NewsÄrzteschaftDatenschutz: Jeder Einzelne ist in der Pflicht
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Ärzteschaft

Datenschutz: Jeder Einzelne ist in der Pflicht

Montag, 7. Januar 2019

/strixcode, stockadobecom

Berlin – Vor dem Hintergrund des Datendiebstahls und der Veröffentlichung sensibler Daten von Prominenten auf dem Kurznachrichtendienst Twitter ist auch der Gesundheits­bereich erneut in den Fokus der Diskussion gerückt, denn der digitale Datenaustausch und die Entwicklung elektronischer Patientenakten sind zentrale Themen der aktuellen Gesundheitspolitik.

„Diese Geschehnisse zeigen deutlich, dass Digitalisierung kein Allheilmittel ist. Und nur, weil wir Dinge hinterfragen, sind wir nicht automatisch Blockierer, wie uns gerne von der Politik vorgeworfen wird“, kommentierte Andreas Gassen, Vorstands­vorsitzender der Kassenärztlichen Bundesvereinigung (KBV) die Vorfälle. Zugleich wandte er sich damit auch gegen Äußerungen der Staatsministerin für Digitalisierung, Dorothee Bär. Diese hatte vor dem Jahreswechsel in einem Interview mit der Welt am Sonntag für Abstriche am Datenschutz im Gesundheitswesen plädiert und unter anderem erklärt, es gebe Mediziner, die jedwede Digitalisierung ablehnten, weil sie sich vor Transparenz fürchteten.

Anzeige

IT-Sicherheit beginnt beim Nutzer

„Diese Art von Transparenz, wie sie jetzt durch Hacker geschaffen worden ist, kann die Staatsministerin nicht gemeint haben“, kritisierte Gassen. Die niedergelassene Ärzte­schaft unterstütze die Digitalisierung dort, wo sie für Praxen und Patienten nützlich ist. Doch bei Gesundheitsdaten handele es sich um sehr sensible Angaben. „An die Adresse der digitalbegeisterten Politiker sei gesagt: Wollen Sie irgendwann ihre Gesundheits­daten in den Medien wiederfinden?“ Zunächst gelte es, ein leistungs­fähiges Netz in Deutschland zu schaffen. Es reiche nicht, Digitalisierung ohne Konzepte zu fordern. Aus Sicht des KBV-Chefs fängt die IT-Sicherheit zudem beim Nutzer an: „Jeder einzelne von uns ist hier gefragt: Wir sollten sinnvoll und sparsam mit unseren digital veröffent­lichten Daten umgehen.“

Der Bayerische Fachärzteverband sprach sich darüber hinaus dafür aus, Patientendaten nur dezentral zu speichern. Wenn einfache Hackerangriffe die Sicherheitskonzepte der Gesundheits-Apps und digitalen Plattformen von Vivy und Co knacken könnten, würden immense Datenschutzprobleme drohen, wenn erst einmal alle Gesundheitsdaten der Bevölkerung zentral gespeichert und online abrufbar sein sollten, so die Befürchtung des Verbands. Er verwies zudem auf den Kongress des Chaos Computer Clubs in Leipzig, bei dem der Informatiker Martin Tschirsich in einem Vortrag („All Your Gesundheitsakten Are Belong To Us“) auf verschiedene Sicherheitsmängel einiger auf dem Markt oder in der Erprobung befindlichen elektronischen Aktenlösungen und Online-Videosprechstunden aufmerksam gemacht hatte.

Transparenz herstellen hinsichtlich Sicherheitslücken

So hatte der Informatiker unter anderem bei der Gesundheitsakte „Vivy“ unzureichende Session-IDs bei der Datenübertragung, zu einfache PIN und Schwächen bei der Abwehr von Phishing bemängelt. Auch könnte ein Vivy-Nutzer laut Tschirsich mit Schad­software versehene Dokumente an den Arzt senden und den Rechner, wenn der Link geöffnet werde, korrumpieren und ausspähen. Die meisten Fehler wurden inzwischen zwar behoben.

Grundsätzliche Probleme sieht der Experte jedoch darin, dass Penetrationstests bei Gesundheits-Apps häufig zu spät durchgeführt werden und dass es keine Transparenz hinsichtlich vorliegender Sicherheitsmängel gibt, da diese nicht an Aufsichtsbehörden gemeldet werden müssen. Sicherheit sei ein Wettbewerbs­nachteil, meinte der Experte. Zertifikate könnten diese Probleme nicht beheben, so Tschirsich.

„All Your Gesundheitsakten Are Belong To Us“ – Vortrag von Martin Tschirsich /youtube, media.ccc.de

„Sicherheit lebt vom Mitmachen, denn jede Sicherheitskette ist nur so stark wie ihr schwächstes Glied“, betonte auch der Digitalverband Bitkom in einer Stellungnahme. Die Unternehmen seien gefordert, ihre Produkte zu härten und ihr Personal in puncto IT-Sicherheit zu schulen. Die Politik müsse den Rechtsrahmen so optimieren, dass eine Ende-zu-Ende-Verschlüsselung möglich bleibe. Behörden seien zu verpflichten, Sicherheitslücken umgehend an die betroffenen Unternehmen zu melden, anstatt sie offen zu halten, um sie selbst als Backdoors nutzen zu können.

Vorhandene Sicherheitsinstrumente nutzen

Ähnlich wie KBV-Chef Gassen sieht der Digitalverband auch die Nutzer in der Pflicht: „Jeder Einzelne von uns ist gefordert, verfügbare Sicherheitsinstrumente wie starke Passwörter, Virenscanner, Firewalls sowie regelmäßige Updates aktiv zu nutzen.“ Besonderen Schutz biete dabei die Zwei-Faktor-Authentifizierung. © KBr/aerzteblatt.de

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Avatar #672734
isnydoc
am Dienstag, 8. Januar 2019, 11:01

Daten und deren Verknüpfung im Netz ... sind ein Geschäftsfeld

Aus dem Jahresbericht für das Geschäftsjahr 2017 bei Compugroup Seite 48:
"Chancenbericht
Immer umfangreichere Datenmengen werden im Gesundheitssystem erfasst – in Krankenhäusern, beim Hausarzt und bei den Krankenkassen. Die Patienten müssen dokumentiert, klassifiziert und nach medizinischen Sachverhalten eingeordnet werden. Ärzte wollen außerdem ausführliche Erkenntnisse aus ihrem Kollegenkreis teilen. alles für die optimale, fallbezogene Behandlung von Patienten. Gleichzeitig werden Indikationen und Behandlungsoptionen immer differenzierter und damit komplexer. „Menschliche Speicherkapazitäten“ sind aber beschränkt: Es wird immer schwieriger, alle Informationen immer punktgenau zur Verfügung zu haben.
Seit über 25 Jahren sorgt CGM bei den Kunden dafür, dass lästige Bürokratie und Papierarbeit verschwinden und dass wichtige medizinische Informationen dort zur Verfügung stehen, wo sie gebraucht werden. So werden Ärzte und Heilberufler entlastet und mehr Zeit für das Wesentliche geschaffen: die Patienten. Dazu sind Informationsaustausch und das Zusammenspiel zwischen Allgemeinärzten und Spezialisten, Krankenhäusern, Apotheken und andere Akteuren des Gesundheitswesens von höchster Bedeutung."
Avatar #88767
fjmvw
am Dienstag, 8. Januar 2019, 08:24

Schauen Sie das Video an, es lohnt sich!

Der Kongress der IT-Sicherheitsexperten hatten NICHT EINEN Weg anzubieten, um Gesundheitsdaten wirklich zu schützen. Sind Gesundheitsdaten erst einmal zentral digital verfügbar, kann man sie auf Dauer nicht schützen! Das war die Kernbotschaft der IT-Sicherheitsexperten. Sind Gesundheitsdaten erst einmal zentral gespeichert, können sie nicht mehr geschützt werden.

Um einen möglichst hohen Schutz zu bieten, raten die Experten daher von einer zentralen Datenhaltung ab – also weder elektronische Patientenakte noch elektronische Gesundheitsakte. Zur Frage, wie man Gesundheitsdaten „am sichersten“ zwischen A und B transportiert, kam aus dem Publikum die Antwort: Fax.

Wenn IT-Sicherheitsexperten das Fax für die beste Kommunikationsmethode für Gesundheitsdaten halten, dann hört sich das zuerst völlig bescheuert an. Denn es ist gemeinhin bekannt, dass man ein Fax völlig problemlos mitlesen kann. „So wie eine Postkarte vom Briefträger gelesen werden kann“. Damit ist der Inhalt der Postkarte diesem Briefträger bekannt. Aber EIN Briefträger kann eben nur die Postkarten lesen, die er zustellt. Alle Postkarten, die alle anderen Briefträger zustellen, kann der Briefträger nicht lesen.

Genau so ist es beim Fax. Selbstverständlich kann man gezielt Faxe „mitlesen“, aber das ist ein sehr aufwendiges Vergnügen. Bei 20 Faxen pro Praxis und 100.000 Praxen wären pro Tag 2 Millionen Faxe zu empfangen und aus Pixeln des Fax per Software verarbeitbare Daten zu erstellen. Diese müssten dann automatisiert dem richtigen Patienten (in die richtigen Stammdatenfelder) zugeordnet werden und dann auch noch alle anderen Informationen richtig verarbeitet werden. Extrem aufwändig und es dauert sehr lang (ein Fax braucht mindesten 30s, bis es empfangen ist).

Bei einer Kommunikation per Fax kann man eine (gemessen an der Gesamtzahl aller Faxe relativ geringe Anzahl) an Übermittlungen mitlesen und die Informationen missbrauchen. Wenn 0,01% mitgelesen werden, sind immer noch 99,99% nicht gelesen worden. Um bestimmte Daten zu erhalten, müsste man alle Fax-Übermittlungen auswerten – der Aufwand wäre viel zu hoch.

Bei einer zentralen Datenhaltung wäre all diese Schritte überflüssig. Denn die gesuchten Daten stehen in einer Datenbank, die Daten sind perfekt aufbereitet, man kann die Daten nach den Kriterien aufbereiten die einem wichtig sind – und das alles mit wenigen Klicks für die gesamte Bevölkerung. Will ich wissen, wer bestimmte genetische Defekte hat – eine kurze Datenbankabfrage. Will ich wissen, wer pro Monat Medikamentenkosten von > 10.000€ hat – eine Datenbankabfrage. Will ich wissen, wer bestimmte Erbkrankheiten hat, wer in psychotherapeutischer Behandlung ist, wer regelmäßig 6 Wochen pro Jahr krank ist, wer Antidepressiva nimmt, wer zuviel Alkohol nimmt, wer HIV-positiv ist, wer schwanger ist …. eine zentrale Datenbank mit allen Gesundheitsdaten gibt darüber sofort Aufschluss.

Wer verhindern will, dass Hacker solche Daten in die Hände bekommen können, der sollte Gesundheitsdaten auf keinen Fall „irgendwo im Netz“ speichern. Ob das Vehikel dahin „sichere Telematik Infrastruktur“ oder „cloud“ oder sonst wie heißt, spielt keine Rolle. Nach dem Vortrag des IT-Sicherheitsexperten ist klar, dass es KEINE Möglichkeit gibt, Daten so sicher zu verschlüsseln, dass sie nicht in spätestens 20 Jahren frei lesbar sind. Die höchste Sicherheit, aber eben auch keine absolute, dürfte ein Arzt derzeit erreichen, wenn er Patientendaten ausschließlich in seiner Praxis speichert und die Praxis-EDV nicht dauerhaft am Netz hängt.

P.S.:
Warum das Ärzteblatt diese Meldung erst viele Tage nach dem Vortrag auf dem 35C3 bringt, erschließt sich mir nicht. Unmittelbar nach Bekanntwerden von drittklassigen Datenlecks mit Daten von Politikern und Prominenten, hat sich die gesamte Presse darauf gestürzt.
Hier, wo es um viel wichtigere Daten geht, nämlich Gesundheitsdaten, und die Bedrohung der Datensicherheit von ganz anderem Kaliber ist, schweigt die Fachpresse (fast).
Avatar #691359
Staphylococcus rex
am Montag, 7. Januar 2019, 22:05

Ein Datenschutzproblem mit Ansage

In meiner persönlichen Wahrnehmung ist im Privatbereich Windows 10 mittlerweile vorherrschend, während im professionellen Bereich fast ausschließlich mit Windows 7 gearbeitet wird. In fast genau einem Jahr, am 14.01.2020 ist Schluss mit Support für Windows 7:
https://www.computerbild.de/artikel/cb-Tipps-Software-Wie-lange-bekommt-Windows-Updates-22315317.html
https://support.microsoft.com/de-de/help/13853/windows-lifecycle-fact-sheet

Wir haben damit eine vergleichbare Situation wie am Ende des Lebenszyklus von Windows XP, nur dass heute wesentlich mehr Geräte vernetzt sind, mehr Treiber ersetzt werden müssen und die Cyberkriminellen über bessere Werkzeuge verfügen. Ich bin gespannt, wie sich Kartenlesegeräte, Konnektoren etc. mit einem neuen Betriebssystem vertragen werden. Angesichts der Brisanz medizinischer Daten ist Aussitzen keine Alternative.
LNS

Nachrichten zum Thema

18. März 2019
Hamburg – Gesundheits-Apps werden laut einer Umfrage immer beliebter. Zwölf Prozent der Erwachsenen nutzen inzwischen solche digitalen Anwendungen, wie die Techniker Krankenkasse (TK) heute in Hamburg
Immer mehr Allergiker nutzen Gesundheits-Apps
15. März 2019
Schwerin – Die Landesregierung in Schwerin dringt auf eine rasche Anpassung der Berufsordnung für die in Mecklenburg-Vorpommern tätigen Ärzte, um die Möglichkeiten der Telemedizin besser nutzen zu
Mecklenburg-Vorpommern dringt auf breitere Anwendung der Telemedizin
15. März 2019
Berlin – Arzt- und Psychotherapeutenpraxen müssen bis zum 31. März dieses Jahres die Technik für den Anschluss an die Tele­ma­tik­infra­struk­tur (TI) bestellt haben und dies ihrer Kassenärztlichen
Ärzte sollten Zugang zur Tele­ma­tik­infra­struk­tur bestellen
14. März 2019
Berlin – Schnellere Arzttermine für gesetzlich Krankenversicherte, zusätzliche Leistungen sowie mehr Tempo bei der Einführung der elektronischen Patientenakte: So beschrieb Bun­des­ge­sund­heits­mi­nis­ter
Bundestag verabschiedet Terminservice- und Versorgungsgesetz
14. März 2019
Berlin – Das Terminservice- und Versorgungsgesetz war im Bundestag kaum verabschiedet, da hagelte es bereits Kritik von Akteuren aus dem Gesundheitswesen. Ärzte, Krankenkassen und Verbände sind in
Terminservice- und Versorgungsgesetz ruft deutliche Kritik hervor
14. März 2019
Koblenz – Rund 700.000 Versicherte aus den Regionen Bielefeld, Bochum, Ahaus und Münster können ab dem dritten Quartal Informationen über eingenommene Medikamente und Notfalldaten auf ihrer
Feldtest zu Medikamenten- und Notfalldaten startet
14. März 2019
Berlin – Die Agentur deutscher Arztnetze in Deutschland unterstützt die geplante Einführung einer umfassenden elektronischen Patientenakte (ePA). Sie plädiert jedoch zugleich dafür, zusätzlich dazu
LNS LNS

Fachgebiet

Anzeige

Weitere...

Aktuelle Kommentare

Archiv

Anzeige
NEWSLETTER