Vivy & Co auf dem Prüfstand
Wie sicher sind die elektronischen Patientenakten?
Schon einfache Hackerangriffe lassen die Sicherheitskonzepte aktueller E-Gesundheitsakten zusammenbrechen, wie beim Kongress des Chaos Computer Clubs deutlich wurde – und erklärt, wie es besser geht.
Veröffentlicht:
E-Akten waren das Ziel simulierter Hackerangriffe.
© maxkabakov - Fotolia
LEIPZIG. Die Gesundheitsdaten millionen Deutscher sollen künftig in einer E-Patientenakte (ePA) online abrufbar sein. Jedoch mache das hohe Tempo des Bundesgesundheitsministeriums die Versicherten zu Betatestern in Sachen Datenschutz, meint IT-Experte Martin Tschirsich.
Er deckte auf der Konferenz des Chaos Computer Clubs (CCC) in Leipzig Ende 2018 kritische Sicherheitslücken in bereits gestarteten Akten-Angeboten auf. Seine Forderungen: Ärzte und IT-Experten einbinden, Daten dezentral speichern und gemeinsam ergründen, wie man zukünftig mit Gesundheitsdaten umgehen wolle.
E-Akten im Sicherheitscheck
Ins Visier nahm Tschirsich zunächst die 2018 gelaunchte Gesundheitsakte „Vivy“ von DAK, Allianz sowie Betriebs- und Innungskrankenkassen. Direkt nach dem Start riet ein IT-Experte wegen Datenschutzmängeln von der App ab. Tschirsich wies später weitere Sicherheitsmängel nach.
Bei Vivy könne der Patient Dokumente in eine Cloud laden, wofür ein Onlinelink mit einem fünfstelligen Buchstabencode generiert wird, etwa https://vivy.com/abcde (sogenannte Session-ID). Der Patient gebe den Link dem Arzt weiter, dieser könne damit auf die Daten zugreifen. Den Code könne er mithilfe eines Programms innerhalb eines Tages knacken, sagte Tschirsich.
Er erhalte dann Zugriff auf Namen und Adresse des Versicherten sowie des behandelnden Arztes. Auch die vierstellige PIN zum Dokumentenabruf sei dann zügig herauszufinden, man müsse nur „schneller sein als der Arzt“. Die Mängel habe er den Vivy-Betreibern mitgeteilt. Doch trotz Änderungen bleibe die App weiterhin angreifbar.
Auch andere E-Akten wiesen Mängel auf, so etwa „TK-Safe“ (Techniker Krankenkasse), „CGM Life“ (CompuGroup), „gesundheitsakte.de“ und „vitabook“ sowie die Plattformen der Telemedizin-Anbieter TeleClinic, DocDirekt oder meinarztdirekt.de.
Bei Letztgenanntem konnte sich Tschirsich eine Rechnung, deren Anzeige sein Internetbrowser noch verweigerte, ausdrucken lassen. TK-Safe (Betaphase) speicherte den Zugangsschlüssel mit QR-Code in der Bildergalerie des Smartphones und sei damit teils öffentlich zugänglich.
CGM Life nutze mit der Zwei-Faktor-Authentifizierung ein modernes Sicherheitskonzept, jedoch sei damit nur einer von zwei möglichen Onlinezugängen ausgerüstet. Tschirsich gab zu, es sei schwierig, neue Schutzmechanismen richtig zu implementieren.
Dezentrale Speicherung favorisiert
Hierzulande beschäftigt Ärzte das Thema Cybersicherheit auch mit Blick auf den jüngsten Angriff auf Politiker und Prominente. Dieser sei „ein Albtraum“, sagte KBV-Chef Dr. Andreas Gassen. Beim Datenschutz sei jeder einzelne Nutzer gefragt.
Tschirsich gab beim CCC-Kongress zu bedenken: Gesundheitsdaten seien keine Bankdaten. Bei Datenlecks entstehe nicht nur ein finanzieller, sondern vor allem ein gesellschaftlicher Schaden – über Generationen hinweg. Wie sicher werden die mit heutiger Technologie geschützten Daten in 20 Jahren noch sein? Tschirsichs Lösung: dezentral speichern!
Zudem sei Sicherheit ein Wettbewerbsnachteil, weshalb Lücken nicht oder zu spät gemeldet würden. Laut einer Befragung der Beratungsgesellschaft PwC befürworten 78 Prozent der Deutschen eine solche gesetzliche Meldepflicht bei der zuständigen Behörde im Falle eines Cyberangriffs.
Schluss mit Faxen
Zum Thema eGK sagte Tschirsich, dort sei zwar ein privater Schlüssel enthalten, der Sicherheit schafft. Aber er bezweifle, dass der Zugang via Kartenleser in der Breite genutzt werde. Dringend abzuraten sei definitiv vom Faxgerät, kritisierten zwei IT-Experten auf dem CCC-Kongress. Dessen technisches Protokoll sei auf dem Stand von 1980 stehengeblieben.
Weiter geht es indessen mit der E-Patientenakte der gematik, deren bundesweite Einführung bis 2021 geplant ist. Bis zum 30. April 2019 soll eine Spezifikation 1.1 vorliegen, die Mobilzugang und Krankenkassenbereich regelt.
Sicherheitsprobleme gebe es auch in anderen Ländern, die E-Akten bereits intensiv nutzen. In Norwegen beispielsweise hätten sich 2018 Unbekannte über die IT einer Gesundheitsbehörde Zugriff auf die Daten von drei Millionen Patienten verschafft. Und 2016 landeten zwei Datenträger mit beinahe sämtlichen medizinischen Daten der dänischen Bevölkerung versehentlich bei der chinesischen Visumstelle in Kopenhagen.
