Nach Problemen mit - teils unterstützten - Gesundheits-Apps, wie Vivy, gibt es nun Berichte über die Unsicherheit der elektronischen Gesundheitskarte (eGK) und der elektronischen Patientenakte.
Begonnen hat das Projekt der elektronischen Vernetzung von Leistungserbringern und Patienten eigentlich vor fast zwanzig Jahren. Die Idee damals war, Daten auf der damals neuen elektronischen Gesundheitskarte zu speichern. Die Idee wurde durch die Planung einer umfassenden IT-Infrastruktur abgelöst, durch die Arztpraxen, Apotheken, Krankenhäuser, Krankenkassen und weitere Beteiligte vernetzt werden sollten. Die Telematik-Infrastruktur wurde in den 2000er-Jahren als VPN (Virtuelles privates Netzwerk) konzipiert, in dem die Patientendaten verschlüsselt auf zentralen Servern weniger Anbieter gespeichert werden. Die Gesundheitskarte dient zur Authentifizierung. Folglich benötigen alle Teilnehmer einen speziellen VPN-Router, der u.a. einen Sicherheitschip mit Zertifikatsinformationen enthält. Nicht vorgesehen war ohne die spezielle Hardware - beispielsweise über mobile Endgeräte - auf die Infrastruktur zuzugreifen. Man sieht hier schon deutlich, dass das Konzept inzwischen überholt ist. Trotzdem wurde die Infrastruktur 2015 verbindlich eingeführt. Hackern des CCC ist es gelungen, sich Zugangsberechtigungen für das Telematik-Netzwerk zu verschaffen [1] und grobe Mängel in den Zugangsprozessen feststellen. Damit wurden wiederholt Schwachstellen der eGK entdeckt und teils auf Congressen vorgestellt [2]. Aktuell sind über 115.000 Praxen angeschlossen.
Bei der Umsetzung in den Praxen kam es zu etlichen Problemen: bestehende Schutzmechanismen, wie Firewalls und Virenscanner, wurden abgeschalten und Praxen ohne Schutzmaßnahmen erstmals ans Internet angeschlossen. Eigentlich sollte beim Konnektor eine eingebaute Firewall die Praxen schützen, jedoch ist dies nur mit einem zusätzlichen kostenpflichtigen Secure-Internet-Service möglich, der natürlich nur in den wenigsten Praxen eingesetzt wird. Besonders kritisch ist dies, nachdem zuletzt auch einige Krankenhäuser offline gehen mussten. In der Zwischenzeit kamen zertifizierte Konnektoren in Rechenzentren auf, wodurch sich die Frage stellt, wieso eine dezentrale Lösung in den Praxen überhaupt benötigt wird. Ferner besteht das Problem, dass das Zertifikat auf dem Konnektor spätestens alle fünf Jahre abläuft und nicht verlängert werden kann. Folglich muss die Hardware ausgetauscht werden.
Die patientengeführte elektronische Patientenakte (ePA) soll ab Anfang 2021 sensible Gesundheitsdaten enthalten. Die Akte selbst ist (noch) freiwillig, wodurch es von Relevanz ist, wo sie denn gespeichert wird. Laut Bundesdruckerei und iRights.Lab sollen die Daten am besten auf einer neutralen Treuhänder-Plattform gespeichert werden. Der Treuhänder soll zusätzlich die Aufgabe übernehmen, pseudonymisierte Daten für die Forschung bereitzustellen. Forscher sollen zukünftig die Gesundheitsdaten nutzen können, ohne um Erlaubnis fragen zu müssen. Ärzte, die nicht gewillt sind, sich zu vernetzen, sollen weniger Honorar bekommen.
Insgesamt zeigt sich, dass die Lösungen - inklusive der Sicherheitsmaßnahmen - veraltet sind.
[1] https://www.ccc.de/en/updates/2019/neue-schwachstellen-gesundheitsnetzwerk
[2] https://media.ccc.de/search/?q=gesundheit