Elektronische Patientenakte – sicher oder unsicher?

Christoph Saatjohann sprach in Online-Vortrag über Sicherheitsrisiken und Chancen der elektronischen Patientenakte


Münster/Steinfurt (23. April 2021). Anfang dieses Jahres startete die Testphase der elektronischen Patientenakte (ePA) in Deutschland. Ihrer Einführung ging eine Diskussion über die technischen Schwachstellen dieser medizinischen Datensammlung voraus. Christoph Saatjohann, Doktorand im Labor für IT-Sicherheit der FH Münster, warnte im Dezember 2020 gemeinsam mit Kolleg*innen vor gravierenden Sicherheitslücken. Sie simulierten einen Hackerangriff und wären in mehreren Fällen in der Lage gewesen, sensible Patientenakten ohne Passwortschutz aufrufen zu können. In einem Online-Vortrag am Mittwoch (21. April) griff Saatjohann das Thema noch einmal auf. Sein Fazit vorweg: Im Medizinsektor gebe es grundsätzlich großen Nachholbedarf im Bereich IT-Sicherheit. Einen Cyberangriff auf die Infrastruktur von Praxen und Krankenhäuser halte er dabei für wahrscheinlicher und gefährlicher als auf die ePA, die als freiwilliges Angebot letztlich eine persönliche Kosten-Nutzen-Abwägung sei.

Zum besseren Verständnis der ePA erläuterte Saatjohann zunächst kurz das Thema Telematikinfrastruktur (TI). Diese besteht aus unterschiedlichen dezentralen und zentralen Komponenten und soll alle Akteure im Gesundheitswesen digital miteinander vernetzen. Die ePA ist dabei eine von mehreren Anwendungen, die durch die TI ermöglicht werden. Das erste, bereits etablierte Beispiel ist die elektronische Gesundheitskarte für gesetzlich Versicherte, die 2015 eingeführt wurde. Saatjohann betonte, dass die Versichertenkarte eine sichere Ende-zu-Ende-Verschlüsselung zwischen Arztpraxis und Krankenkasse biete – ein Standard, der aus IT-Sicherheit möglichst immer erreicht werden sollte, bei vielen Kommunikationswegen im Gesundheitswesen jedoch leider noch nicht etabliert ist. „Klartext-E-Mails mit sensiblen Daten ohne Verschlüsselung verschicken – das geht so nicht“, mahnte der IT-Sicherheitsexperte. „Auch ein Telefax ist heute nicht mehr datenschutzkonform, da es nicht mehr wie früher analog, sondern über das Internet verschickt wird.“

Die ePA sei nun also ein weiterer Schritt zur Digitalisierung des Gesundheitswesens. Die Idee ist, dass Patient*innen diese freiwillige Akte selbst führen und Daten löschen, lesen und schreiben können. Für sie habe die ePA einige Vorteile. „Ich habe einen Ort, an dem ich alle Akten einsehen und ordnen kann. Ein großer Mehrwert ist außerdem, dass man digital nach bestimmten Befunden suchen kann“, sagte der Referent. Impfpass, Zahnbonusheft oder Medikationsplan seien somit zentral an einem Ort gespeichert. Ärzt*innen wiederum könnten statt per Arztbrief oder DVD schneller und einfacher mit anderen Praxen kommunizieren. Ein Knackpunkt sei nun die richtige Anbindung an die TI. „Hier ist das System bei falscher Handhabung sogenannter TI-Konnektoren fehleranfällig, wie wir bei unserer Untersuchung im vergangenen Jahr festgestellt haben“, erklärte Saatjohann. „Es gibt zwei potenzielle Sicherheitslücken: Einmal bei einer fehlerhaften Konfiguration des Praxisnetzwerks und zum anderen beim Anschluss an ein zentrales Rechenzentrum.“

Also ist die ePA zu unsicher in ihrer Anwendung? „Eine hundertprozentige Sicherheit können wir niemals erreichen“, entgegnete Saatjohann. Er halte einen größeren Datendiebstahl der ePA jedoch eher für unwahrscheinlich. „Das Schutzlevel ist grundsätzlich relativ hoch. Es ist wichtig, dass Praxen das Thema IT-Sicherheit ernst nehmen und für die Einrichtung und Wartung der TI-Konnektoren Expert*innen fragen, und nicht einfach Bekannte mit Halbwissen damit beauftragen. Das entpuppte sich bei unseren Nachforschungen tatsächlich häufig als Ursache des Problems“, sagte er. Die deutsche ePA halte er übrigens für wesentlich sicherer als das finnische Pendant, das dort bereits vor mehreren Jahren eingeführt wurde. „Es gibt in Deutschland aktuell mehr als 200.000 medizinische Einrichtungen – ihre Computer oder vernetzten Geräte mit Internetanschluss sind für Hacker*innen viel attraktivere potenzielle Angriffsziele.“ Insbesondere Krankenhäuser wurden in letzter Zeit häufiger Opfer von Cyberangriffen. Die mediale Aufmerksamkeit rund um die TI und die ePA habe somit einen positiven Nebeneffekt: Sie rege die längst fällige Diskussion über IT-Sicherheit und Datenschutz im Medizinsektor an.

Der Vortrag fand im Rahmen der Veranstaltungsreihe „fhuture“ statt, organisiert in Kooperation von FH Münster, TAFH Münster GmbH, Gesellschaft der Freunde der FH Münster e.V. (gdf) und der Initiative TRAIN. Eine Präsentation der Veranstaltungen zum Nachlesen finden Interessierte unter fhms.eu/fhuture-termine. Dort sind auch weitere Termine der Reihe aufgeführt.


Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Weitere Informationen und die Möglichkeit zum Widerruf finden Sie in unserer Datenschutzerklärung.
Seite drucken