Ärzte Zeitung online, 11.01.2019

Vivy & Co auf dem Prüfstand

Wie sicher sind die elektronischen Patientenakten?

Schon einfache Hackerangriffe lassen die Sicherheitskonzepte aktueller E-Gesundheitsakten zusammenbrechen, wie beim Kongress des Chaos Computer Clubs deutlich wurde – und erklärt, wie es besser geht.

Von Daniel Burghardt

006a1101_8241169-A.jpg

E-Akten waren das Ziel simulierter Hackerangriffe.

© maxkabakov - Fotolia

LEIPZIG. Die Gesundheitsdaten millionen Deutscher sollen künftig in einer E-Patientenakte (ePA) online abrufbar sein. Jedoch mache das hohe Tempo des Bundesgesundheitsministeriums die Versicherten zu Betatestern in Sachen Datenschutz, meint IT-Experte Martin Tschirsich.

Er deckte auf der Konferenz des Chaos Computer Clubs (CCC) in Leipzig Ende 2018 kritische Sicherheitslücken in bereits gestarteten Akten-Angeboten auf. Seine Forderungen: Ärzte und IT-Experten einbinden, Daten dezentral speichern und gemeinsam ergründen, wie man zukünftig mit Gesundheitsdaten umgehen wolle.

E-Akten im Sicherheitscheck

Ins Visier nahm Tschirsich zunächst die 2018 gelaunchte Gesundheitsakte „Vivy“ von DAK, Allianz sowie Betriebs- und Innungskrankenkassen. Direkt nach dem Start riet ein IT-Experte wegen Datenschutzmängeln von der App ab. Tschirsich wies später weitere Sicherheitsmängel nach.

Bei Vivy könne der Patient Dokumente in eine Cloud laden, wofür ein Onlinelink mit einem fünfstelligen Buchstabencode generiert wird, etwa https://vivy.com/abcde (sogenannte Session-ID). Der Patient gebe den Link dem Arzt weiter, dieser könne damit auf die Daten zugreifen. Den Code könne er mithilfe eines Programms innerhalb eines Tages knacken, sagte Tschirsich.

Er erhalte dann Zugriff auf Namen und Adresse des Versicherten sowie des behandelnden Arztes. Auch die vierstellige PIN zum Dokumentenabruf sei dann zügig herauszufinden, man müsse nur „schneller sein als der Arzt“. Die Mängel habe er den Vivy-Betreibern mitgeteilt. Doch trotz Änderungen bleibe die App weiterhin angreifbar.

Auch andere E-Akten wiesen Mängel auf, so etwa „TK-Safe“ (Techniker Krankenkasse), „CGM Life“ (CompuGroup), „gesundheitsakte.de“ und „vitabook“ sowie die Plattformen der Telemedizin-Anbieter TeleClinic, DocDirekt oder meinarztdirekt.de.

Bei Letztgenanntem konnte sich Tschirsich eine Rechnung, deren Anzeige sein Internetbrowser noch verweigerte, ausdrucken lassen. TK-Safe (Betaphase) speicherte den Zugangsschlüssel mit QR-Code in der Bildergalerie des Smartphones und sei damit teils öffentlich zugänglich.

 CGM Life nutze mit der Zwei-Faktor-Authentifizierung ein modernes Sicherheitskonzept, jedoch sei damit nur einer von zwei möglichen Onlinezugängen ausgerüstet. Tschirsich gab zu, es sei schwierig, neue Schutzmechanismen richtig zu implementieren.

Dezentrale Speicherung favorisiert

Hierzulande beschäftigt Ärzte das Thema Cybersicherheit auch mit Blick auf den jüngsten Angriff auf Politiker und Prominente. Dieser sei „ein Albtraum“, sagte KBV-Chef Dr. Andreas Gassen. Beim Datenschutz sei jeder einzelne Nutzer gefragt.

Tschirsich gab beim CCC-Kongress zu bedenken: Gesundheitsdaten seien keine Bankdaten. Bei Datenlecks entstehe nicht nur ein finanzieller, sondern vor allem ein gesellschaftlicher Schaden – über Generationen hinweg. Wie sicher werden die mit heutiger Technologie geschützten Daten in 20 Jahren noch sein? Tschirsichs Lösung: dezentral speichern!

Zudem sei Sicherheit ein Wettbewerbsnachteil, weshalb Lücken nicht oder zu spät gemeldet würden. Laut einer Befragung der Beratungsgesellschaft PwC befürworten 78 Prozent der Deutschen eine solche gesetzliche Meldepflicht bei der zuständigen Behörde im Falle eines Cyberangriffs.

Schluss mit Faxen

Zum Thema eGK sagte Tschirsich, dort sei zwar ein privater Schlüssel enthalten, der Sicherheit schafft. Aber er bezweifle, dass der Zugang via Kartenleser in der Breite genutzt werde. Dringend abzuraten sei definitiv vom Faxgerät, kritisierten zwei IT-Experten auf dem CCC-Kongress. Dessen technisches Protokoll sei auf dem Stand von 1980 stehengeblieben.

Weiter geht es indessen mit der E-Patientenakte der gematik, deren bundesweite Einführung bis 2021 geplant ist. Bis zum 30. April 2019 soll eine Spezifikation 1.1 vorliegen, die Mobilzugang und Krankenkassenbereich regelt.

Sicherheitsprobleme gebe es auch in anderen Ländern, die E-Akten bereits intensiv nutzen. In Norwegen beispielsweise hätten sich 2018 Unbekannte über die IT einer Gesundheitsbehörde Zugriff auf die Daten von drei Millionen Patienten verschafft. Und 2016 landeten zwei Datenträger mit beinahe sämtlichen medizinischen Daten der dänischen Bevölkerung versehentlich bei der chinesischen Visumstelle in Kopenhagen.

Weitere Beiträge aus diesem Themenbereich
[11.01.2019, 09:53:57]
dieter matthaei 
Verweigerung von Patienten
Nach der kürzlichen Veröffentlichung von Daten durch einen Hacker haben sogar hohe Politiker ihre Aktivitäten in den online-Medien (facebook, Whatsapp) aufgekündigt.
Es wäre einmal interessant, wie groß die Anzahl der Patienten ist, die bei der elektronischen Patientenakte nicht mit machen wollen. Wie sind deren Rechte gegenüber den Versicherungen? zum Beitrag »

Schreiben Sie einen Kommentar

Überschrift

Text

Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

NEU als Themen abonnierbar: Frauengesundheit und Kindergesundheit

Doping nicht nur im Spitzensport

Bei Doping denken viele an gefallene Stars. Aber der Sport ist ein Abbild der Gesellschaft. Auch viele Breitensportler greifen zu unerlaubten Mitteln. mehr »

Warten auf den Arzt

Wie lange die Wartezeit in einer Arztpraxis beträgt, hängt nicht nur mit dem Fachgebiet des Arztes zusammen, sondern auch mit der Versicherung und dem Standort, so eine Patientenbefragung. Wer wartet wo wie lange? mehr »

Vorstufe für Bundespflegekammer

Die Pflegekräfte wollen mehr Einfluss – nun haben sie die Vorstufe für eine Bundespflegekammer gegründet. Sie wollen damit ihre Position gegenüber Ärzten stärken. mehr »