektor eingesetzten Software.

Bei letzterem wiegelt die Gematik auf dzw-Anfrage ab: „Aus Sicht der Gematik sind aus den geschilderten Ausführungen keine tatsächlichen Sicherheitsrisiken ableitbar.“ Dem schließt sich das BMG natürlich gerne an. Ein wenig kritischer äußert sich der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber gegenüber der dzw: „Nach meiner derzeitigen Auffassung muss die Telematikinfrastruktur nicht gestoppt werden. Die Umsetzung und die Prozesse müssen allerdings deutlich sicherer gemacht werden. Wie bei jeder technischen Lösung bleibt die Datensicherheit eine Daueraufgabe. Sie muss gerade bei Gesundheitsdaten immer dem Stand der Technik entsprechen. Hier muss noch deutlich nachgearbeitet werden und es darf keine Abstriche geben, um bestimmte Anwendungen fristgerecht einzuführen. Die Papierwelt zu behalten, ist keine Alternative. Patientendaten per Brief oder Fax zu verschicken hat schon zu vielen Datenpannen geführt, wie wir uns alle erinnern. Das gilt auch für Gesundheitsdaten, die in unverschlüsselten E-Mails versendet werden.“ Auffällig bleibt auf jeden Fall, dass egal
wo bei der TI genauer hingeguckt wird, Schwachstellen auftauchen.

Zurück zur „Datenstrategie der Bundesregierung“. Sie macht vier Handlungsfelder aus: „a) Datenbereitstellung verbessern und Datenzugang sichern b) Verantwortungsvolle Datennutzung befördern und Innovationpotenziale heben c) Datenkompetenz erhöhen und Datenkultur etablieren d) Den Staat zum Vorreiter machen“. Datensicherheit und -schutz finden wir hier nicht.
Nicht nur passionierte Pessimisten können den Eindruck erhalten, dass die Datennutzung Vorfahrt im politischen Getriebe hat. Noch Fragen?
Wer wie Spahn von oben nach unten entscheidet, kann auch an der eigenen Fallhöhe scheitern.