Der Vorstand von Apple und der Ministerpräsident von Thüringen haben eine Gemeinsamkeit: Monatelang wurde über den Gesundheitszustand von Steve Jobs und Dieter Althaus spekuliert – sehr zur Sorge von Aktionären und Mitarbeitern oder Parteimitgliedern und Wählern. Egal ob prominent oder nicht, an Öffentlichkeit dieser Art kann kein Kranker interessiert sein. Trotzdem ist nicht ausgeschlossen, dass künftig die Daten deutscher Patienten massenhaft im Internet veröffentlicht werden.

Ab 2010 sind alle Ärzte gesetzlich verpflichtet, das Internet zu nutzen, wollen sie ihrer Krankenkasse die Abrechnung der erbrachten Leistungen schicken. Bisher geschah das per Briefumschlag, der in einen Tresor bei der Kassenärztlichen Vereinigung geworfen wurde, bald soll ein Knopfdruck genügen. "SafeNet" heißt das System, und es will die Arbeit aller Beteiligten vereinfachen. Doch ist das auch wirklich sicher?

Wahrscheinlich nicht. Die Kassenärztliche Bundesvereinigung (KBV) hat 14 Seiten "Sicherheitsanforderungen für SafeNet-Arbeitsplätze" (PDF) herausgegeben. Niels Lepperhoff vermisst darin allerdings "nicht nur die Details, sondern auch den Begriff Kontrolle". Lepperhoff weiß, wovon er spricht, jahrelang hat er sich am Forschungszentrum Jülich wissenschaftlich mit der Sicherheit im Internet auseinandergesetzt. Heute berät er Firmen in diesem Bereich. Zu SafeNet sagt er: "Wenn Sie eine Ahnung bekommen wollen, wie umfangreich Sicherheit ist, lesen Sie mal die Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik. 3900 Seiten beschreiben die notwendigen Maßnahmen vom Einbruchsschutz bis zur Softwarekonfiguration."

Der Grund für diese Umstellung ist die elektronische Gesundheitskarte (eGK). 2005 sollte sie eingeführt werden und alle Ärzte, Apotheken, Krankenhäuser und -kassen über eine "zentrale Infrastruktur" miteinander verbinden. Das Ziel: Egal ob der Patient in Aachen zum Arzt geht oder bei einer Apotheke in Zwickau ein Medikament abholt – seine Karte soll jederzeit bestmögliche Betreuung und Zugriff auf seine Krankengeschichte garantieren. Doch immer wieder gibt es Probleme und Widerstände. Groß ist die Sorge bei Kritikern, das System führe zu gläsernen Patienten und berge die Gefahr von Datenlecks. Nicht zuletzt wegen SafeNet.

Denn selbst wenn die Übertragung der Patientendaten über das Netz sicher ist, die Rechner der Ärzte sind es deswegen noch lange nicht. Nicht einmal die KBV scheint der Sicherheit der SafeNet-Arbeitsplätze zu vertrauen. Auf die Frage, ob die Sicherheitsrichtlinien des Abrechnungssystems auch für die eGK-Arbeitsplätze in den Praxen gelten würden, heißt es: "KV-SafeNet ist ein von der eGK unabhängiges Projekt. Welche Sicherheitsanforderungen für spätere eGK-Anwendungen gelten, legt die Gematik fest."

Die Gematik ist ein Wirtschaftskonsortium und die Betreibergesellschaft hinter der eGK. Deren Verantwortlicher für Datenschutz und Informationssicherheit, Sven Marx, sieht seine Zuständigkeit auf die eGK-spezifischen Komponenten in der Arztpraxis beschränkt. Um seinen PC zu sichern, solle sich der Arzt an die KBV und die Bundesärztekammer wenden. Verantwortlich für die Sicherheit sei und bleibe allerdings der Arzt selbst.

Sicherheitsexperte Lepperhoff kommentiert das Schwarze-Peter-Spiel so: "Keiner will wirklich für die Sicherheit Verantwortung übernehmen. Sehr verständlich, da es um Leib und Leben geht."