Die elektronische Patientenakte soll im Januar 2020 starten. Aber die Infrastruktur in den Praxen, die mit Krankenhäusern und Apotheken vernetzt werden sollen, hat offenbar Sicherheitslücken.
Im Januar startet die Testphase für die elektronische Patientenakte. Eine Recherche von BR und NDR hat jetzt ergeben, dass die zugrundeliegende Infrastruktur aber noch gravierende Sicherheitslücken aufweist.
Gegenüber der Ärzte Zeitung hat Christoph Saatjohann von der Fachhochschule Münster richtiggestellt, dass nicht die Konnektoren dafür verantwortlich sind, sondern fehlerhafte Internet-Anschlüsse der Praxen. Sie seien nicht gut genug abgesichert!!
Patientendaten mit „trivialen Methoden“ abrufbar:
Arztpraxen, Krankenhäuser und Apotheken werden über TI-Konnektoren an das System angeschlossen. Laut BR und NDR konnten Sicherheitsexperten die Konnektoren teils mit „trivialen Methoden“ offen über das Internet erreichen.
„Auch für nicht versierte Benutzer wäre es möglich gewesen, solche Konnektoren im Internet ausfindig zu machen“, so Saatjohann. Die Verantwortung sieht er bei den Arztpraxen. Sie müssten einen sicheren IT-Betrieb inklusive richtig konfiguriertem Internetzugang einrichten.
30 Patientenakten frei zugänglich:
In 200 Fällen waren die Konnektoren offen über das Internet erreichbar, in 30 Fällen hätten wegen fehlenden Passwortschutzes Patientendaten eingesehen werden können.
„Wir könnten Arztbriefe sehen, Diagnosebefunde, Röntgenbilder, quasi alle Daten, die dort in dieser elektronischen Patientenakte gespeichert sind“.
Bereits im letzten Jahr wurde eklatante Kritik gegen dieses bestehende System, zum Beispiel von der c’t und anderen Fachmagazinen, bekannt - geändert hat sich anscheinend bis heute nichts…
Obwohl die rechtlichen Anforderungen noch ungenau sind, müssen sich Ärzte an die Infrastruktur für die elektronische Patientenakte anschließen. Sie kämpfen dabei mit Sicherheitsproblemen und veralteten Konzepten.
Begonnen hat das Projekt der elektronischen Vernetzung von Leistungserbringern und Patienten vor fast zwanzig Jahren als Folge eines Arzneimittelskandals. Die ursprüngliche Idee war, Daten einfach auf der damals neuen elektronischen Gesundheitskarte zu speichern, die Patienten ohnehin von Arzt zu Arzt tragen müssen. Das Konzept wurde jedoch bald abgelöst durch die Planung einer umfassenden IT-Infrastruktur. Zum einen war relativ schnell klar, dass nicht alle Daten einer ganzen Patientenakte auf die Karte passen würden. Zum anderen soll die Vernetzung von Arztpraxen, Apotheken, Krankenhäusern, Krankenkassen et cetera eine ganze Reihe neuer Anwendungen ermöglichen.
Hardware-Konzept von der Zeit überholt:
Das Telematik-Infrastruktur genannte System wurde in den 2000er-Jahren als virtuelles privates Netz (VPN) konzipiert, in dem die Patientendaten verschlüsselt auf den zentralen Servern einiger weniger Anbieter gespeichert werden. Die Gesundheitskarte dient dabei der Authentifizierung. Um an das Netz angeschlossen zu werden, benötigen alle Teilnehmer einen speziellen VPN-Router, den sogenannten Konnektor, der unter anderem einen „Sicherheits-Chip“ mit Zertifikatsinformationen enthält. Nicht vorgesehen war die Möglichkeit, ohne diese besondere Hardware zum Beispiel über mobile Geräte auf die Telematik-Infrastruktur zuzugreifen. Patienten sollten Daten lediglich über ein „Patientenfach“ austauschen können, wobei ihr Zugang stets durch einen Arzt freigegeben werden musste.
Durch die jahrelangen Verzögerungen bei der Einführung wurde dieses Konzept von der technischen Entwicklung irgendwann überholt. Der in den Arztpraxen vorgesehene Konnektor spiegelt das praxiszentrierte Weltbild von vor 15 Jahren wider. Telemedizin, mobile Ärzte, mündige Patienten, Smartphones und Tablets kommen in diesem Ansatz überhaupt nicht vor. Infolgedessen wurde von der zuständigen Gesellschaft für Telematik-Anwendungen der Gesundheitskarte (Gematik) mehrfach nachgebessert, allerdings mit durchwachsenem Ergebnis. So ist nach aktuellen Plänen zwar durchaus ein privates Frontend für Versicherte vorgesehen, aber es ist offen, wie die Authentifizierung des Versicherten dort stattfinden soll.
Das könnte wie beim Arzt durch die elektronische Gesundheitskarte geschehen, mit der ein geeignetes Smartphone per NFC drahtlos kommunizieren würde. Allerdings ist das Verfahren bislang weder spezifiziert noch gibt es geeignete Gesundheitskarten mit eingebautem Funk-Chip. Ersatzweise soll die Authentifizierung über eine sogenannte „alternative Versichertenidentität“ möglich sein, die einen hardwareunabhängigen Zugriff auf die Patientenakte böte. Wie genau diese Versichertenidentität aussieht, ist aber ebenso wenig spezifiziert.
Die Politik wollte solche Ausarbeitungen und Nachbesserungen ohnehin nicht abwarten, um im europäischen Vergleich nicht zurückzustehen. Man entschloss sich schon 2015, mit dem Health-Gesetz die Telematik-Infrastruktur verbindlich einzuführen. Damals wurde festgelegt, dass bis Mitte 2019 alle niedergelassenen Ärzte per Konnektor an die Infrastruktur angeschlossen sein müssen. Dieses Ziel wurde allerdings schon aufgrund von Lieferengpässen verfehlt. Zudem haben viele Praxen den Anschluss aus grundsätzlichen (Datenschutz-)Bedenken verweigert – ihnen drohen nun Honorarkürzungen.
Anschluss- und Sicherheitsprobleme:
Praxen, die mitgemacht haben, kämpfen mit technischen Problemen: Wie einige Systemadministratoren aufdeckten, wurden die Telematik-Konnektoren in vielen Praxen unsachgemäß installiert. Bestehende Schutzmechanismen wie Firewalls oder Virenscanner seien im Zuge der Installation abgeschaltet oder Praxen ohne Schutzmaßnahmen erstmals ans Internet angeschlossen worden. Eigentlich sollte dies der sogenannte Reihenbetrieb verhindern, bei dem eine eingebaute Firewall des Konnektors das Praxisnetz schützt. Da in dieser Betriebsart der Zugang zum Internet nicht oder nur über einen zusätzlichen, kostenpflichtigen Secure-Internet-Service möglich ist, wurde sie aber in den allerwenigsten Praxen umgesetzt.
Wegen solcher Installations- und Sicherheitsprobleme gibt es in der Zwischenzeit die ersten Anbieter, die den Konnektor im Rechenzentrum hosten. Diese von der Gematik zertifizierte Variante verringert die Betriebsaufwände der Ärzte und bietet eine höhere Verfügbarkeit, weil bei einem Ausfall einfach auf einen anderen Konnektor umgeschaltet werden kann. Allerdings stellt sich die Frage, warum überhaupt dezentrale Konnektoren in die Arztpraxen sollen, wenn man seitens der Gematik auch damit zufrieden ist, diese Endpunkte der Infrastruktur in Rechenzentren zu konsolidieren.
Zudem ist ein mindestens ebenso wichtiges Detail zurzeit gänzlich außerhalb der Diskussion: Das Zertifikat auf dem fest in den Konnektoren verbauten Sicherheits-Chip läuft in spätestens fünf Jahren ab. Ein kompletter Austausch der entsprechenden Hardware wird dann unausweichlich.
Eventuell wird dieser Zeitpunkt dann aber auch dafür genutzt, auf eine rein in Software umgesetzte Variante umzustellen. Genaueres weiß man darüber im Moment jedenfalls nicht.