Missing Link: Die neue digitale Verwundbarkeit des Patienten
Die Digitalisierung von Patientenakten und zentrale Speicherung von Gesundheitsdaten schafft nicht nur Vorteile, sondern auch Risiken. Sind wir gewappnet?
(Bild: Erstellt mit Midjourney durch heise online)
Deutschland hinkt bei der Digitalisierung des Gesundheitswesens hinterher und andere Länder seien viel weiter, heißt es immer wieder. Doch ohne eine sichere Basis kann die Digitalisierung im Gesundheitswesen nicht gelingen und ohne einen dauerhaft funktionierenden Schutz auch nicht: Stellen Sie sich vor, Sie erhalten einen Brief von der Post. Darin teilt Ihnen eine Behörde, ein Gesundheitsdienstleister, Ihre Krankenkasse oder Ihr Arzt mit, dass Ihre Daten von Unbekannten gestohlen wurden. Ihre persönlichen Gesundheitsdaten aus der Patientenakte, die für Sie oder über Sie geführt wurde. Diese Geschichte wurde Anfang 2023 bittere Realität für einen Krebspatienten in Schottland, so die Zeitung Daily Record.
Ein anderer Fall: Jemand nimmt mit Ihnen Kontakt auf und erpresst Sie mit Daten, die er aus einer Gesundheitsdatenbank über Sie und Ihre Familie hat. So passiert vor Kurzem in London, wie die unabängige Behörde für die Wahrung von Informationsrechten und Datenschutz in UK berichtet. Ein Mitarbeiter eines Call-Centers, das für Anrufe des National Health Service (NHS) unter der Nummer 111 zuständig ist, hatte seine Zugriffsrechte benutzt, um unberechtigt zielgerichtet die Daten dieser Familie auszuspähen und anschließend missbräuchlich zu verwenden. Beim National Health Service (UK), erreichbar unter der Nummer 111, handelt es sich um das britische Pendant des ärztlichen Notdienstes, in Deutschland ist die 116 117 zuständig. Anlass für das rechtswidrige Verhalten des Call-Center-Mitarbeiters war eine Beschwerde des Familienvaters gegen ihn, nachdem es bei einem 111-Anruf zwischen den beiden zu einer Meinungsverschiedenheit über die Entfernung zu einem medizinischen Zentrum gekommen war.
Der Journalist Brian Krebs berichtet über einen weiteren Fall, der ebenfalls aufhorchen lässt: Am 3. Februar 2023 verhaftete die französische Polizei einen von Europas Most Wanted Fugitives und Finnlands Most-Wanted Hacker. Dem Beschuldigten wird unter eine anderem eine Beteiligung an der Erpressung eines Psychotherapie-Zentrums und dessen Patienten in Finnland vorgeworfen. Im Oktober 2020 hatte es dort ein Datenleck gegeben. Die Täter versuchten in der Folge die Institution zu erpressen und drohten die Veröffentlichung der sensiblen Patientendaten an. Da kein Geld gezahlt wurde, wurde die Erpressung auf einzelne Patienten ausgedehnt. Anscheinend verlief das vonseiten der Täter nicht wie gewünscht: die Therapie-Unterlagen von mehr als 22.000 Patienten wurden online veröffentlicht. Dabei unterlief den Kriminellen ein Fehler, der zur Identifizierung des nun festgenommenen Hackers führte, der bereits eine längere Karriere hinter sich hat.
Fazit dieser Vorfälle: rechtlich ein Datenschutzverstoß und eine Straftat in der Statistik. Für die betroffenen Opfer ein Albtraum.
Größter Datendiebstahl in den USA
Im Gesundheitsbereich gab es in den USA bisher den wohl größten Datendiebstahl weltweit, gemessen an der Anzahl von Betroffenen. Das zweitgrößte Krankenversicherungsunternehmen der USA gab im Januar 2015 bekannt, dass es Opfer eines umfassenden Angriffs auf seine Daten geworden war. Ziel der Täter waren die Datenbankserver. Betroffen von der Attacke waren alle Abteilungen innerhalb des Unternehmens selbst, sowie viele Konzerntöchter. Die Untersuchungen ergaben, dass die Täter zwischen dem 2. Dezember 2014 und dem 27. Januar 2015 die Electronic Protected Health Information (ePHI) von fast 78,8 Millionen Personen gestohlen haben, darunter Namen, Sozialversicherungsnummern, medizinische Identifikationsnummern, Adressen, Geburtsdaten, E-Mail-Adressen und Informationen zum Beruf.
Alle Informationen, die zur Identifizierung eines Patienten verwendet werden können, gelten als "geschützte Gesundheitsinformationen" (Protected Health Information = PHI). PHI in elektronischer Form werden als ePHI bezeichnet – das kann zum Beispiel eine digitale Kopie eines medizinischen Berichts sein. Wegen Verstößen gegen die geltenden Sicherheitsrichtlinien (Health Insurance Portability and Accountability Act HIPAA), die technische, physische und administrative Sicherheitsvorkehrungen für geschützte Gesundheitsinformationen verlangen, musste das Unternehmen eine Rekordstrafe von 16 Millionen US-Dollar zahlen. Dazu kamen im Jahr 2020 noch mal 48,2 Millionen US-Dollar, die das Unternehmen in einem Vergleich an den Staat zahlte, um die Ermittlungen mehrerer Generalstaatsanwälte zu einem Ende zu bringen.
Anschließend kam noch eine Zahlung für die Datendiebstahlsopfer in Höhe von 115 Millionen US-Dollar obendrauf. Ob das Unternehmen die finanziellen Schäden mit seiner Cyberversicherung decken konnte, ist nicht bekannt. Auch ändern diese Strafen nichts daran, dass die persönlichen Daten von fast 80 Millionen Patienten nun in der Hand von Unberechtigten sind. Die Tat wurde später einer chinesischen Hacker-Gruppe zugeschrieben. Abgesehen von Spionage ist auch der Verkauf der Daten ein lukratives Geschäft.
Wissen ist Macht
Vor allem aufbereitete Informationen mit Angaben zu Personen, Vorgängen und Sachverhalten sind wertvoll. Personenbezogene Gesundheitsdaten gehören zu der Kategorie der höchst sensiblen persönlichen Informationen. Der Kreis von möglichen Lesern solcher (analoger) Papierakten war bisher grundsätzlich begrenzt: auf die Arztpraxis und die dort arbeitenden Personen mit Zugriff auf die Akten. Bei einer zentralen digitalen Speicherung kann der Zugriff weit größer ausfallen, als geplant, gedacht und vor allem gewünscht. In Deutschland gibt es nach Artikel 9 der DSGVO besondere Vorgaben, um Gesundheitsdaten zu verarbeiten.
Die zentrale Speicherung von Gesundheitsdaten ergibt ein umfassendes Wissensmonopol – einen Datenschatz, den es so noch nicht gegeben hat. Wissenschaft und Forschung haben ein nachvollziehbares Interesse am Zugriff auf diese zentrale Datenquelle. Die EU plant den Datenaustausch von Gesundheitsdaten für Forschungszwecke zu vereinfachen und will dafür einen gemeinsamen europäischen Gesundheitsdatenraum einrichten.
Begehrlichkeiten auch aus unerwünschten Ecken
Während in Deutschland noch über die Weitergabe der Abrechnungsdaten 73 Millionen Versicherter an eine zentrale Stelle gestritten wird, werfen wir einen Blick auf eine Reihe von Ereignissen der letzten Zeit, bei denen die Gesundheitssysteme das Ziel von Angriffen waren, personenbezogene Gesundheitsdaten zur Beute wurden oder Daten missbräuchlich verwendet wurden. Aus früheren Fehlern und Erfahrungen lässt sich lernen, um Risiken rechtzeitig zu erkennen, Gefahren abzuwehren und es somit insgesamt besser oder anders zu machen.
Risikofaktor Cybercrime
Täter nutzen die digitale Welt und passen ihr Handeln und ihre Geschäftsmodelle schnell an sich dort bietende neue Möglichkeiten an. Cybercrime ist seit Jahren das am stärksten wachsende Kriminalitätsfeld und zeichnet sich durch eine hohe Dynamik aus: Die Digitalisierung und zunehmende digitale Vernetzung lässt neue Angriffsflächen entstehen. Diese technischen Entwicklungen und aktuelle gesellschaftliche Trends werden durch Täter aufgegriffen und in neue Modi Operandi und konkrete Cyberangriffe umgesetzt.
Straftaten verlagern sich von dem analogen in den digitalen Raum. Neue Kriminalitätsphänomene tauchen auf, die unter Ausnutzung der neuen und alten Informations- und Kommunikationstechnik begangen werden. Grenzen gibt es praktisch nicht mehr. Datendiebstahl, -hehlerei, Erpressung und Sabotage sind heutzutage ein Alltagsgeschäft. Cybercrime-as-a-Service macht solche Geschäftsmodelle auch für nicht-technisch versierte Kriminelle verfügbar. Es mag sein, dass einzelne Black-Hat- oder Grey-Hat-Hacker und Ransomware-as-a-Service-Täter-Gruppen eine Art Ehrenkodex haben, der einen Angriff auf kritischen Infrastrukturen verbietet – wozu zum Beispiel Krankenhäuser und das Gesundheitssystem an sich gehören – und die dann auch eingreifen, wenn ihre Affiliates oder Mitglieder dagegen verstoßen.
Einen solchen Ehrenkodex haben jedoch nicht alle, die in diesem kriminellen Feld aktiv sind. Neue Einzelakteure und Gruppen sind dazu gekommen, andere haben sich neu orientiert und organisiert. Abgesehen von organisierten Banden, kann es auch Einzeltätern gelingen in besonders geschützte Strukturen einzudringen, Daten auszuspähen, Systeme zu sabotieren oder Hintertüren einzurichten. Wenn es um den (finanziellen) Gewinn geht, werden ein früherer Ehrenkodex oder Gruppenregeln auch schon mal beiseitegeschoben.
(Bild: Statista mit Daten der Healthcare Information and Management Systems Society (HIMSS) )
Die Entwicklung ist rasant: taucht ein neues Narrativ auf, ist die darauf passende Phishing-Nachricht schnell verschickt. Wird eine vielversprechende Sicherheitslücke entdeckt, wird diese auch schnell ausgenutzt. Kaum bekannt, finden Scans nach vielversprechenden Opfer-Systemen statt, während im Hintergrund schon an passenden Angriffsmustern und -code gearbeitet wird. Hersteller und Anwender kommen mit dem Patchen ihrer Systeme manchmal gar nicht mehr hinterher. Unzureichend geschützte Systeme kritischer Infrastrukturen können aus verschiedenen Motiven zu Zielen werden.
Wenig Investitionen in Cybersecurity im Gesundheitssektor
Der Gesundheitssektor mit all seinen sensiblen Daten und Abhängigkeiten wurde als ein einfaches und lohnenswertes Ziel ausgemacht: In der Vergangenheit wurde in die Cybersecurity im Gesundheitssektor nicht viel investiert. Weder in die Absicherung, Härtung und Überwachung der technischen Systeme, noch in die Aufklärung und Schulung der Nutzer hinsichtlich der Gefahren und Angriffsmuster (Social Engineering in allen Formen und Varianten). Dass dies ein zunehmendes Problem ist, rückt im Zuge der Digitalisierung weiter in den Fokus, wie auch eine Bitkom-Umfrage von 2022 zeigt.
Informationstechnologie findet sich im Gesundheitssektor in vielen verschiedenen mehr oder weniger miteinander vernetzten Systemen und in zahlreichen Formen wieder – von Anwendungen zur Behandlungsdokumentation über Inventar- und Bestellsysteme, Verwaltungssoftware, Informationssoftware bis hin zu medizintechnischen Geräten. Im Rahmen einer Untersuchung von Kaspersky Lab aus dem Jahr 2021 wurde bekannt, dass 73 Prozent der Gesundheitsdienstleister weltweit medizinische Geräte mit älteren Betriebssystemen verwenden. In der Studie wurden Teilnehmer aus 34 Ländern befragt. Nur 22 Prozent gaben an, dass alle medizinischen Geräte, mit aktueller Software laufen würden. Die Verwendung von Legacy-Betriebssystemen birgt laut dem Healthcare Report von Kaspersky ein hohes Risikopotenzial für Cyberangriffe.
Dort, wo Täter nicht viel Mühe investieren müssen, um einen Angriff erfolgreich durchzuführen, schlagen sie eher zu. Da medizinische Daten wertvoller als andere personenbezogene Daten sind und die Aufrechterhaltung der medizinischen (Notfall-)Versorgung elementar für die Gesellschaft ist, ist der Gesundheitssektor ein lohnenswertes Ziel. Ein zentral gespeicherter Datenschatz weckt mit an Sicherheit grenzender Wahrscheinlichkeit ein erhebliches kriminelles Interesse. Wo sonst könnte ein Täter oder eine Tätergruppe auf einen Schlag eine so umfangreiche und hochkarätige Beute machen?
(Bild: Statista mit Daten des Identity Theft Resource Center)
Gesundheitsdaten als Handelsware
Laut dem Trustwave Global Security Report 2019 hatten Gesundheitsdaten auf dem Schwarzmarkt im Darknet seinerzeit einen Wert von knapp über 250 US-Dollar – also pro einzelnem Datensatz / Gesundheitsakte. Im Jahr 2022 ergaben Auswertungen; dass eine einzige Gesundheitsakte unterschiedlichen Quellen wie dem Gesundheitsnachrichtendienst Fierce Healthcare zufolge bis zu 1.000 US-Dollar wert sein kann. Im Vergleich dazu sind Kreditkartendaten deutllich günstiger.
Der Kostenunterschied hat folgende Gründe: Gesundheitsdaten lassen sich für Betrug, Identitätsdiebstahl und Erpressung verwenden. Das geht auch mit anderen personenbezogenen Daten. Identitäten in Form von E-Mail-Adressen, Bankkonten, Telefonnummern und ähnlichem lassen sich mit relativ wenig Aufwand wechseln oder wie nicht mehr benötigte Kleidung ablegen. Das sind schließlich nicht Sie, sondern nur eine mit ihnen verknüpfte digitale Identität. Selbst eine Anschrift lässt sich notfalls durch einen Umzug dauerhaft ändern. Ihre Gesundheitsdaten, körperlichen Merkmale und Ihre medizinische Geschichte können Sie jedoch nicht so einfach abstreifen oder ändern.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellte in seinem letzten Lagebericht zur IT-Sicherheit in Deutschland 2021 fest: "Angesichts des besonders schwerwiegenden Eingriffs in die schützenswerte Intimsphäre von Patientinnen und Patienten, die beispielsweise ein Abfluss sensibler Gesundheitsdaten darstellt, muss der Schutz dieser Daten eine übergeordnete Priorität einnehmen. Der Verlust von sensiblen Gesundheitsdaten kann möglicherweise lebenslange Folgen für Patientinnen und Patienten nach sich ziehen."
Aus dem BSI-Bericht zum Digitalen Verbraucherschutz 2021 geht zudem hervor, dass Verbraucher in Deutschland immer häufiger von Cyberangriffen betroffen sind, "ohne direkt angegriffen worden zu sein. Erfolgreiche Cyberangriffe auf Kommunalverwaltungen, auf Krankenhäuser, auf Unternehmen oder auf andere Institutionen haben teils erhebliche Auswirkungen auf viele Menschen, die in diesen Kommunen leben, Kunde der Unternehmen sind oder in anderer Weise Leistungen der Institutionen in Anspruch nehmen".
Erpressung an kritischer Stelle
Im Bereich Ransomware kommt dazu die Erkenntnis, dass im Gesundheitssektor eher ein Lösegeld gezahlt wird, als in anderen Bereichen. Dies stellte zumindest Sophos in seinem Bericht The State of Ransomware in Healthcare 2022 fest. Wo Menschenleben in Gefahr geraten, ist die Bereitschaft zum Zahlen eines Lösegeldes höher, als in weniger kritischen Bereichen. Wenn sich ein Virus beziehungsweise Eindringling im System nicht schnell wirksam bekämpfen lässt und in der Folge kein Zugriff mehr auf das System und/oder wichtige Daten besteht, wird oftmals gezahlt. In der Hoffnung, das System damit zu retten und schnell wieder handlungsfähig für die medizinische (Notfall-)Versorgung zu sein.
(Bild: Sophos)
Es zahlt sich nicht aus, zu zahlen
Es gibt Versicherungen, die Unternehmen gegen Cyber-Risiken absichern - auch gegen die Zahlung von Lösegeld bei einem Ransomware-Vorfall. BSI und Polizei raten davon ab, Lösegeld an Kriminelle zu zahlen. Eine Zahlung bestärkt die Täter in ihrem Handeln. Wer bereitwillig zahlt, finanziert die Kriminellen. Beim kriminellen Geschäftsmodell Ransomware-as-a-Service finanziert das Opfer mit seiner Zahlung nicht nur die direkt handelnden Täter (Affiliates), sondern auch die Hersteller der Ransomware im Hintergrund. Die RaaS-Betreiber können mit dem Geld, das sie als Anteil an der Beute erhalten, ihren Service weiter ausbauen, während die direkten Täter sich neue Opfer suchen können. Oder die Täter kommen einfach wieder. Was beim ersten Mal bei diesem Opfer geklappt hat, kann schließlich auch ein zweites Mal klappen, die Täter wissen nun, dass dort Geld zu holen ist und dass man sich darauf einlässt. Die Wahrscheinlichkeit, nach einer Lösegeldzahlung erneut Opfer zu werden, steigt: 82 Prozent der erpressten Unternehmen in Deutschland wurden im Jahr 2022 anschließend ein zweites Mal Opfer eines Ransomware-Angriffs. Das ist das Ergebnis einer Studie des Cybersicherheitsanbieters Cybereason. Dieser befragte 1.456 IT-Sicherheitsexperten aus neun Ländern (davon 150 Teilnehmer aus Deutschland).
In den letzten Jahren ist die Zahl der Unternehmen mit einer Versicherung gegen Cyberangriffe gestiegen. Täter reagieren auf solche Entwicklungen. Es gibt laut dem Software-Unternehmen Varonis Gruppen, die ihre Opfer gezielt nach Auskünften zu ihrer Versicherungspolice befragen, oder diese haben wollen, um ihre Lösegeldforderung angepasst an die Versicherungsbedingungen fordern zu können. Im Jahr 2021 machten die Cyber-Versicherungen in Deutschland erstmals Verluste. Ihre Aufwendungen für die Schadensbeseitigung überstiegen die Einnahmen. Jedem eingenommenen Euro der Versicherung standen Ausgaben für Schäden und Verwaltung von 1,24 Euro gegenüber, wie der Gesamtverband der Versicherer berichtet. Einzelne Versicherungen wie Axa haben mittlerweile erkannt, dass dieser Markt für sie nicht lukrativ ist und decken Lösegeldzahlung nicht mehr ab, oder erhöhen Versicherungsprämien und/oder Selbstbeteiligungen und fordern zusätzliche Maßnahmen bei Unternehmen ein.
Abgesehen von der eigenen Gefahr, erneut zum Opfer auserkoren zu werden, kann man sich nicht darauf verlassen, dass danach alles wieder gut wird. Trotz Zahlung gibt es keinerlei Garantie für die Freigabe verschlüsselter Daten oder gesperrter Systeme. Auf Kriminelle ist kein Verlass. Wenn es schlecht läuft, ist nicht nur das per Kryptogeld gezahlte Lösegeld weg, sondern das eigene System und die Daten weiterhin verschlüsselt oder die Dekryptierung war nur bei einem Bruchteil der Daten erfolgreich. Laut einer Studie von Sophos bekamen die Opfer nach der Lösegeldzahlung im Durchschnitt nur 65 Prozent ihrer Daten im Jahr 2022 zurück. Diese Quote lag im Jahr 2020 noch bei 69 Prozent. Nur 2 Prozent der zahlenden Opfer aus dem Gesundheitsbereich bekamen überhaupt alle ihre Daten zurück.
Hinzu kommt, dass die interessanten (wertvollen) Daten vorher meistens von den Tätern kopiert worden sind, also nach Unbekannt abgeflossen sind und dort gegebenenfalls bereits vervielfältigt wurden. Mit diesen Daten lässt sich auf anderem Wege Geld machen. Es gibt eine ganze Reihe von Ransomware-Gruppen, die ihr Opfer nach der Lösegeldzahlung noch mit einem Doxing bloßstellen. Das geht aus einem weiteren Bericht des auf Incidet Response spezialisierten US-Unternehmen Coveware hervor.
Und wer garantiert, dass das entschlüsselte System nicht mit einer oder mehreren Hintertüren versehen worden ist oder die Daten dann mit Schadcode behaftet und korrumpiert sind? Dazu droht rechtliches Ungemach: was wäre, wenn die Täter in einem Land beheimatet sind, das aktuell sanktioniert ist und bei dem eine solche Zahlung an die Täter als ein Gesetzesverstoß durch das zahlende Opfer angesehen werden könnte?
Die Kombination von wenig Aufwand für die Tatdurchführung bei möglichst hoher in Aussicht stehender Gewinnmarge (durch Lösegeldzahlung und/oder Wert der erlangten Daten) führt zu dem Ergebnis, dass der Gesundheitssektor ein äußerst attraktives Ziel für Täter ist. Es ist eine einfache Kosten-Nutzen-Analyse, die auch im Ecosystem des Cybercrime Anwendung findet. Daher ist es kein Wunder, dass es seit ein paar Jahren Ransomware-Gruppen gibt, die auch auf dem Gesundheitssektor aktiv sind. Erst im Dezember 2022 warnte das Ministerium für Gesundheitspflege und soziale Dienste der Vereinigten Staaten (US Department of Health and Human Services/HHS) explizit vor einer ernsten Bedrohung von Gesundheitseinrichtungen durch eine Ransomware-Gruppe, die sich speziell auf den Gesundheitssektor spezialisiert hat.
Staatlich gesteuerte Angreifer
Abgesehen von kriminellen Gruppen gibt es Hinweise, dass auch staatlich gesteuerte Gruppen den Gesundheitssektor ins Visier für Angriffe genommen haben. Das BSI stellt in seinem Lagebericht zur IT-Sicherheit 2021 fest, dass nicht nur Cyberkriminelle, sondern auch staatliche Akteure und Advanced Persistent Threats (APT) Behörden und Gesundheitsorganisationen angreifen, „um teilweise gezielt, teilweise massenhaft Informationen über Personen zu erlangen. Der Schutz dieser Daten in den unterschiedlichen Sektoren und Organisationen muss inhärenter Bestandteil der Digitalisierung sein." So hat zum Beispiel Nordkorea das Hacken als Einnahmequelle für sich entdeckt.
APT als Begriff wird in verschiedener Form verwendet. Erst wurde er als Beschreibung eines fortgeschrittenen Angriffs, der auf einen dauerhaften Zugriff zielte und in seiner Art und Weise eine Hartnäckigkeit, Professionalität und Zielgerichtetheit hat, die die normalen Angriffe nicht haben. ATP wurde als Bezeichnung für Gruppen genutzt, denen diese Art der sehr professionellen Angriffe zugeordnet wurden. APTs können, aber müssen keine staatlichen Stellen sein und sie müssen auch nicht mit staatlichen Stellen verbunden oder von ihnen gesponsert sein. Es gibt kriminelle Gruppen, die mit APT-Techniken arbeiten und deren Vorgehensweise also ein APT ist.
Seit Mai 2021 hatte das FBI den Einsatz einer Ransomware bei verschiedenen Organisationen im Gesundheitssektor festgestellt und Ermittlungen eingeleitet mit dem Ergebnis, dass von Nordkorea gesponserte Akteure dahinterstecken. Die Ransomware führte laut der zum Heimatschutzministerium gehörenden Cybersecurity & Infrastructure Security Agency (CISA) zur Verschlüsselung von wichtigen Servern, die für Gesundheitsdienste wie elektronische Patientenakten, Dienstleistungen, Diagnosedienste, Bildgebungsdienste und Intranetdienste elementar waren. Dadurch waren die betroffenen Bereiche nur eingeschränkt oder bis zur Wiederherstellung gar nicht für die medizinische Versorgung einsetzbar. Nordkorea versuchte angeblich Pfizers Impfstoff-Daten zu stehlen – Informationen dazu kamen aus Südkorea im Februar 2021. Abgesehen von Nordkorea scheinen auch andere Staaten in ihrem Sinne handelnde APT-Gruppen zu nutzen, um Angriffe mit unterschiedlichen Zielrichtungen auch im Gesundheitssektor durchzuführen.
In einer gemeinsamen Warnung des United States Department of Homeland Security (DHS) Cybersecurity and Infrastructure Security Agency (CISA) und des National Cyber Security Center (NCSC) des Vereinigten Königreichs vom 25. Januar 2022 heißt es, dass APT-Akteure das Gesundheitswesen und grundlegende Dienstleistungen angreifen. Ziel sei es laut CISA massenweise persönliche Informationen, geistiges Eigentum und Informationen zu sammeln, die mit nationalen Prioritäten übereinstimmen. Sensible Forschungsdaten und geistiges Eigentum würde zum kommerziellen und staatlichen Nutzen gestohlen werden.
In der Vergangenheit waren nicht nur Gesundheitsorganisationen und Gesundheitseinrichtungen (Dienstleister, Krankenhäuser und medizinische Versorgungseinrichtungen), sondern auch Hersteller für medizinische IT (Geräte, Software), medizinische Forschungseinrichtungen, Wissenschaft, Universitäten, Beratungsunternehmen, Biotech-Unternehmen und Medikamentenhersteller Opfer solcher Angriffe. Laut U.S. Department of Health and Human Services (HHS) sollen folgende Staaten mit APT-Gruppen in Verbindung stehen, die für Angriffe auf den Gesundheitssektor verantwortlich sind: China, Russland, Iran, Nordkorea.
Der Feind an zentraler Stelle
Gefahr besteht nicht nur durch Angriffe von außen, sondern auch durch Täter, die sich bereits aufgrund ihrer offiziellen Aufgaben oder Tätigkeiten berechtigt innerhalb des zu schützenden Systems befinden. Diese Innentäter haben nicht nur legale kritische Zugangsmöglichkeiten, sondern auch Insiderwissen, kollegiale Kontakte und Netzwerke. Sie können innerbetriebliche Schwachstellen ausnutzen. Sie können leichter zum Ziel vordringen, da sie sich nicht erst wie Außentäter einen Zutritt ins System verschaffen müssen.
Innentäterschaft ist ein unterschätztes Massenphänomen bei Informationsabflüssen aus Unternehmen, titelt das Bundesinnenministerium in einer Broschüre aus dem Jahr 2021. Von Innentätern gehe eine erhebliche Gefahr für Unternehmen oder Forschungseinrichtungen aus, da diese über sensible Daten und Informationen verfügen, die "als Gold des 21. Jahrhunderts" für Dritte interessant sein können. Der Verfassungsschutz stuft den Innentäter als größere Bedrohung als den Außentäter ein (PDF), wenn es um den Abfluss von Wissen aus Unternehmen, Forschungseinrichtungen oder anderen Organisationen geht. Unter die Definition des Innentäters fallen aktuelle und ehemalige Beschäftigte, aber auch geschäftliche Kontakte wie Kunden oder Lieferunternehmen und externe Dienstleister (Beratung, IT-Service, Reinigung und weitere).
Gesundheitsnetz in Deutschland
Wenn bei der Digitalisierung des Gesundheitswesens die IT-Sicherheit nicht von Anfang an mitgedacht wird, wie es der Bundesdatenschutzbeauftragte (BfDI) Ulrich Kelber fordert, könnten solche Fälle auch in Deutschland an der Tagesordnung sein. Das deutsche Gesundheitsnetz, die Telematikinfrastruktur (TI), wird von der für die Digitalisierung zuständigen Gematik GmbH betrieben. Es bleibt abzuwarten, wie die Sicherheit im Zuge der angekündigten TI 2.0 zukünftig konkret in Maßnahmen umgesetzt wird. Das Whitepaper zur TI 2.0 für ein föderalistisch vernetztes Gesundheitssystem nennt dazu nur allgemeine Ziele ohne konkret zu werden. Verbesserungsvorschläge gab es von eHealth-Experten bereits. Die Gematik verspricht eine "Sicherheit im laufenden Betrieb". Eigene Sicherheitsexperten würden ein Monitoring der Telematikinfrastruktur auf Anomalien und die Bedrohungsabwehr durchführen. Man teste auch bestehende Notfallszenarien. Ein eigenes Computer Emergency Response Team (CERT) der Gematik sorge dafür, dass potenzielle Schwachstellen und Bedrohungen schnell erkannt und beseitigt werden. Sollte der zentrale Server in der Infrastruktur der nicht erreichbar sein, gibt es kein redundantes System, das einspringen könnte. Die Gematik nennt in ihrem 2008 erschienen Sicherheitskonzept den Offline-Modus in der TI als Backup-Fall.
Trotz dieser Sicherheitsmaßnahmen gibt es auch in Deutschland schon jetzt genug Beispiele, bei denen auch Gesundheitsdaten durch Datenlecks oder Cyberangriffe an die Öffentlichkeit gelangt sind. In Deutschland hat sich Ende 2022 ein Cyberkrimineller über einen Mitarbeiterzugang eines Projektmanagementsystems Zugang zu den Daten von mehr als 300.000 gesetzlich Versicherten verschafft und diese zum Verkauf angeboten. Alles nur, weil das Unternehmen die Daten im Klartext in einer CSV-Datei online gespeichert hatte.
Kürzlich haben Datenschützer verschiedene Terminservice-Apps aufgrund ihrer Datenschutzerklärung abgemahnt. Zuletzt hatte ein österreichisches Terminservice-Startup, das auch Kunden in Deutschland hat, ein Datenleck über mehrere Monate offengelassen.
Fazit
Aber zurück zur Ausgangsfrage: Nein, wir sind noch nicht ausreichend gewappnet. Und wir hinken nicht nur anderen Ländern, sondern auch früheren Umsetzungsplänen hinterher. Seit der Einführung der elektronischen Patientenakte (ePA) am 1. Januar 2021 nutzen diese weniger als ein Prozent der deutschen Bevölkerung. Gesundheitsminister Karl Lauterbach hat die "ePA für alle" mit Widerspuchsrecht bereits für 2024 angekündigt. Bis dahin ist noch viel zu tun:
Zwar sind bereits die meisten Arztpraxen mit der TI verbunden, doch nur wenige Krankenhäuser. Möglicherweise ändert sich das mit den für diesen Sommer angekündigten High-Speed-Konnektoren. Doch längst nicht jedes Krankenhaus entspricht den aktuellen Anforderungen für kritische Infrastrukturen, die in der BSI-Kritis-Verordnung festgelegt sind. Es gibt zwar allgemein gesetzliche Regelungen, verbindliche Richtlinien und (IT-)Leitfäden für Krankenhäuser, an der Umsetzung hapert es bisher aber. Im Rahmen der Umsetzungsstrategie der Bundesregierung "Digitalisierung gestalten 2021" wurde die Förderung von Investitionen in die IT-Sicherheit für Unternehmen im Gesundheitswesen (Krankenhäuser, Leistungserbringer im ambulanten Sektor) festgelegt, unabhängig davon, ob sie offiziell als kritische Infrastruktur eingestuft sind oder nicht.
Bei Software für das Medizinwesen gibt es Nachholbedarf. Zwar gibt es für die „staatlichen“ Produkte Spezifikationen, die der Bundesbeauftragte für den Datenschutz und das Bundesamt für Sicherheit in der Informationstechnik absegnen. Doch bis vor Kurzem konnten Hersteller die Sicherheit ihrer digitalen Gesundheitsanwendungen (DiGA) noch selbst zertifizieren. Dies hatte zur Folge, dass eine App zur Behandlung von Depressionen hochsensible Daten preisgab. Ab 2023 ist für DiGA ein Datenschutzzertifikat des BSI erforderlich, um in das DiGA-Verzeichnis aufgenommen und als Medizinprodukt zertifiziert zu werden.
Auch rechtlich ist im Umgang mit Gesundheitsdaten noch nicht alles geklärt.Ein Patient mit einer seltenen Erkrankung und eine Datenschützerin hatten gegen eine Krankenkasse geklagt, um die Übergabe ihrer Gesundheitsdaten an das im Aufbau befindliche Forschungsdatenzentrum (FDZ) in Bonn zu verhindern. Denn die Daten aller gesetzlich Versicherten sollen pseudonymisiert an das FDZ weitergegeben werden, ohne Recht auf Widerspruch. Es mangelt auch an einem finalen Schutzkonzept für die Daten. Das Klageverfahren wurde vor einigen Wochen vom zuständigen Sozialgericht auf "ruhend" gestellt worden.
Die genannten Beispiele und Entwicklungen zeigen, dass nicht nur die Gesundheitsdaten an sich, sondern die gesamte digitale Infrastruktur im Gesundheitswesen vor Angriffen und Gefahren geschützt werden muss. Ohne eine sichere Basis kann die Digitalisierung im Gesundheitswesen nicht gelingen. Und ohne einen dauerhaft funktionierenden Schutz auch nicht. Vorbeugen ist hier besser als Heilen und Patchen im Nachhinein
(mack)