Patientenakte: "Toxische elektronische Zugriffe auf die Identität des Menschen"
Seite 2: "Heerscharen von Lobbyisten" am Werk?
De facto werde die ePA so "öffentlich sein", konstatierte Plassmann. Das sei vergleichbar mit der "Horrorvorstellung" eines Wertpapierdepots, in dem Dritte "auf meine Kosten Transaktionen auslösen" könnten. Schon beim händischen Eingeben von Suchbegriffen sei die Gefahr von Fehlinterpretationen der Ergebnisse zudem groß. Sie explodiere aber beim Einsatz automatischer Abfrage-Algorithmen: damit ließen sich beliebige Abbilder einer Person schaffen, die sich verselbständigten und nicht wieder einzufangen wären.
Dass das Ganze einen medizinischen Nutzen habe, tat der Praktiker als "Märchen" ab. Es sei undenkbar, in diesem Datenberg etwa ein bestimmtes, gerade für einen Vergleich benötigtes Röntgenbild auszumachen. Allenfalls wären Zufallsfunde möglich. "Der Wahnsinn ist so offensichtlich, warum machen die das?", fragte Plassmann. Offenbar seien Heerscharen von Lobbyisten der Pharma- und IT-Industrie "von morgens bis abends aktiv", um die Politik im Gleichschritt laufen zu lassen.
Digitalisierung zum Selbstzweck geworden
Immer wieder werde "die internationale Konkurrenz beschworen", verwies Andreas Meißner, Sprecher des Bündnisses für Datenschutz und Schweigepflicht, auf Standardbegründungen. Google und Amazon griffen sonst die Gesundheitsdaten ab, heiße es. Doch was sage es über Regierungen, wenn sie nicht in Lage seien, US-Großkonzerne in Grenzen zu weisen? Zu hören sei auch, dass Estland voraus sei. Dort habe es aber bereits ein Datenleck im Personalausweis gegeben, der auch einen Zugriff auf die Patientenakte ermöglicht habe.
Digitalisierung sei zum Selbstzweck, zur Religion geworden, beklagte Meißner. In die hiesige Telematik-Infrastruktur (TI) und die ePA seien bislang bis zu sechs Milliarden Euro geflossen, schätzte er. Die Lebenserwartung werde damit aber nicht besser. Andererseits könnten Hausärztestellen nicht mehr besetzt, Medikamente aufgrund fehlender Bestandteile nicht produziert werden, während die Patientensouveränität verloren gehe. Ferner gebe es schon Zentren für seltene Erkrankungen: Diese seien in Big Data beim Forschungsdatenzentrum oder im geplanten EU-Gesundheitsdatenraum auch nicht leichter zu finden. Für den Münchner Psychiater ist daher klar: "Wir lösen die falschen Probleme."
Schwachstellen und SicherheitslĂĽcken lange bekannt
Dies bestätigten Martin Tschirsich und Andre Zilch. Die beiden haben seit rund fünf Jahren zusammen mit anderen Experten aus dem Umfeld des Chaos Computer Clubs (CCC) immer wieder eklatante Schwachstellen und Sicherheitslücken aufgedeckt – etwa beim ePA-Testballon Vivy, Corona-Apps und -Impfzertifikaten, Praxissoftware, der Arzttermin-Buchungssoftware Doctolib, einem digitalen Arztkalender oder bei VideoIdent-Systemen. Im Gesundheitssystem werde oft unnötigerweise – wie bei der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU), mit qualifizierten Signaturen hantiert, brachte Tschirsich ein Beispiel. An des Pudels Kern, dem Nachweis der Identität von Teilnehmern und damit der Wahrung der Integrität der Verfahren wage sich dagegen keiner aufgrund des damit verknüpften Aufwands.
So sei das "kleine technische Problem", das Bundesgesundheitsminister Karl Lauterbach (SPD) gerade beim E-Rezept einräumte, ein größeres und im Prinzip seit Langem bekannt, berichtete Tschirsich. So hätte etwa jeder Apotheker alle offenen Rezepte in einem zentralen Server ohne Ende-zu-Ende-Verschlüsselung abrufen können, ohne dass ihm die elektronische Gesundheitskarte (eGK) eines Einreichers oder Patienten vorliege. Ob die eGK überhaupt als Autorisierungsmittel behandelt werde, sei auch unklar: Derzeit werde nur der zugehörige PIN-Brief sicher zugestellt.
Zuordnungsschwierigkeiten berechtigter Person
Schon 2019 hatten die Sicherheitsforscher moniert, dass etwa beim Apotheken- und Praxisausweis auf eine Identifikation völlig verzichtet werde. Bis heute genüge ein Anruf, um sich ein solches Dokument an eine Adresse einer rasch selbst gegründeten Apotheke schicken zu lassen, sagte Tschirsich. Erst Anfang des zweiten Quartals 2023 solle eine Überprüfung erfolgen: "Die harten Nüsse lassen wir beiseite."
"Die organisatorischen Abläufe sind so fehlerhaft", ergänzte Zilch. Dabei setze jeder Angreifer an dieser schwächsten Stelle an, für deren Ausnutzen man gar keine technischen Kenntnisse von Cyberkriminellen braucht. Alle Berechtigungskarten für die TI würden noch immer nicht so ausgegeben, "dass sichergestellt ist, dass nur die berechtige Person sie erhält". Ähnliche Zuordnungsschwierigkeiten hätten in der Schweiz den Organspendeausweis von Swisstransplant und den Corona-Impfnachweis zu Fall gebracht.
Pharmaindustrie mit Zugang zu Patientendaten
Nur noch staatliche Datenschützer bewahrten die Ärzte vor völligem Verlust der Schweigepflicht und des informationellen Selbstbestimmungsrechts, resümierte Silke Lüder von der FA. Der Verein sehe die zentrale Speicherung von Patientendaten sehr kritisch, zumal die Pharmaindustrie nun Zugang dazu erhalten solle. Lauterbach habe dies schon 2002 mit in die Wege geleitet. Zu einem Chaos dürfte zudem das Arbeitgeberabrufverfahren bei eAUs von Januar an führen: Millionen Firmen müssten sich dann bei Krankenkassen melden und prüfen, wie lange ein Mitarbeiter krankgeschrieben sei.
Als nächster Schritt werde "zum Verscherbeln der Patientendaten" eine Cloud geschaffen, "an der sich Hacker bedienen können", kritisierte Christian Messer, Vorsitzender der Ärztevereinigung MEDI Berlin Brandenburg, jüngste Äußerungen des Gesundheitsministers. Es sei zwar nötig, Daten elektronisch auszutauschen. Dezentrale Systeme wie die innerärztliche digitale Information in Baden-Württemberg funktionierten aber hervorragend.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(tiw)
