Rückschlag für die elektronische Patientenakte: Hackern des Chaos Computer Clubs (CCC) ist es gelungen, sich Zugangsberechtigungen für das sogenannte Telematiknetzwerk zu verschaffen. An dieses sind mehr als 115.000 Arzt- und Zahnarztpraxen angeschlossen. Über das System sollen ab 2021 verpflichtend digitale Patientendaten und elektronische Rezepte ausgetauscht werden.
Das ist eine Blamage für die zuständige Gesellschaft für Telematikanwendungen der Gesundheitskarte (Gematik) und ein Rückschritt auf dem Weg zu einem digitalen Gesundheitswesen. Das Unternehmen Gematik mit „300 hoch qualifizierten Mitarbeitern“ (Selbstdarstellung auf der Website), dessen Anteile inzwischen mehrheitlich vom Bundesgesundheitsministeriums gehalten werden, arbeitet seit 2005 an dem Projekt. Es hat den Auftrag, die Telematikinfrastruktur des digitalen Gesundheitswesens mit Gesundheitskarte, Patientenakte und zugehöriger Infrastruktur zu entwickeln. Weitere Anteile halten die Spitzenverbände des Gesundheitswesens.
Letztere hatten bis 2019 die Mehrheit inne und blockierten sich vortrefflich gegenseitig, weil sie je nach Gemengelage weder die Gesundheitskarte noch die Patientenakte wollten und der Digitalisierung tendenziell feindlich gesonnen waren. Sie wurden schließlich von Gesundheitsminister Jens Spahn (CDU) per Gesetz entmachtet, der sich die Ergebnislosigkeit des Millionengrabes nicht länger ansehen wollte. Offizielle Zahlen zu den Finanzen gibt es nicht. Allein die Kosten der Gematik hätten bis zum Jahr 2017 606 Millionen Euro betragen, heißt es in einem Bericht des Bundesrechnungshofes. In der Süddeutschen Zeitung war sogar von zwei Milliarden Euro zu lesen.
Chipkarten im Käseladen
Ein Vorteil der Patientenakte ist die Verfügbarkeit von Gesundheitsdaten. Patienten müssen ihre Röntgenbilder und Arztbriefe nicht mehr zum Überweisungsarzt tragen. Die Akte erlaubt dem Arzt, sich ein umfassendes Bild vom Patienten zu machen und Befunde und Medikationen anderer behandelnder Kollegen einzusehen – sofern der Patient der Datenweitergabe zustimmt. Ferner können die in den Akten gespeicherten Daten anonymisiert für Big-Data-Analysen genutzt werden. Ein Vorteil für Versicherer sind die Kosten, weil doppelte Untersuchungen überflüssig werden.
Als Nachteil der Akte wird der Datenschutz genannt. Wie der aktuelle Fall zeigt, besteht immer ein Risiko, dass die gespeicherten Gesundheitsdaten in falsche Hände fallen können. Dem CCC-Sicherheitsexperte Martin Tschirsich war es zusammen mit dem Arzt Christian Brodowski und dem Experten für Identitätsmanagement André Zilch gelungen, sich gültige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten auf die Identitäten Dritter zu verschaffen.
Dazu waren keine besonderen Informatikkenntnisse erforderlich. Sie hatten sich die Ärztechipkarten, die den Zugang zu dem Datennetz ermöglichen, einfach in einen Käseladen schicken lassen, wie die SZ schreibt.
Mängel in Zugangsprozessen
Mit diesen Identitäten konnten die Hacker nach Angaben des CCC anschließend auf Anwendungen der Telematikinfrastruktur und Gesundheitsdaten von Versicherten zugreifen. Sie stellten grobe Mängel in den Zugangsprozessen fest und demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten erschleichen können. Im Falle der elektronischen Gesundheitskarte (eGK) gelang dies bereits zum wiederholten Male.
Der CCC machte Nachlässigkeit, mangelnde Prüfung und „Verantwortungsdiffusion bei den beteiligten Unternehmen und Institutionen“ als Ursachen aus. Offenbar keine neue Erkenntnis, wie die Charité-Professorin und Expertin für Gesundheits-IT Sylvia Thun auf Twitter bemerkte:
Ich habe 2004 mit Zilch zusammengearbeitet, im DIMDI/BMG. Schon da haben wir auf die unzureichenden Authentifizierungsmechsmen von eGK und Arztausweis, sowie die fehlenden Rechte-/Rollenkonzepte der Ärzte hingewiesen. Ganz zu schweigen von der unzureichenden Interoperabilität.
— Sylvia Thun (@ProfThun) December 27, 2019
Das Bundesgesundheitsministerium zeigte sich auf Nachfrage von Gründerszene über den Hack der Patientenakte empört. Ein Sprecher erklärte: „Die Schwachstellen bei der Ausstellung von Heilberufe- und Praxisausweisen ist nicht hinnehmbar.“ Deshalb begrüße das Ministerium, dass die Gematik „so schnell und entschlossen reagiert hat und die unsichere Ausgabe der Ausweise vorläufig unterbunden wurde“.
Patientenakte trotzdem pünktlich?
Wie es weiter beim Ministerium hieß, werde die Gematik Anfang Januar gemeinsam mit den Herausgebern der Karten, also der Kassenärztlichen Bundesvereinigung, den Ärztekammern und anderen festlegen, wie die Prozesse sicherer gestaltet werden können. „Wir gehen nicht davon aus, dass sich hierdurch der Start der elektronischen Patientenakte verzögert“, hieß es weiter aus dem Ministerium.
Der Spitzenverband der gesetzlichen Krankenversicherungen (GKV) sieht den Hack „mit einer gewissen Sorge“, wie GKV-Sprecher Florian Lanz sagte. „Denn das Vertrauen in die Telematik-Infrastruktur ist ein hohes Gut. Glücklicherweise wurden die Mängel so frühzeitig erkannt, dass Versichertendaten nicht gefährdet waren und sind“, erklärte Lanz.
Skepsis bleibt: Erst im November hatte die Gematik behauptet: „Die Telematikinfrastruktur ist sicher“. Wie man heute weiß, stimmt das so nicht. Neben den exorbitanten Kosten des Digitalisierungsprojekts wiegt der Vertrauensverlust in die Patientenakte am höchsten – sowohl vonseiten der Patienten, die um die Sicherheit ihrer sensiblen Gesundheitsdaten fürchten, als auch bei dem Teil der Ärzteschaft, der am liebsten bei Hängeregistraturen voller handschriftlicher Notizen geblieben wäre.
Eine Stellenausschreibung der Gematik vom gestrigen Donnerstag entbehrt angesichts des Hacks nicht einer gewissen Ironie:
Neues Jahr! Neue Herausforderung? Die #gematik sucht IT-Experten für die Digitalisierung des Gesundheitswesens. https://t.co/q46Yb309y0 pic.twitter.com/1Djf0EVLDn
— gematik (@gematik1) January 2, 2020
