Sicherheit von Gesundheitsdaten Wie die Arztpraxis zum Einfallstor für Hacker werden kann

Die Digitalisierung im Gesundheitssystem entfacht Sorgen um die Sicherheit von Patientendaten. Experten warnen allerdings vor übertriebenen Ängsten.
Kommentieren
Im Zuge der Digitalisierung des Gesundheitswesens drängen sich Sicherheitsbedenken auf. Quelle: dpa
Arzt bei der Arbeit

Im Zuge der Digitalisierung des Gesundheitswesens drängen sich Sicherheitsbedenken auf.

(Foto: dpa)

Berlin Das Herzstück der Digitalisierung im Gesundheitssystem trägt den sperrigen Namen Telematikinfrastruktur. Über das verschlüsselte Netzwerk sollen Ärzte, Kliniken und Krankenkassen die Daten von Patienten austauschen. Datenschützer sehen Sicherheitsrisiken – vor allem durch unvorsichtig angeschlossene Arztpraxen.

Der Mann, der für den Aufbau der Datenautobahn verantwortlich ist, warnt aber vor übertrieben Ängsten. „Die aktuelle Debatte ist völlig verzerrt dargestellt: Datenschutzpannen haben nichts mit dem gesamten System vernetzter Gesundheit zu tun“, sagte Markus Leyck Dieken dem Handelsblatt.

Natürlich könne es aus Praxen oder Kliniken zu Datenabflüssen kommen, wenn beispielsweise Anhänge einer E-Mail oder darin enthaltene Links unbedacht geöffnet würden. „Aber das gesamte System infrage zu stellen und nicht die Vorteile für die Patientenversorgung zu erkennen, halte ich für gefährlich“, sagte Leyck Dieken, der seit Sommer die Gematik leitet.

Bundesgesundheitsminister Jens Spahn (CDU) hatte den früheren Pharmamanager mit dem Auftrag geholt, die digitale Vernetzung im Gesundheitswesen voranzutreiben. Seit Gründung der Gematik im Jahr 2005 ist in diesem Bereich viel zu wenig passiert. Verglichen mit anderen europäischen Ländern hinkt die Bundesrepublik bei der Digitalisierung des Gesundheitssystems hinterher.

Die Telematikinfrastruktur (TI) selbst gilt für Hacker als praktisch nicht zu knacken, die Komponenten sind vom Bundesamt für Sicherheit in der Informationstechnik geprüft. Risiken gibt es aber, wenn in einer Praxis der TI-Anschluss nicht über den gleichen Weg wie der Internet-Anschluss läuft. Denn dann braucht es zusätzliche Sicherheitsmaßnahmen, die häufig versäumt werden. Mehr als 90 Prozent der Praxen verfügen über einen solchen Parallelanschluss – das geht aus einem internen Gematik-Papier hervor.

Datensicherheit hat höchste Priorität

„Es ist fahrlässig, wenn IT-Dienstleister in dem sensiblen Bereich der Arztpraxen bei der Anbindung an die Telematikinfrastruktur nicht auf die Sicherheit im Gesamtbild achten und es so zu neuen Risiken kommen kann“, sagte die schleswig-holsteinische Datenschutzbeauftragte Marit Hansen dem Handelsblatt. Hansen sieht auch Versäumnisse bei den Praxen selbst. Die Ärzte müssten sich bei den Dienstleistern „vergewissern, dass die Risiken im Griff sind“.

Die Probleme in den Praxen seien zudem ein Zeichen dafür, dass „technische Spezifikationen und Papiere mit Anforderungen zur Sicherheit“ nicht ausreichten, um eine Umsetzung in der Realität zu garantieren. Es habe sich „ein eklatantes Verantwortungsloch aus Hilflosigkeit und vermeintlicher Unzuständigkeit aufgetan“, kritisiert Hansen.

Der Hamburger Datenschutzbeauftragte Johannes Caspar mahnt: Angaben zur persönlichen Gesundheit zählten zu den „sensibelsten Informationen, die wir Dritten anvertrauen“. Nicht umsonst unterlägen sie der ärztlichen Verschwiegenheitspflicht. Daher müsse bei der Digitalisierung des Gesundheitswesens auch der Datensicherheit „höchste Priorität“ zukommen.

Ein „neuralgischer Punkt“ sei die Verknüpfung der Arztpraxen und Krankenhäuser sowie zukünftig weiterer Leistungserbringer mit dem verschlüsselten Datennetz, so Caspar. Die Gematik habe zwar Informationen zum sicheren Anschluss veröffentlicht. Bei den IT-Dienstleistern sei aber nicht über eine Zertifizierung gewährleistet worden, dass diese die Hinweise auch kennen.

Leyck Dieken räumt in diesem Punkt Nachbesserungsbedarf ein. Die Praxis-IT sei immer „eine Frage des Vertrauens zwischen dem Arzt und seinem IT-Dienstleister“ gewesen, sagt er. „Jetzt sehen wir: Vertrauen allein genügt offenbar nicht.“

Bessere Vernetzung könnte Patienten nützen

Die Kassenärztliche Bundesvereinigung (KBV) sei daher verpflichtet worden, IT-Dienstleister zu zertifizieren. Damit werde ab dem kommenden Jahr „ein Fallnetz eingezogen“, so Leyck Dieken. Außerdem strebe die Gematik gemeinsam mit der KBV und dem Bundesverband der Gesundheits-IT an, die Ärzte stärker für die Sicherheit ihrer Praxisnetzwerke zu sensibilisieren.

Denn ein unsicherer Anschluss an die Telematikinfrastruktur kann teuer werden. Caspar erinnert daran, dass „empfindliche Bußgelder“ möglich seien, „wenn Verantwortliche technische Sicherheitsmaßnahmen unterlassen, die geboten sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

Strafbar machen könne sich, „wer als Garant die Einsichtnahme in seine Patientendaten nicht verhindert, sofern deshalb unbefugte Dritte von den geschützten Inhalten tatsächlich Kenntnis erlangen“, sagt der Hamburger Datenschutzbeauftragte.

Leyck Dieken setzt in der Datenschutzdebatte darauf, dass die Patienten am Ende die Vorteile der Digitalisierung sehen. „Obwohl wir genauso viel wie andere europäische Länder für Gesundheit ausgeben, landen wir bei der Qualität der Versorgung auf den hinteren Plätzen, etwa bei Schäden durch fehlende Impfungen.“

Dabei könne Vernetzung das leicht verhindern, indem zum Beispiel die Krankenkasse per App an eine Impfung gegen Gebärmutterhalskrebs erinnere. „Wird sich die Bevölkerung dieses Rückstands bewusst, wird sich auch die Debatte wandeln.“

Mehr: Mehr zur digitalen Transformation im Gesundheitswesen finden Sie in unserem Newsletter „Handelsblatt Inside Digital Health“.

Startseite