Patientendaten in Gefahr? Experte: Datensicherheit nicht gewährleistet

Auch Krankenhäuser wurden Ende Februar von einem Erpressungstrojaner heimgesucht. Foto: dpa/Sebastian KahnertAuch Krankenhäuser wurden Ende Februar von einem Erpressungstrojaner heimgesucht. Foto: dpa/Sebastian Kahnert

Osnabrück. Kaum sind die Folgen der Trojanerangriffe auf Krankenhäuser behoben, entdecken Tester ein Datenleck bei der Barmer Krankenkasse: Ist es für eine vollständige Digitalisierung des Gesundheitswesens zu früh?, fragen sich jetzt viele.

Tester wollen ein riesiges Datenleck bei Deutschlands zweitgrößter Krankenkasse Barmer GEK entdeckt haben. Die Patientendaten von mehreren Millionen Krankenkassenmitgliedern seien nicht ausreichend geschützt, berichtet die „Rheinischen Post“ (RP). Die Veröffentlichung der erschreckenden Testergebnisse erfolgte nur wenige Tage, nachdem ein Erpressungstrojaner mehrere Krankenhäuser in Deutschland lahmgelegt hat.

Dem von der Zeitung beauftragten Tester ist es offenbar gelungen, sich über einen Online-Zugang der Kasse in Patientendaten einzuloggen. Der Tester habe ausschließlich den Namen, das Geburtsdatum und die Versichertennummer des Datenopfers zur Verfügung gehabt, hieß es. Trotzdem habe er Details zu Diagnosen, verordneten Arzneien, Klinikaufenthalten und andere intime Informationen abfragen können. Das Knacken der Barmer-Daten war laut RP der fünfte Fall binnen 20 Monaten. Der Nachweis liege für drei weitere Kassen vor, darunter die AOK.

Die Barmer widersprach dieser Darstellung. Bei der Aktion habe es sich „eher um einen simulierten Diebstahl einer Versichertenkarte gehandelt , gegen die sich keine Institution wehren kann“, sagte Barmer-Sprecher Athanasios Drougias. In dem konkreten Fall räumte er aber eine Panne ein.

Der erneute Vorfall rief die Bundesdatenschutzbeauftragte Andrea Voßhoff auf den Plan. Die Politikerin versicherte, sie werde „beim Bundesversicherungsamt nochmals dringend anregen, die Thematik im Rahmen seiner Zuständigkeit zu untersuchen“. Dem Leiter des Niedersächsischen Datenschutzzentrums an der Hochschule Osnabrück, Volker Lüdemann, geht das nicht weit genug: „Ist die bestehende Datensicherheitsarchitektur wirklich ausreichend, um sich in das Abenteuer der umfassenden Digitalisierung der Gesundheitswirtschaft zum jetzigen Zeitpunkt zu stürzen?“, fasst er im Gespräch mit unserer Redaktion seine Bedenken zusammen.

Lüdemanns Frage zielt vor allem auf das sogenannte eHealth-Gesetz ab, das Anfang dieses Jahres in Kraft getreten ist: Mit ihm sollen moderne Informations- und Kommunikationstechnologien in der medizinischen Versorgung etabliert und die digitale Vernetzung der Akteure im Gesundheitswesen vorangebracht werden. Dafür wurde im vergangenen Jahr bereits die elektronische Gesundheitskarte eingeführt. Bis Ende 2018 sollen dann auch die Voraussetzungen dafür geschaffen sein, dass Patientendaten wie Arztbrief, Diagnosen, Medikationsplan oder Notfalldaten in einer elektronischen Akte zusammengefasst werden können. Die Daten sollen dann direkt über die Praxis-EDV- oder die Krankenhaussysteme eingelesen werden. Für die Aussteller auf der Cebit 2016, die am Montag in Hannover ihre Tore öffnet, ist aber auch dann noch nicht das Ende der Fahnenstange: „Die Zukunft der Medizin ist mobil und drahtlos“, lautet ihr Credo.

Doch Lüdemann warnt: Das einzelne Krankenhaus sei wegen der zunehmenden technischen Komplexität schon jetzt kaum mehr in der Lage, die Datensicherheit umfassend zu gewährleisten, meint er. In vielen Fällen fehle es an den erforderlichen personellen Ressourcen und dem notwendigen Know-how. Hinzu kämen auch noch Wirtschaftlichkeitserwägungen.

Lüdemann ist der festen Überzeugung, „dass das Thema Datensicherheit und Datenschutz mit der Digitalisierung neu gedacht und neu aufgestellt werden muss“. Mit den alten Strukturen würden wir die Risiken der Digitalisierung, die ja auch ungeheuer viele Möglichkeiten und Chancen biete, nicht in den Griff bekommen, meint der Datenschutzexperte.

Stattdessen sollte der Staat ähnlich wie bei der Lebensmittelsicherheit ein bestimmtes Schutzniveau vorgeben und dessen Einhaltung auch kontrollieren. Es gehe ja nicht um irgendwelche Daten, sondern um besonders sensible Gesundheitsdaten, die offensichtlich ohne große Mühe von Dritten abgegriffen und anderen zugänglich gemacht werden könnten, begründet Lüdemann seine Forderung. „Und zu den Kernaufgaben des Staates gehört es doch, die grundgesetzlichen Gewährleistungen, wie das Recht auf körperliche Unversehrtheit und das Recht auf informationelle Selbstbestimmung, sicherzustellen.“ Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) könne dabei eine wichtige Rolle spielen.

Vor allem die jüngsten Angriffe auf Krankenhausrechner hätten die erheblichen Risiken gezeigt, die mit der Digitalisierung verbunden seien, legt der Experte den Finger in die Wunde. Ende Februar hatte sich über den Anhang einer E-Mail aber auch auf anderen Wegen ein Schadprogramm in die IT-Systeme einiger Krankenhäuser eingeschlichen. Es war offensichtlich so neu, dass es von den Antiviren-Systemen nicht erkannt wurde. Die „Ransomware“ verschlüsselt Dateien auf dem Rechner und fordert die Nutzer auf, „Lösegeld“ zu zahlen, um die Verschlüsselung aufzuheben.

Für viele Mitarbeiter hieß es plötzlich wieder: Stift und Papier statt E-Mail und Scan. Informationen und Dokumentationen konnten in den betroffenen Krankenhäusern plötzlich weder intern noch extern transferiert und Untersuchungsergebnisse nur über lange Wege zwischen Ärzteteams, Labor und Pflegepersonal ausgetauscht werden. In einigen Fällen mussten sogar Operationen verschoben, Herzinfarkt- und Reanimationspatienten sowie Schwerverletzte zu anderen Krankenhäusern geleitet werden.


Weitere Angebote, Produkte und Unternehmen der noz MEDIEN