Der offene Arzt-PC: "Hereinspaziert!"
Endet die Sicherheit der elektronischen Gesundheitskarte bei den PCs von Ärzten, Apothekern und Krankenhäusern?
„Der Tag der offenen Tür ist ein Tag, an dem Institutionen, Einrichtungen, Unternehmen oder ähnliche Anlagen für Besucher geöffnet sind, die normalerweise keinen Zutritt haben.“ - so heißt es bei Wikipedia. Die Bundesregierung hat ja bereits Erfahrung mit solchen Tagen und sonst nicht zugelassenen Besuchern: So wurden die Computer einiger Ministerien im Sommer 2007 online besucht. Die digital Reisenden waren – so vermuten die Ermittlungsbehörden - chinesischen Ursprungs.
Es scheint jedenfalls, als ob die Bundesregierung mit den Erfahrungen rundweg zufrieden war. Nun ist sie offenbar gewillt, ganzen Berufsständen ähnliche Erfahrungen zu gewähren. Gesundheitsministerin Ulla Schmidt macht den Anfang: Sie verordnet Ärzten, Apotheken, Krankenhäusern und -kassen die elektronische Gesundheitskarte (eGK). Das Ziel: Im papierlosen Gesundheitswesen sollen die Beteiligten künftig nur noch digitale Dokumente austauschen. Großen Wert legen die Bundesregierung, die Kassen, die IT-Industrie und die Betreibergesellschaft der eGK auf die Sicherheit der internet-basierten „zentralen Infrastruktur“ und die bei den Leistungserbringern installierten eGK-spezifischen Komponenten.
Doch was ist mit den PCs von Ärzten, Apothekern und Krankenhäusern? Hier sollen schließlich die Dokumente eines Tages im Original liegen, die Aufschluss über den Gesundheitszustand der Versicherten geben. Der Bundesbeauftragte für den Datenschutz (BfDI) will nach eigener Aussage bereits vor 10 Jahren den Vorschlag gemacht haben, zusammen mit dem Bundesamt für die Sicherheit in der Informationstechnik (BSI) einen gemeinsamen Standard für die IT-Sicherheit in den Arztpraxen zu entwickeln. Dies sei von der Kassenärztlichen Bundesvereinigung und der Bundesärztekammer abgelehnt worden. Man wolle eigene Vorstellungen und Vorgaben machen.
Ein ambitioniertes Unterfangen: Der Grundschutzkatalog des BSI umfasst Tausende von Seiten – und der gilt für jeden x-beliebigen Rechner. Wie viele Seiten werden wohl nötig sein, um einen „Grundschutz“ für die Branche zu entwickeln, die mit der Krankenhistorie des ganzen Volkes umgeht? Die Realität ernüchtert: „Leider habe ich seit damals nichts mehr gehört“, bedauert der zuständige Mitarbeiter des BfDI, Walter Ernestus.
Stattdessen verweist die KBV heute bei derlei Fragen an die Betreibergesellschaft der Gesundheitskarte, die Gematik. Und die Gematik gibt den Schwarzen Peter an die Standesorganisationen zurück und weist darauf hin, dass der Arzt immer noch selbst für die Sicherheit seiner Daten zuständig sei. Auch die Bundesvereinigung Deutscher Apothekerverbände gibt ihren Mitgliedern keine Tipps, wie sie ihre Hardware vor unberechtigtem Zugriff schützen können. Die Deutsche Krankenhausgesellschaft antwortet auf die Frage von Telepolis:
Bis es dazu kommt, dass die Primärsysteme an die Telematikinfrastruktur "geklemmt" werden, wird es noch etwas dauern. Zunächst werden die Krankenhäuser in den nächsten Monaten ohne Netzanbindung mit (lokalen) Kartenterminals ausgestattet. Für ein Dokument zur angeklemmten Infrastruktur, ergänzend zu den Spezifikationen und Unterlagen der gematik, besteht noch Zeit.
DKG
Schön, dass die Leute Zeit haben. Hoffentlich reicht die Zeit letztlich aus, um an die bereits vorhandene Detailtiefe im Grundschutzkatalog des BSI heranzukommen. Ganz zu schweigen von dem speziellen Katalog, den die Datenschützer gern speziell für die Arztpraxen entwickelt hätten. Viola Schmid, Cyberlaw-Professorin der Technischen Universität Darmstadt weist jedenfalls darauf hin: „Die Frage, welche IT-Sicherheitsstandards für die Wahrung der ärztlichen Schweigepflicht zu fordern sind, bedarf einer Klärung durch die Rechtsprechung.“
Welchen praktischen Gefahren könnten die Patientendaten in Arztpraxen, Apotheken und Krankenhäusern also nun ausgesetzt sein? Niels Lepperhoff, früher Experte für Internet-Terrorismus am Forschungszentrum Jülich und heute Geschäftsführer der Sicherheitsfirma Xamit in Düsseldorf meint, Kriminelle könnten etwa die Gelben Seiten nach einschlägigen Mail-Adressen durchforsten und dann einen Trojaner bei den Heilberufen platzieren. Der könnte dann das Passwort der Patientendatenbank ausspionieren. Wenn das einmal geschafft ist könnten die Patientenakten - wohlgemerkt: die Originale! - beliebig gelöscht oder gar manipuliert werden.
Eine besondere Spielart boten Kriminelle Ende April in den USA: 8 Millionen Patientendaten wurden auf einem Server in den USA verschlüsselt. Das Passwort wollen die Erpresser erst nach Zahlung eines Lösegelds in Höhe von 10 Millionen US Dollar rausrücken. Falls nicht gezahlt werde, würden die Daten auf dem freien Markt angeboten. Was wäre wohl der Datensatz einer Schauspielerin wert? Oder der eines Politikers? Vermutlich würde es sich auch die Prominenz im 150-Seelen-Dorf einiges kosten lassen, die Daten geheim zu halten.
Und es sind womöglich nicht nur die illegalen Kriminellen, die am Gesundheitszustand der Menschen Interesse finden könnten. Das Handelsblatt schreibt heute zu dem nicht enden wollenden Datenskandal bei den rosaroten Telekomikern und anderen Großunternehmen: „Die Ermittlungen deuten darauf hin, dass Mitarbeiter großer deutscher Unternehmen eine Art Schattenreich geschaffen haben, in dem Recht und Gesetz nicht gelten.“
Die scheinbar renommiertesten Unternehmen in Deutschland interessieren sich nach Handelsblatt-Informationen für den Kaufpreis von Eigentumswohnungen von Mitarbeiter-Frauen. Sie wissen über den Zinssatz Bescheid, zu dem die Beschäftigten Geld anlegen. Wieso sollten derartige Stasi-Unternehmen denn nicht auch selbst Trojaner entwickeln, um damit den Gesundheitszustand ihrer Mitarbeiter in Erfahrung zu bringen?
Heute beginnt der 112. Ärztetag. Die Gesundheitskarte steht nicht auf der Tagesordnung. Da können wir Versicherte also nur noch auf göttlichen Beistand hoffen, der 365 Mal im Jahr den Tag der offenen Arzt-PCs verhindert.