Nächstes Jahr kommt die elektronische Patientenakte. Das Bundesministerium für Gesundheit ist von ihrer Sicherheit „absolut überzeugt“. Der Chaos Computer Club (CCC) sieht das jedoch anders. Im Rahmen der Menschenrechtswoche 2020 berichtete Martin Tschirsich vom CCC darüber, wie er und sein Team sich dennoch Zugang zu Patientenakten verschaffen konnten. Die Mittel sind erstaunlich einfach.
Laut dem Bundesverband für Vertragspsychotherapeuten BVVP sei die elektronische Patientenakte „gegen Angriffe von außen und den Missbrauch von Daten bestmöglich geschützt.” Martin Tschirsich ist Information Security Analyst beim Chaos Computer Club (CCC). Er referierte in seinem Vortrag im Rahmen der Menschenrechtswoche über die Sicherheitslücken, die die elektronischen Patientenakte trotz allem habe und die unzureichenden Regelungen des Patientendaten-Schutz-Gesetzes, das eigentlich einem Missbrauch vorbeugen sollte.
Die elektronische Patientenakte (ePA) enthält Kopien aller medizinischen Dokumente eines*einer Versicherten, also beispielsweise Untersuchungsergebnisse oder Aufzeichnungen des Psychotherapeuten. Der*die Versicherte soll dabei die volle Kontrolle haben: Er*sie kann die Daten für eine bestimmte Zeit für eine Arztpraxis oder auch die Versicherung freigeben. Doch sind die Daten auch sicher? Um dies festzustellen, definiert Tschirsich vier Schutzziele: Vertraulichkeit, das heißt die Daten dürfen Dritten nicht offenbart werden. Integrität, also die Vermeidung von Datenmanipulation. Authentizität, die sicherstellen soll, dass die Daten auch wirklich zu einer bestimmten Person gehören. Und Verfügbarkeit, das heißt, dass das System nicht ausfallen darf.
Falsche Ausweise auf einfachen Wegen
Die sogenannte Telematik-Infrastruktur vernetzt alle Akteure, also beispielsweise Ärzte und Anbieter, die die Akten speichern. Zugang bekommt man mithilfe einer PIN, die man mit der Gesundheitskarte, dem Praxisausweis oder dem Heilberufsausweis beantragen kann. Dadurch soll sichergestellt werden, dass die Daten nur von dazu autorisierten Personen eingesehen werden können. Eine zuverlässige Identifizierung ist also Dreh-und Angelpunkt der Gewährleistung der Datensicherheit. Nur sei eben genau diese nicht gegeben. Der Chaos Computer Club habe gezeigt, dass es möglich ist, sich alle drei der oben genannten Ausweise zu „erschleichen”, erklärt Tschirsich. Mit Zustimmung eines befreundeten Arztes hat sich das Team des CCC einen Institutionsausweis auf dessen Namen schicken lassen. Dafür musste sie dem Kartenherausgeber lediglich Name, Betriebsstättennummer, Arztnummer und das Geburtsdatum nennen, sowie angeben, ob es sich um einen Arzt oder Psychotherapeuten handelt. Alles Daten, die sich meist auf der Internetseite oder den Rezepten eines Arztes oder einer Ärztin finden.
Mit dieser Karte könnten die Hacker nun ab 2021 auf alle für die Praxis freigegebenen Patientenakten zugreifen.
Im Fall des Heilberufsausweises sei das Unterfangen sogar noch einfacher. Einige Anbieter werben hier explizit damit, dass das Identifikationsverfahren übersprungen werden und die Beantragung eines Ausweises somit komfortabler ausgeführt werden könne – damit aber eben auch sehr viel unsicherer. Eine von einem Rezept kopierte Unterschrift genüge, um einen Ausweis zu erhalten, erklärt Tschirsich: 31% der Heilberufsausweise seien auf einem solch unsicheren Weg schon herausgegeben worden. Gesundheitskarten von Einzelpersonen ließen sich fast ebenso einfach durch eine Verlustmeldung und vorherige telefonische Adressänderung beschaffen. In Zukunft könne man auf diese Weise also die Gesundheitsdaten des Nachbarn herausfinden, scherzte Tschirsich. Sein Fazit:
„Das System kann so sicher sein wie es will, es funktioniert nicht, wenn keine Identifikation stattfindet.”
Auch neue Gesetze helfen nicht viel
Bereits 2015 hat der CCC die Sicherheitslücken der Telematik-Infrastruktur publik gemacht. In einem eindrücklichen Bericht in Zusammenarbeit mit NDR und dem Spiegel wurden Praxisausweise an Käsetheken geliefert. Die Forderung, dann solle sich eben der Chaos Computer Club darum kümmern, lehnte dieser ab: Dafür seien sie nicht zuständig.
Nun ist das Patientendaten-Schutz-Gesetz geplant, doch auch dieses beurteilt der CCC als vollkommen unzureichend.
Es sieht vor, dass der Zugriff auf Daten mit der elektronischen Gesundheitskarte erst dann erfolgen soll, wenn Gesundheitskarte oder PIN „mit einem sicheren Verfahren” persönlich zugestellt, übergeben oder an eine zuvor im Melderegister bestätigte Adresse versendet wurde oder wenn der*die Versicherte und die bereits ausgegebene Gesundheitskarte nachträglich sicher identifiziert werden. Tschirsich machte hier darauf aufmerksam, wie Gesundheitskarte und PIN ausgegeben werden und so bestimmte Arten der Identifikation umgangen werden könnten. Eine „persönliche Zustellung” lasse sich zum Beispiel nicht sicherstellen: Selbst ein Einschreiben könne mit gefälschter Vollmacht bei der Post abgeholt werden. Der Ansatz, die Karte an die Meldeadresse des*der Versicherten zu schicken, sei zwar an sich gut, könne aber durch einen Nachsendeauftrag ebenfalls umgangen werden. Die dritte Möglichkeit, also die nachträgliche Identifikation, ist laut Tschirsich die einzig sichere und somit sinnvolle Herangehensweise.
In der jetzigen Form könne man das Patientendaten-Schutz-Gesetz also abschreiben.
Tschirsich fasste zusammen, dass man mit dem jetzigen Konzept keines der vier Schutzkonzepte Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit einhalten könne. Er sei nicht zuversichtlich, dass die Sicherheitslücken bis zur Einführung der elektronischen Patientenakte behoben werden könnten. Der CCC werde sich aber weiterhin als Sachverständiger einbringen und aktiv gegen die Umsetzung des Plans in dieser Form steuern.
Foto: Pixabay