Politik

Elektronische Patientenakte: Mögliche Hacking-Szenarien und wie sie zu verhindern sind

  • Dienstag, 21. Januar 2025
/nmann77, stock.adobe.com
/nmann77, stock.adobe.com

Berlin – Erpressung, mögliche physische Angriffe sowie Vertrauensverlust in das staatliche System – Hackeran­griffe auf Gesundheitsdaten können weitreichende Folgen für Einzelne, aber auch auf die ganze Gesellschaft haben. Spätestens seitdem der Chaos Computer Club (CCC) Ende Dezember Sicherheitslücken in der technischen Infrastruktur der elektronischen Patientenakte (ePA) entdeckt hatte, ist das Thema näher gerückt.

Bundesgesundheitsminister Karl Lauterbach (SPD) betonte beim Start der Testphase der neuen ePA vergangene Woche, dass die Pilotierung auf einem sehr hohen Sicherheitsniveau beginnen könne. Für den bundesweiten Roll-out stehen hingegen noch Nachbesserungen in der Sicherheitsarchitektur an. Dazu gehören unter anderem eine zusätzliche Verschlüsselung der Krankenversichertennummer sowie eine Ausweitung der Überwachungsmaß­nahmen.

Das Deutsche Ärzteblatt hat mit drei Experten gesprochen, welche Szenarien theoretisch drohen könnten, sollten ePA-Daten gehackt und gestohlen werden. Sie erläutern zudem, welche Sicherheitsvorkehrungen jetzt getroffen werden müssen, um mögliche Angriffe zu verhindern.

„Gesundheitsdaten sind besonders schützenswerte Daten. Wer solche Daten im Besitz hat, insbesondere mit Klar­namen, verfügt über ein hohes Erpressungspotenzial“, erklärte Sebastian Vogel, Fachanwalt für Strafrecht, spezia­lisiert auf Medizinstrafrecht und Datenschutzrecht.

Vogel zufolge werden derzeit vor allem Kliniken und Arztpraxen erpresst, nachdem medizinische Daten dort ab­ge­schöpft worden seien. „Aber auch Personen, die ein bisschen bekannter sind, könnten mit Daten beispielsweise zu Suchterkrankungen oder sexuell übertragbaren Krankheiten erpresst werden.“

„Daten sind im Prinzip das Gold des digitalen und des KI-Zeitalters“, ergänzte Thomas-Gabriel Rüdiger, Leiter des Instituts für Cyberkriminologie an der Hochschule der Polizei des Landes Brandenburg. „Schon heute erleben wir beispielsweise IT-Angriffe auf öffentliche Verwaltungen und Gesundheitseinrichtungen“, so Rüdiger.

Einer Studie aus dem Jahr 2024 zufolge sollen weltweit mehr als die Hälfte aller Krankenhäuser und Gesundheits­einrichtungen mit sogenannten Ransomware-Angriffen konfrontiert worden sein, erklärte der Cyberkriminologe.

Dabei werde – beispielsweise durch Fehlverhalten von Mitarbeitenden – eine Schadsoftware installiert, die die Systeme der Einrichtungen verschlüsselt. „Erst nach einer Geldzahlung werden diese – im besten Fall – wieder freigegeben.“ Dies könne aber bereits schwerwiegende Folgen haben, etwa bei Organtransplantationen, die aus diesem Grund möglicherweise nicht durchgeführt werden können.

Mögliche Angriffe im Krisenfall besonders schwerwiegend

„Tatgruppen könnten Arztpraxen, Kliniken oder auch Hersteller von Gesundheitsprogrammen wie der ePA unter Druck setzen und Geld erpressen, indem sie Daten hacken und diese andernfalls mit dem Hinweis veröffentlichen, dass die Daten über diese Einrichtung abgefischt wurden, was das Vertrauen in diese Plattformen schwächen würde“, erläuterte Rüdiger.

Besonders kritisch wäre dies seiner Auffassung zufolge beispielsweise im Krisenfall, wenn Gesundheitsdaten von Soldaten oder auch Polizisten gesperrt oder gelöscht würden. Solche Angriffe könnten daher auch für staatliche Tätergruppen von Interesse sein, erklärte er weiter.

Ein weiteres Szenario sei möglich, in dem entsprechende Daten im Darknet landen und in großen Datenpaketen verkauft würden. „Man bräuchte diese dann nur nach Namen, E-Mail-Adressen oder ähnlichem – auch mit Künst­licher Intelligenz (KI) – zu durchsuchen und könnte zum Beispiel Prominente oder Politiker entsprechend gezielt unter Druck setzen“, erklärte Rüdiger.

Gestohlene Daten könnten für Marketingzwecke genutzt werden

Denkbar sei Rüdiger zufolge auch, dass gestohlene Gesundheitsdaten von Unternehmen beispielsweise zu Marke­tingzwecken gekauft werden, um Patienten mit bestimmten Erkrankungen gezielt mit entsprechenden „Wunder­mitteln“ anzusprechen. „Die Auswertung solcher Daten könnte für eine Vielzahl unterschiedlicher Unternehmen von Interesse sein“, sagte Rüdiger.

Daten könnten auch dazu genutzt werden, um sich als bekannte Praxis oder Krankenhaus auszugeben und das Opfer dazu zu bringen, entweder weitere Daten zu verraten oder zum Beispiel Überweisungen zu tätigen, erklärte Marian Kogler, IT-Experte und Gründer des Beratungsunternehmen für IT-Sicherheit Syret.

Ein Beispiel von gehackten Patientendaten sei 2020 in Finnland geschehen, erklärte Kogler weiter. Der Psychothe­rapie-Anbieter Vastaamo war damals offenbar aufgrund von unzureichenden IT-Sicherheitsvorkehrungen gehackt worden. Daten aus Patientenakten wurden gestohlen und der Anbieter entsprechend erpresst. Vastaamo ging zu­nächst nicht auf die Forderungen ein, so dass die Hacker die Patienten selbst erpressten.

Neben den spezifischen theoretischen Hackerangriffen könnte das gesamte System auch einen Vertrauensverlust erleiden, erklärte der Anwalt Vogel. „Sollte jetzt herauskommen, dass es bei der ePA Sicherheitslücken gibt, die möglicherweise hätten geschlossen werden können, nimmt das ganze Gesundheitssystem und der Staat Schaden, weil das Vertrauen der Bevölkerung weg ist.“ Bereits ein Fall von abgefischten Daten könnte zu einer großen Widerspruchswelle führen, so Vogel.

Wer steckt hinter möglichen Angriffen?

Grundsätzlich gebe es drei verschiedene Täterstrukturen, erläuterte Rüdiger von der Polizeihochschule. „Es gibt die individuelle Ebene, wenn jemand einer anderen Person, die er kennt, schaden will und sich entsprechende Informationen beschafft, zum Beispiel auch im Bereich Stalking/Nachstellung.“

Es gebe aber auch die Struktur der professionellen, organisierten Kriminalität, die man etwa aus dem Bereich des Handels mit Bank- und Kreditkartendaten und ähnlichen Delikten kenne. „Auch hier könnten Gesundheitsdaten entsprechend gehandelt werden.“

Drittens könnte es Rüdiger zufolge staatliche Angreifer geben, die beispielsweise Gesundheitsinformationen über hochrangige Politikerinnen und Politiker veröffentlichen wollen, um ihnen zu schaden. In Wahlkämpfen anderer Länder, etwa in den USA, könne der Gesundheitszustand von Politikern eine gewisse Relevanz haben.

Vogel ergänzte, dass Cyberangriffe auf Arztpraxen und Krankenhäuser häufig von spezialisierten Organisationen aus osteuropäischen Ländern, beziehungsweise Russland begangen werden. „Diese neue Möglichkeit, Erpressun­gen zu starten, wird immer häufiger genutzt. Den Gruppen geht es dabei vor allem um das Geld“, berichtet der Me­dizinstrafrechtsexperte.

Wie können mögliche Angriffe verhindert werden?

Um entsprechende Szenarien zu vermeiden, sollten bei solchen sensiblen Infrastrukturen schon in der Planungs­phase Sicherheit an oberster Stelle stehen und in der Implementierungsphase wiederholt externe Tests durchge­führt werden, betonte IT-Experte Kogler.

Dabei gefundene Schwachstellen sollten behoben werden, bevor es in den Echtbetrieb geht. „Im Echtbetrieb sollte ein kontinuierliches Monitoring erfolgen, um aktive Angriffe bemerken und neu aufgetauchte Schwach­stellen rasch beheben zu können“, so Kogler.

Rüdiger erklärte, aus seiner Sicht gebe es kein hundertprozentig sicheres System und keinen hundertprozentig wirksamen Schutz vor solchen Angriffen. „Es muss aber immer das Ziel sein, ein möglichst sicheres, verschlüssel­tes System aufzubauen.“

Auf der technischen Ebene sollten die Systeme regelmäßig daraufhin überprüft werden, ob sie noch ausreichend geschützt seien. Rüdiger betonte, es müsse stets auf lückenlose Protokollierung geachtet werden, wer wann auf welche Daten zugegriffen habe.

Darüber hinaus sei Rüdiger zufolge die digitale Bildung aller Beteiligten unerlässlich. „Die Erfahrung zeigt, dass viele IT-Angriffe gerade wegen mangelnder Sensibilität und Aufklärung der Mitarbeiterinnen und Mitarbeiter er­folgreich sein können. Deshalb brauchen wir generell eine digitale Grundbildung, um die Gesellschaft resilienter gegen solche Angriffe zu machen.“

In seinen Augen müssten zudem alle, die mit der elektronischen Patientenakte zu tun haben, wissen, wie solche Angriffe aussehen können und wie man mit solch sensiblen Daten vorsichtig umgehe. „Dabei ist aber bereits jetzt zu berücksichtigen, dass auch Tatgruppen in Zukunft verstärkt künstliche Intelligenz einsetzen werden, was die Angriffsformen, aber auch die Nutzung gerade großer Datensätze noch effizienter machen könnte.“

Entsprechend müssten auch die Schutzmaßnahmen laufend überprüft und angepasst werden, empfiehlt der Cybersicherheitsexperte. Die geschilderten Szenarien könnten Rüdiger zufolge bereits relativ gut strafrechtlich erfasst werden. Dies decke verschiedene Datendelikte über Computerbetrug bis hin zur Erpressung ab.

cmk

Diskutieren Sie mit:

Diskutieren Sie mit

Werden Sie Teil der Community des Deutschen Ärzteblattes und tauschen Sie sich mit unseren Autoren und anderen Lesern aus. Unser Kommentarbereich ist ausschließlich Ärztinnen und Ärzten vorbehalten.

Anmelden und Kommentar schreiben
Bitte beachten Sie unsere Richtlinien. Der Kommentarbereich wird von uns moderiert.

Es gibt noch keine Kommentare zu diesem Artikel.

Newsletter-Anmeldung

Informieren Sie sich täglich (montags bis freitags) per E-Mail über das aktuelle Geschehen aus der Gesundheitspolitik und der Medizin. Bestellen Sie den kostenfreien Newsletter des Deutschen Ärzteblattes.

Immer auf dem Laufenden sein, ohne Informationen hinterherzurennen: Newsletter Tagesaktuelle Nachrichten

Zur Anmeldung