Wie sicher sind meine medizinischen Daten? – Seite 1

Fast alles Digitale hat zwei Seiten, eine eher positive und eine eher negative. Über das Smartphone zum Beispiel ließe sich sagen, dass es alles besser mache, weil durch dieses Gerät Informationen schneller, demokratischer und einfacher verfügbar sind. Man könnte aber auch behaupten, dass es alles schlechter mache, weil wir durch das Smartphone ständig erreichbar sind, sensible Daten zur Nutzung von Diensten freigeben müssen und all unsere Schritte verfolgt werden können. Beide Argumente stimmen.

Dieses digitale Einerseits-Andererseits gilt auch bei einer technologischen Neuerung, die verschiedene Bundesregierungen seit mehr als zehn Jahren zu starten versucht haben: die elektronische Patientenakte. Gesetzlich verankert wurde sie schon im Jahr 2004, doch so richtig durchgesetzt hat sich die Idee nie. Das könnte sich bald ändern: Die aktuellen Regierungsparteien CDU, CSU und SPD haben sich in ihrem Koalitionsvertrag darauf verständigt, dass die digitale Patientenakte bis 2021 für jeden verfügbar sein muss.

Als Vorteile heben Befürworterinnen und Befürworter hervor, dass Menschen durch die elektronische Patientenakte schnelleren Zugriff auf ihre medizinischen Daten erhalten könnten. Patientinnen und Patienten sollen dort etwa ihren Impfpass hinterlegen, Diagnosen festhalten oder Medikamente notieren können, die sie regelmäßig einnehmen. Die elektronische Akte könnte auch der behandelnden Ärztin oder dem behandelnden Arzt zur Verfügung gestellt werden – dadurch wären sie stets auf dem aktuellen Stand über die Gesundheit ihrer Patienten.

Apps sollen in die digitale Patientenakte übergehen

Schon heute sind bestimmte Daten auf der elektronischen Gesundheitskarte gespeichert, etwa Name und Adresse des Versicherten. Andere Angaben sind freiwillig. Die elektronische Patientenakte soll ebenfalls (zumindest zunächst) auf freiwillig bereitgestellten Informationen basieren. Geht es nach Bundesgesundheitsminister Jens Spahn, soll die elektronische Patientenakte auch auf Tablets oder Smartphones verfügbar sein: Wie beim Onlinebanking sollen Versicherte eine PIN oder TAN erhalten und damit von überall aus ihre Gesundheitsdaten abrufen können. So viel zur optimistischen Perspektive.

Wie die Daten aber gesichert werden sollen, steht noch nicht fest. Im Oktober einigten sich Krankenkassen, Ärzte und das Gesundheitsministerium auf ein Grundkonzept für die elektronische Patientenakte. Die Gesellschaft für Telematikanwendungen der Gesundheitskarte, kurz gematik, soll bis Ende des Jahres (ja, damit ist 2018 gemeint) Vorgaben entwickeln, die die Sicherheit der Daten garantieren. Bekannt ist bisher nur, dass die Informationen zentral gespeichert werden sollen. Die gematik hat auch die sogenannte Telematikinfrastruktur für die elektronische Gesundheitskarte entwickelt. Vereinfacht gesagt werden dabei verschiedene IT-Systeme miteinander verknüpft.

Offenbar wollten private Anbieter nicht warten, bis die elektronische Patientenakte kommt, und haben daher schon vorab ihre eigenen Versionen von elektronischen Gesundheitsakten veröffentlicht. Diese funktionieren nach dem gleichen Prinzip wie die digitale Patientenakte, stammen aber von Unternehmen und funktionieren alle ein bisschen anders. Später einmal sollen zumindest die digitalen Angebote der Krankenversicherer in die elektronische Patientenakte übergehen, so steht es im Letter of Intent.

Allerdings ist es mit der Sicherheit dieser privaten Anwendungen so eine Sache. Das zeigte der IT-Sicherheitsexperte Martin Tschirsich am Donnerstag auf dem Jahreskongress des Chaos Computer Clubs in Leipzig in seinem Vortrag "All Your Gesundheitsdaten Are Belong To Us". Der Mitarbeiter der IT-Sicherheitsfirma modzero hatte schon im Oktober Sicherheitslücken in der damals gerade erst live gegangenen Krankenkassen-App Vivy gefunden. Die Anwendung zählt zu der mit dem potenziell größten Kundenstamm, denn sie wird von Krankenversicherungen wie der Allianz, Gothaer oder Barmenia unterstützt, die zusammen 13,5 Millionen Patientinnen und Patienten betreuen.

Gesundheitsdaten müssen ein Leben lang sicher sein

Überraschend daran war, dass manche der Sicherheitslücken geradezu fahrlässig wirkten. Die Daten in der App waren teils etwa mit einer vierstelligen PIN geschützt. Nur lässt sich eine solche PIN mit einigen Versuchen relativ schnell herausfinden. Tschirsich konnte ebenfalls die Zwei-Faktor-Authentifizierung umgehen und den verschlüsselten Datenaustausch zwischen Patient und Ärztin knacken.

Der IT-Sicherheitsanalyst weitete seine Recherche aus und untersuchte auch die Konkurrenten des Unternehmens: Vitabook, CGM Life, TK-Safe sowie die Telemedizinanbieter Teleclinic und meinarztdirekt.de. Auch bei diesen Angeboten fand er bedenkliche Sicherheitsprobleme: Bei Vitabook waren die Patientendaten teils unverschlüsselt, bei meinarztdirekt.de konnte er Rechnungen über einen offensichtlichen Umweg (die Druckfunktion) einsehen, bei Teleclinic über die HTTP-Adresse die Passwörter anderer Leute ändern. Im Fall des Unternehmens CGM Life, das eine Whitelabel-Lösung für Versicherungen anbietet, funktionierte die Zwei-Faktor-Authentifizierung zwar auf der Axa-Plattform, aber nicht auf der von CGM selbst. "Das ist so, als gäbe es mehrere Türen zu einem Haus, und nur eine ist mit Videoüberwachung gesichert", sagte Tschirsich.

Man sehe an den Beispielen, wie schwer es sei, so etwas "richtig zu machen". Gesundheitsdaten seien eben keine Bankdaten. Die würden irgendwann uninteressant: Zehn Jahre alte Kontoauszüge sagen schließlich relativ wenig über die aktuelle Bonität eines Bürgers aus. Gesundheitsdaten seien hingegen auch nach Jahren noch relevant, so Tschirsich. Ist etwa eine Erbkrankheit irgendwo festgehalten, könnte diese Information selbst noch für die Kinder oder Enkel von Nachteil sein. Geraten die Informationen einmal in kriminelle Hände, könnte ein langfristiger Schaden entstehen.

Stopp der elektronischen Patientenakte unrealistisch

Womöglich ist die elektronische Patientenakte besser gesichert, als es die privatwirtschaftlichen Anwendungen bislang sind – das wird sich aber erst mit der Spezifikation von gematik zeigen. Ein Blick auf andere Länder lässt jedoch Zweifel daran aufkommen, dass medizinische Informationen besser abgesichert sind als andere Daten im Netz: Wissenschaftler in den USA untersuchten gemeldete Sicherheitslücken im dortigen Gesundheitssystem und fanden heraus, dass mehr als 176 Millionen Patientenakten in irgendeiner Form betroffen waren (Journal of the American Medical Association: McCoy et. al., 2018). In Norwegen kopierten Hacker die Gesundheitsdaten von drei Millionen Menschen. 

Eine der größten Herausforderungen ist, dass medizinische Daten nicht nur für einen kurzen Zeitraum gesichert werden müssen, sondern möglichst über das gesamte Leben der Patientinnen und Patienten. Weil sich die Systeme aber ständig verändern, reicht eine einmalige Sicherung nicht aus. Tschirsich zitierte bei seinem Vortrag in Leipzig den Wissenschaftler Johannes Buchmann von der TU Darmstadt: Man müsse davon ausgehen, dass Daten spätestens nach 20 Jahren unverschlüsselt herumlägen, sagte dieser im November. Das gilt für die Gesundheitsakten privater Unternehmen wie für die elektronische Patientenakte.

Trotzdem wird Letztere wohl 2019 kommen, das weiß auch IT-Experte Tschirsich. Er forderte am Donnerstag daher nicht den Stopp der elektronischen Patientenakte. Doch er wies darauf hin, dass es noch Zeit gebe, sich Gedanken zu machen und Forderungen an Politikerinnen und Politiker zu stellen. Wohlgemerkt: noch.