Montag, 26. August 2019

Elektronische Gesundheitskarte - und die Probleme mit dem Datenschutz Wie man das Gesundheitswesen vor Inkontinenz schützt

"Elektronische Gesundheitskarte" im Lesegerät: Für Ärzte und Krankenhäuser wird der Datenaustausch einfacher. Doch zugleich nehmen die Probleme beim Datenschutz zu.

Start für die elektronische Gesundheitskarte: Die Leistungsfähigkeit der Informationstechnik verändert auch das Gesundheitswesen. Patienten können permanent aus der Ferne beobachtet werden. Das hat Folgen.

Die elektronische, maschinenlesbare Gesundheitskarte mit Lichtbild soll bundesweit den Datenaustausch zwischen Ärzten, Krankenhäusern und Krankenkassen erleichtern, so das hehre Ziel. Und der Einsatz digitaler Informationstechnik im Gesundheitswesen soll noch viel weiter gehen: So sollen Ärzte künftig zum Beispiel das Langzeit-EKG ihrer Patienten mit Hilfe "intelligenter" Hemden aus der Ferne verfolgen. Und die früher aufwendige Verkabelung des Patienten gehöre mit diesem "Telemonitoring" der Vergangenheit an. Überstreifen - fertig! Soweit die blumige Beschreibung unseres künftigen Gesundheitswesens.

Seit zwei Jahren wissen wir aber, wie detailtief die weltweiten Geheimdienste Deutschland ausspionieren, um zum Beispiel herauszubekommen, was 'x' über 'y' denkt. Dazu passt sowohl die Infektion von Hardware mit Computerschädlingen und die Sympathie der Dienste für Fitnessarmbänder - denn ihr Träger sei "mit 100 prozentiger Genauigkeit" an seinem Gang zu erkennen. Besonders attraktiv dürften zudem die Daten derer sein, denen Geld, Macht und/oder Einfluss unterstellt wird.

Wenn wir dennoch Krankenhäusern, Arztpraxen, Apotheken, "nichtakademischen Heilberufen" (etwa Altenpflegern, Bademeistern oder Physiotherapeuten) sowie Krankenkassen Zugriff auf eine künftige Telematik-Infrastruktur (TI) mit den Daten von sämtlichen Krankenversicherten erteilen wollen, sollten wir zunächst die notwendigen Voraussetzungen dazu schaffen. Ansonsten spielen wir Russisch Roulette mit den Betroffenen - dass massenweise Patientenakten von Hackern im Internet abgefragt und veröffentlicht werden können, zählt da noch zu den kleineren Risiken und Nebenwirkungen der neuen Telematik-Infrastruktur.

Die Digitalisierung des Gesundheitswesens ist riskant - wenn man nicht vorbeugt

Umgekehrt beweist das Gesundheitswesen derzeit immer wieder, dass seine Mitarbeiter mit der Digitalisierung überfordert sind. Das fängt mit den Entscheidern in Politik und Wirtschaft bereits an: Statt die Menschen von der Sicherheit des digitalisierten Gesundheitswesens zu überzeugen, droht Gesundheitsminister Hermann Gröhe den "Blockierern" der digitalen Revolution mit finanziellen Kürzungen.

Arno Elmer, Geschäftsführer der Gematik, der Betreibergesellschaft der elektronischen Gesundheitskarte, behauptete in einer Anhörung des Deutschen Bundestages 2014: "Durch die neutrale und herstellerunabhängige Konzeption der TI durch die Gematik in Zusammenarbeit mit dem BSI (Bundesamt für die Sicherheit der Informationstechnik) ist sichergestellt, dass keine Komponenten der TI von Geheimdiensten zum Zugriff auf Daten genutzt werden können." Eine steile These: Dazu wäre nämlich der Zugriff auf jede Hardware und jede Zeile Software notwendig, die in den Servern, Routern, Gateways, Switches, Accesspoints, Antennen, Kabeln, Glasfasern, Steckverbindern und Anschlussdosen verbaut ist oder zu deren Steuerung genutzt werden.

Apples Healthkit: Die Probleme der Telematik

Die Medizininformatikerin Britta Böckmann wirbt bei gleicher Gelegenheit fürs "Telemonitoring" mit Hilfe tragbarer Computer und engagiert sich in einer Anhörung des Bundestages für Apple's Healthkit, um die Daten des Überwachten in die Telematikinfrastruktur einzuspeisen. Im günstigsten Fall war Böckmann zu diesem Zeitpunkt nicht bekannt, dass Apple Börsen-Chart zeigen die Technik bereits zwei Monate zuvor wegen Sicherheitsmängeln vom Markt genommen hat.

Weiteres Beispiel: Eine Klinik in Nürnberg gab sich davon überzeugt, dass eine feste Standleitung bei einer Videokonferenz "für 100-prozentige Datensicherheit" sorgt. Dabei ist seit 2013 aus der Publikumspresse bekannt, dass Geheimdienste regelmäßig Standleitungen anzapfen. Die bei den Krankenhäusern eingesetzte Technik ist offenbar so schlecht, dass sie der frühere Bundesbeauftragte für den Datenschutz, Peter Schaar, 2013 als "Geschäftsrisiko" für die Hersteller eingestuft hat.

Weniger als fünfzig Prozent der eingekauften Software für Informationstechnik wird vor der Verwendung von den Kunden auf Sicherheit geprüft. Genauso mangelhaft scheint die Kontrolle der IT-Administratoren zu sein - das ist die Spezies, die die IT-Systeme bei Herstellern, Krankenkassen und -häusern betreut. Womöglich entscheiden sie sich deshalb im Konflikt zwischen Geschwindigkeit und Sicherheit häufig gegen die Sicherheit.

Ganzheitliche IT-Sicherheitskonzepte fehlen nicht nur in Kliniken

Ganzheitliche IT-Sicherheitskonzepte fehlen bei den meisten mittelständischen Firmen - da kann es nicht verwundern, dass 86 Prozent der Internetdienste über unzulängliche Passwortregeln verfügen. Die Folge: "Password1" scheint das beliebteste Passwort überhaupt zu sein. Ehrlicherweise bekennen 62 der im Mittelstand Beschäftigen, dass sie nie ein Sicherheitstraining erhalten hätten während gleichzeitig 80 Prozent beteuern, wie wichtig die Sicherheit in ihrem Unternehmen sei. Nicht einmal analog funktioniert die Sicherheit: Im Februar 2015 wurden Röntgenunterlagen des Klinikums Weilheim im sechzig Kilometer entfernten München sackweise auf der Straße entdeckt. Vorgeschrieben ist das Schreddern der Röntgenbilder mit einer Partikelgröße von maximal 160 Quadratmillimeter.

Was aber sind die angesprochenen sicherheitstechnischen Voraussetzungen für ein vernetztes Gesundheitswesen? Jede der beteiligten Institutionen muss systematisch auf Schwachstellen abgeklopft und ihre Aufbau- und Ablauforganisation überprüft werden: Welche Daten werden wo erhoben, verarbeitet und gespeichert? Welche Technik wird dabei wie genutzt? Im Zweifel muss der Sicherheit Vorrang vor dem Komfort und der Geschwindigkeit eingeräumt werden. Welcher Verschlüsselungsalgorithmus bietet ausreichend Widerstand, um jeden einzelnen Datensatz individuell gegen hochentwickelte Angriffe zu schützen?

Seite 1 von 2

© manager magazin 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung