ArchivDeutsches Ärzteblatt22/2009Gesundheitstelematik: Sicherheit ist machbar

TECHNIK

Gesundheitstelematik: Sicherheit ist machbar

Krüger-Brand, Heike E.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS Viren, Würmer oder Hackerangriffe sind auch im Gesundheitsbereich anzutreffen. Für Abwehr und Schutzmaßnahmen in der Arztpraxis muss der Arzt sorge tragen.

Allein im Mai 2009 habe es mehrere spektakuläre Meldungen über Sicherheitslecks im Gesundheitsbereich gegeben. Das berichtete Dr. Kurt Brand, Leiter des Arbeitskreises Sicherheit im eco – Verband der deutschen Internetwirtschaft e.V., bei einem Workshop zum Thema Sicherheit in der Gesundheitstelematik in Köln. So konnten in US-amerikanischen Kliniken vom Conficker-Virus befallene Rechner aufgrund staatlicher Vorschriften nicht direkt von der Schadsoftware befreit werden. Der Grund: Die Rechner dienen zur Berechnung und Analyse von MRT-Bildern und dürfen daher zum Schutz von Ärzten und Patienten erst nach einer Frist von 90 Tagen „manipuliert“ werden. Entdeckt wurden bislang rund 300 infizierte Computer, die nicht nur in der Nähe oder in Intensivstationen eingesetzt worden sind, sondern teilweise sogar über lokale Netzwerke mit dem Internet verbunden waren.

Datendiebstahl
Ebenso aufsehenerregend ist der in mehreren Medien berichtete Versuch, eine US-amerikanische Gesundheitsbehörde zu erpressen. Danach wurden dem Virginia Presription Monitoring Program, einer Clearingstelle für verschreibungspflichtige Medikamente, bei einem Einbruch auf dem Server Daten von mehr als acht Millionen Patienten und über 35 Millionen Rezeptverschreibungen entwendet. Der Erpresser verlangt zehn Millionen US-Dollar für ein Passwort, mit dem sich das verschlüsselte Backup der Datenbestände wieder freischalten lässt.

Generell ist immer noch die Hälfte der Datenlecks auf den Verlust und Diebstahl von PCs und Datenträgern zurückzuführen. Zu verzeichnen sei ebenfalls ein starker Anstieg der Malware-Verbreitung über Wechselmedien, wie etwa USB-Sticks, erklärte Brand. Auch die Zahl der „Botnetze“ – Netzwerke aus Tausenden von infizierten Computern (Bots oder Zombies genannt), die von einem „Masterserver“ ferngesteuert würden – nehme zu, so Brand. Durch „Phishing“ frisierte Seiten (das heißt gefälschte Webseiten, mit denen Passwörter des Benutzers abgegriffen werden) sind nach Expertenmeinung am häufigsten im Gesundheitsbereich anzutreffen.

Empfehlungen für die Ärzte
Vor diesem Hintergrund sind die 2008 veröffentlichten „Empfehlungen der Bundes­ärzte­kammer und der Kassenärztlichen Bundesvereinigung zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ und die darin enthaltene technische Anlage zur IT-Sicherheit hochaktuell (www.aerzteblatt.de/v4/plus/down.asp?typ=PDF&id=2316). Letztere werde, im Unterschied zum juristischen Text zur ärztlichen Schweigepflicht und zum Datenschutz künftig sicher häufiger aktualisiert werden müssen, um neuere Bedrohungen im Bereich IT-Sicherheit zu berücksichtigen, erklärte Dr. med. Georgios Raptis, Telematikexperte bei der Bundes­ärzte­kammer (BÄK). Für die organisatorischen Sicherheitsmaßnahmen in der Arztpraxis ist in der Regel der Arzt verantwortlich. Dagegen rät die BÄK bei der Umsetzung technischer Maßnahmen, aufgrund der zunehmenden Komplexität einen IT-Dienstleister hinzuzuziehen.

Raptis stellte klar, dass Rechner mit Patientendaten keine direkte Verbindung ins Internet haben dürfen, wohingegen eine sichere Verbindung mit einem Intranet über eine VPN-Verbindung (Virtual Private Network), wie sie etwa das KV-Safenet unterstützt, möglich ist, sofern hochwertige Firewall- und Virenschutzlösungen genutzt werden. WLAN (drahtloses lokales Netzwerk) und Voice over IP (Internettelefonie) bewertet die BÄK unter Sicherheitsaspekten kritisch. Darüber hinaus befürwortet sie den Einsatz von Chipkarten als sichere Träger von kryptografischen Schlüsseln, um Authentizität und Vertraulichkeit von Daten zu schützen. Vor allem der elektronische Arztausweis als Schlüssel für die Tele­ma­tik­infra­struk­tur könne die Kommunikation im Gesundheitswesen effektiv absichern, betonte Raptis.

Die elektronische Gesundheitskarte (eGK) und die auf Basis der HPC(Health Professional Card)-Spezifikation entwickelten elektronischen Heilberufsausweise müssen kompatibel sein, damit sie interagieren können. Die derzeit in den Testregionen ausgegebenen elektronischen Arztausweise basieren noch auf einer alten HPC-Spezifikation. Sie würden daher, ebenso wie die dort eingesetzten eGK-Testkarten, für den Basisrollout nochmals ausgetauscht werden, erläuterte Raptis. Auch bei den Arztausweisen, die in Nordrhein im Rahmen des Projekts Online-Abrechnung der Kassenärztlichen Vereinigung genutzt werden, handelt es sich noch nicht um Karten nach der „finalen“ Spezifikation. Immerhin lasse sich mit diesen Projekten zeigen, dass die Karten außerhalb der Tele­ma­tik­infra­struk­tur funktionierten und für die qualifizierte Signatur genutzt werden könnten, so Raptis. Die endgültigen Heilberufsausweise sollen als Gegenpart zu den „echten“ Gesundheitskarten, den eGKs der Generation eins, ausgegeben werden. Aufgrund der erforderlichen Kompatibilität zur eGK werden künftige Kartengenerationen in enger Abstimmung mit der Gematik fortentwickelt.
Heike E. Krüger-Brand
Anzeige

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Fachgebiet

Zum Artikel

Anzeige

Alle Leserbriefe zum Thema