Krankenhäusern und Arztpraxen nutzen Digitalisierung, die Systeme sind aber oft nicht gut gesichert. Wenn die Telemedizin kommt, droht der Daten-GAU, warnen Experten zum Ärztetag.
Die elektronische Gesundheitskarte: ein Flop. Erpressung mit erbeuteten Gesundheitsdaten: ein Hit. So lässt sich die gegenwärtige Situation der Digitalisierung des Gesundheitswesens auf den Punkt bringen. "Wir haben im Jahr 2017 wirklich namhafte Fälle gehabt, wo auf Krankendaten zugegriffen wurde", berichtet Hans-Peter Bauer, Deutschlandchef der IT-Sicherheitsfirma McAfee. Sein Unternehmen hat die Datendiebstähle aus medizinischen Beständen genauer analysiert.
Erpressung mit Medizin-Daten
Die Online-Kriminellen hätten Diagnosen, Verordnungen von Medikamenten, Behandlungsunterlagen, sogar ganze Krankengeschichten und Studienergebnisse klinischer Tests erbeutet. Neben den Nachrichtendiensten habe sich ein ganzer Zweig der organisierten Kriminalität auf medizinische Daten spezialisiert. "Selbst die Nachrichtendienste von Staaten, die der Bundesrepublik Deutschland eigentlich freundlich gesinnt sind, machen das", erläutert Hans-Peter Bauer. Sie verwendeten die erbeuteten Krankendaten für Erpressungsaktionen und Diffamierungskampagnen.
"Wir haben Fälle analysiert, in denen Medikationsdaten von Politikern verwendet worden sind, um diese Politiker unter Druck zu setzen", sagt Sicherheitsexperte Bauer. Dabei seien nicht nur Krankenhäuser angegriffen worden, sondern auch Tageskliniken, Ambulanzen, ganz normale Arztpraxen und medizinische Forschungseinrichtungen.
Kliniknetze sind weit geöffnete Systeme
Weil nicht nur Krankenakten, sondern auch Studien zu neuen Arzneimitteln und neuen Therapien erbeutet wurden, gehen die Sicherheitsexperten davon aus, dass es in vielen Fällen um Industriespionage geht. Doch dabei sind auch immer die persönlichen Daten von Patienten betroffen. Und das liegt nicht nur daran, dass viele Praxensysteme und Kliniknetze nur sehr unzureichend gesichert sind. Vor allen Dingen sind mangelnde Sicherheitsbestimmungen für den leichten Klau der Patientendaten verantwortlich.
Die Betreiber der Internetplattform Medileaks wollen nach eigenen Angaben ein Drittel aller Patientendaten in Deutschland gesammelt haben. "Wir verfügen über einen riesigen Datensatz mit pseudonymisierten Patientendaten aus den letzten zehn Jahren", haben Aktivisten von Medileaks auf Nachfrage mitgeteilt.
Neue Möglichkeiten für Online-Behandlungen und die Pläne der großen Koalition für mehr Praxis-Sprechzeiten sind Themen des 121. Deutschen Ärztetags, der heute in Erfurt beginnt. Etwa 250 Ärzte aus ganz Deutschland wollen bis Freitag diskutieren. Zur Eröffnung werden auch Bundesgesundheitsminister Jens Spahn (CDU) und Thüringens Ministerpräsident Bodo Ramelow (Linke) erwartet.
Diese Patientendaten enthalten unter anderem Diagnosen, Angaben zu Operationen, Alter und Geschlecht der Patienten sowie Postleitzahlen der Wohnorte. Nach Paragraf 21 des Krankenhaus-Entgeltgesetzes müssen die Kliniken diese Daten an eine Bundesstelle melden.
Daten können Rückschlüsse zulassen
Alarmierend ist dabei, dass die Daten nicht anonymisiert sind, sondern nur pseudonymisiert. Von einer Pseudonymisierung spricht man, wenn der Name eines Patienten zum Beispiel gegen eine speziell für diesen Namen verwendete Ziffern- und Buchstabenfolge ausgetauscht wird.
Wird der Name dagegen erst gar nicht weitergegeben, bleibt der Patient anonym. "Eine Anonymisierung ist nur dann gewährleistet, wenn eine Rückführung auf eine einzelne Person bei einem einzelnen Datensatz nicht mehr möglich ist", erläutert der Datenschutzexperte Thilo Weichert.
Die nach dem Krankenhaus-Entgeltgesetz übermittelten Daten können aber auf die persönliche Identität eines einzelnen Patienten zurückgerechnet werden. Auch bei der Abrechnung von Rezepten über Apotheken-Rechenzentren ist das technisch möglich.
Experten fordern Anonymisierung
Datenschutzexperten fordern den Gesetzgeber deshalb schon seit vielen Jahren auf, hier für eine absolute Anonymisierung zu sorgen. Das ist nach Meinung vieler Ärzte eine notwendige Voraussetzung für die Einführung von Telemedizin.
Bloße Verschlüsselung der Daten reicht nach ihrem Dafürhalten hier nicht aus. "Das ist zwar ein erster wichtiger Schritt“, meint Sicherheitsexperte Hans-Peter Bauer. Er schränkt aber gleich ein, dass in nicht wenigen Praxen und Laboratorien Untersuchungsergebnisse und Dateien mit Vitaldaten oder Analyseergebnissen oftmals unverschlüsselt per Mail versendet würden.
Telemedizin jedenfalls kann auf der bisherigen Grundlage beim Umgang mit medizinischen Daten nicht ausreichend sicher flächendeckend eingeführt werden. Da sind sich die meisten Experten einig.
Digitalisierung von Patientendaten
Bei medizinischen Forschungseinrichtungen sind Online-Kriminelle oft über die Netze beteiligter Kliniken eingedrungen. In einigen Fällen kamen sie aber auch über Praxissysteme von Ärzten, die an Studien beteiligt waren. Phishing-Mails mit Schadsoftware an Mitarbeiter, gefolgt von Einbrüchen nach intensiven Penetrationstests sind die am häufigsten in diesem Zusammenhang verwendeten Einbruchsmethoden. Inzwischen ist sogar eine Handelsplattform für Sicherheitslücken bei medizinischen Einrichtungen mit der Top-Level-Domain .onion geschlossen worden. Aber das wird nicht die einzige ihrer Art sein.
Und hier liegt ein Riesenproblem: Medizinische Daten, Krankenakten z.B., sind so miserabel gesichert, dass ein unterdurchschnittlich begabter Hacker sie mit nur wenigen Stunden Zeitaufwand erbeuten kann. Den Krankenhäusern fehlt schlicht das Geld für die ausreichende Absicherung ihrer medizinischen Daten. Bei den Praxissystemen haben die Hersteller Sicherheitsaspekten bisher viel zu wenig Bedeutung beigemessen. Da werden zum Beispiel vom System Laborergebnisse unverschlüsselt per Mail verschickt. Sowohl die Ärzte als auch die medizinischen Fachangestellten sind natürlich davon ausgegangen, dass Mails dieser Art nur verschlüsselt und via virtuellem privaten Netzwerk weiterversandt werden. Aber das war bei Praxissystemen einiger Hersteller eben bisher so gar nicht vorgesehen.
Die Aktivisten der Medileaks-Plattform wollen nach eigenen Worten "die ungute Ökonomisierung im Krankenhausbereich aufdecken". Auf medileaks.cc stellen sie unterschiedliche Analysen und Auswertungen von Krankenhausdaten, Patientendaten und Operationsdaten vor. Dabei geht es um Todesursachen, vermeintlich unnötige medizinische Eingriffe oder die Arbeitsbelastung in der Pflege. Die Aktivisten von Medileaks bezeichnen sich als "Team von Krankenhausberatern mit Hintergrund in der Statistik und Gesundheitsökonomie".
Die Rezeptdaten von mehr als 40 Millionen Versicherten in Deutschland werden von den Abrechnungsrechenzentren nicht nur an die Krankenkassen weitergegeben, sondern auch an Marktforschungsunternehmen und die Pharmaindustrie. Diese Weitergabe der Daten ist gesetzlich ausdrücklich erlaubt. Allerdings dürfen nur ausreichend anonymisierte Daten weitergegeben werden. Und darüber kommt es immer wieder zum Streit. Datenschützer bemängeln regelmäßig, dass aus solchen Rezeptdaten auf einzelne Patienten zurückgerechnet werden kann. Weil das Schutzniveau dieser Daten gesetzlich nur unzureichend beschrieben ist, besteht in diesem Bereich große Unsicherheit. Ähnlich sieht das bei den Daten aus, die Krankenhäuser nach dem Krankenhaus-Entgeltgesetz an staatliche Stellen melden müssen. Auch hier kann die persönliche Identität einzelner Patienten mit verhältnismäßig geringem Aufwand errechnet werden.
Pharmafirmen sind zwar ausgesprochen zurückhaltend, wenn es um die Frage geht, welche Patientendaten sie wie verwenden. Doch seit fünf Jahren haben unterschiedliche Aktivistengruppen die genauere Verwendung dieser Daten recherchiert. Dabei kam heraus, dass die Erfolgskontrolle der eingesetzten Außendienstler ein wichtiger Bereich ist. Mit den rückgerechneten Daten kann nämlich ermitteln werden, ob ein bestimmter Arzt nach dem Besuch eines Pharma-Vertreters signifikant öfter ein bestimmtes Medikament verordnet hat oder nicht. Die Zuordnung zu einem Arzt erfolgt in diesem Fall über die errechneten Patientennamen. Außerdem kann die Analyse solcher Patientendaten genau aufzeigen, wo noch Verkaufspotenziale für weitere Medikamente liegen. So kann etwa von Rezeptdaten in einem zeitlichen Längsschnitt auf medizinische Diagnosen geschlossen werden. Und daraus ergeben sich dann Hinweise, wo noch Verkaufsmöglichkeiten für weitere Medikamente liegen. Inzwischen gibt es Standardsoftware, die solche Verkaufsmöglichkeiten in Bezug auf einzelne Arztpraxen und Kliniken berechnet.
In erster Linie sollen diese Patientendaten natürlich dem weiteren Ausbau der Gesundheitsvorsorge dienen. Deshalb sehen Vorschriften wie das Krankenhaus-Entgeltgesetz auch besondere Meldepflichten vor. Aber Regierungen kaufen Patientendaten auch von Marktforschungsunternehmen, die diese Daten ihrerseits von Abrechnungsrechenzentren erworben haben. Dabei ist beim staatlichen Ankauf dieser Patientendaten nicht immer klar, an welche Regierungsstellen diese Daten dann gehen. Wenn ein Geheimdienst solche Daten personalisiert auswertet, kann er Wissen über den gesundheitlichen Zustand einzelner Menschen erhalten. Sicherheitsexperten sehen darin ein gewisses Erpressungspotenzial.
Vor allen Dingen müssen die Computernetze von Krankenhäusern sicherheitstechnisch nachgerüstet werden. Das kostet Geld. Dieses Geld haben die Kliniken nicht. Deshalb sind hier die Gesundheitspolitiker gefordert. Sie müssen im Bundeshaushalt entsprechende Mittel für mehr IT-Sicherheit in Krankenhäusern bereitstellen. Dann müssen die Praxissysteme nachgerüstet werden. Sicherheitsaspekte haben hier in der Vergangenheit oft nur eine sehr geringe Rolle gespielt. Außerdem muss die Weitergabe von Patienten- und Rezeptdaten gesetzlich besser geregelt werden. Zumindest müssen die Anonymisierungsvorschriften so klar und detailliert sein, dass das Zurückrechnen auf einzelne Patienten nicht möglich ist.