Meinung: Patienteninformationssysteme sind unsicher

IT-Security-Forscher warnen, dass sensible Patienteninformationssysteme nicht selten Sicherheitslücken aufweisen, die spät oder gar nicht gestopft werden. Das könnte bald fatale Folgen haben.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 3 Min.
Von
  • Fred Trotter

IT-Security-Forscher warnen, dass sensible Patienteninformationssysteme nicht selten Sicherheitslücken aufweisen, die spät oder gar nicht gestopft werden. Das könnte bald fatale Folgen haben.

Trotter ist Chief Operating Officer beim Online-Gesundheitsdienstleister Open Source Health und Gründer des Patientendatenüberwachers Careset.

Es ist nur eine Frage der Zeit, bis es in der Gesundheits-IT zu einem Daten-GAU kommt. Davon bin ich fest überzeugt – und so mancher Sicherheitsexperte ebenfalls. Das aktuelle Drama um die fatale Verschlüsselungslücke Heartbleed spielt dabei nur eine Nebenrolle, könnte die Situation aber verschärfen.

Attacken auf IT-Systeme von Gesundheitsanbietern sind besonders problematisch, weil mittlerweile so viele persönliche Daten in den elektronischen Patientenakten stecken. Bei Angriffen auf solche Systeme erhalten Kriminelle nicht nur Kontaktdaten und oft auch Finanzinformationen, sondern Details zum Gesundheitszustand ihrer Opfer, die eigentlich nie an Fremde gelangen dürften.

Die Heartbleed-Lücke, die in der weitläufig verwendeten Web-Verschlüsselungssoftware OpenSSL steckte, brachte Bewegung in die IT-Security-Branche. Experten legten Überstunden ein, um das Problem möglichst schnell zu lösen. Bei Sicherheitslücken in Gesundheits-IT-Systeme wäre ein solch dynamisches Reagieren eher schwer, denn die verwendete Technik ist erstaunlich rückständig. Die Hersteller würden es meiner Erfahrung nach schlicht nicht schaffen, Gefahren wie Heartbleed zeitnah zu begegnen.

Es gibt einige Belege dafür, dass Firmen, die Software zur Verwaltung elektronischer Patientenakten entwickeln, auf Codelücken schlicht nicht ausreichend vorbereitet sind. Beispielsweise entdeckte der Gesundheits-IT-Experte Josh Mandel bereits am 4. April ein schwerwiegendes Problem in einem Stück Standardsoftware, das von vielen Anbietern solcher Systeme mitgenutzt wird. Mandel, der selbst an universellen Schnittstellen für elektronische Patientenakten arbeitet, gab den Fehler an die Hersteller weiter, doch nur einige reagierten angemessen. Weniger als 10 Prozent der von dem Experten kontaktierten Firmen verfügten über gut funktionierende interne Routinen für solche Fälle.

Hacker und andere Angreifer agieren enorm schnell und können Millionen Maschinen gegebenenfalls in wenigen Stunden übernehmen, finden sie eine dafür geeignete Lücke. Die einzige Chance, die Sicherheitsexperten haben, ist es, sich ausreichend auf solche Attacken vorzubereiten. Wenn entsprechende Prozesse vorhanden sind, besteht die Möglichkeit, einigermaßen mitzuhalten. In der Gesundheits-IT scheint es jedoch vielfach daran zu mangeln.

Waren von der Heartbleed-Lücke auch Systeme zur Verwaltung elektronischer Patientenakten betroffen? Das lässt sich derzeit noch nicht mit Bestimmtheit sagen. In den USA müssen Datenlecks üblicherweise an das sogenannte Office of Civil Rights des Gesundheitsministeriums (HHS) gemeldet werden – so steht es im Gesetz. Es ist aber ein offenes Geheimnis, dass viele Gesundheitsdienstleister "kleinere" Probleme erst gar nicht angeben. Und selbst wenn Krankenhäuser oder Versicherungen ihren Pflichten nachkommen, lässt sich aus den verfügbaren Daten nur schwer ermitteln, wie gut die Branche auf ein Sicherheitsproblem reagiert hat.

Entsprechend gespannt bin ich auf die nächsten Monate. Es könnten uns aufregende Zeiten bevorstehen. Hoffen wir, dass ich unrecht habe. (bsc)