Datenschutz: Jeder Einzelne ist in der Pflicht

 Vor dem Hintergrund des Datendiebstahls und der Veröffentlichung sensibler Daten von Prominenten auf dem Kurznachrichtendienst Twitter ist auch der Gesundheits­bereich erneut in den Fokus der Diskussion gerückt, denn der digitale Datenaustausch und die Entwicklung elektronischer Patientenakten sind zentrale Themen der aktuellen Gesundheitspolitik.

„Diese Geschehnisse zeigen deutlich, dass Digitalisierung kein Allheilmittel ist. Und nur, weil wir Dinge hinterfragen, sind wir nicht automatisch Blockierer, wie uns gerne von der Politik vorgeworfen wird“, kommentierte Andreas Gassen, Vorstands­vorsitzender der Kassenärztlichen Bundesvereinigung (KBV) die Vorfälle. Zugleich wandte er sich damit auch gegen Äußerungen der Staatsministerin für Digitalisierung, Dorothee Bär. Diese hatte vor dem Jahreswechsel in einem Interview mit der Welt am Sonntag für Abstriche am Datenschutz im Gesundheitswesen plädiert und unter anderem erklärt, es gebe Mediziner, die jedwede Digitalisierung ablehnten, weil sie sich vor Transparenz fürchteten.

IT-Sicherheit beginnt beim Nutzer

„Diese Art von Transparenz, wie sie jetzt durch Hacker geschaffen worden ist, kann die Staatsministerin nicht gemeint haben“, kritisierte Gassen. Die niedergelassene Ärzte­schaft unterstütze die Digitalisierung dort, wo sie für Praxen und Patienten nützlich ist. Doch bei Gesundheitsdaten handele es sich um sehr sensible Angaben. „An die Adresse der digitalbegeisterten Politiker sei gesagt: Wollen Sie irgendwann ihre Gesundheits­daten in den Medien wiederfinden?“ Zunächst gelte es, ein leistungs­fähiges Netz in Deutschland zu schaffen. Es reiche nicht, Digitalisierung ohne Konzepte zu fordern. Aus Sicht des KBV-Chefs fängt die IT-Sicherheit zudem beim Nutzer an: „Jeder einzelne von uns ist hier gefragt: Wir sollten sinnvoll und sparsam mit unseren digital veröffent­lichten Daten umgehen.“

Der Bayerische Fachärzteverband sprach sich darüber hinaus dafür aus, Patientendaten nur dezentral zu speichern. Wenn einfache Hackerangriffe die Sicherheitskonzepte der Gesundheits-Apps und digitalen Plattformen von Vivy und Co knacken könnten, würden immense Datenschutzprobleme drohen, wenn erst einmal alle Gesundheitsdaten der Bevölkerung zentral gespeichert und online abrufbar sein sollten, so die Befürchtung des Verbands. Er verwies zudem auf den Kongress des Chaos Computer Clubs in Leipzig, bei dem der Informatiker Martin Tschirsich in einem Vortrag („All Your Gesundheitsakten Are Belong To Us“) auf verschiedene Sicherheitsmängel einiger auf dem Markt oder in der Erprobung befindlichen elektronischen Aktenlösungen und Online-Videosprechstunden aufmerksam gemacht hatte.

Transparenz herstellen hinsichtlich Sicherheitslücken

So hatte der Informatiker unter anderem bei der Gesundheitsakte „Vivy“ unzureichende Session-IDs bei der Datenübertragung, zu einfache PIN und Schwächen bei der Abwehr von Phishing bemängelt. Auch könnte ein Vivy-Nutzer laut Tschirsich mit Schad­software versehene Dokumente an den Arzt senden und den Rechner, wenn der Link geöffnet werde, korrumpieren und ausspähen. Die meisten Fehler wurden inzwischen zwar behoben.

Grundsätzliche Probleme sieht der Experte jedoch darin, dass Penetrationstests bei Gesundheits-Apps häufig zu spät durchgeführt werden und dass es keine Transparenz hinsichtlich vorliegender Sicherheitsmängel gibt, da diese nicht an Aufsichtsbehörden gemeldet werden müssen. Sicherheit sei ein Wettbewerbs­nachteil, meinte der Experte. Zertifikate könnten diese Probleme nicht beheben, so Tschirsich.

„Sicherheit lebt vom Mitmachen, denn jede Sicherheitskette ist nur so stark wie ihr schwächstes Glied“, betonte auch der Digitalverband Bitkom in einer Stellungnahme. Die Unternehmen seien gefordert, ihre Produkte zu härten und ihr Personal in puncto IT-Sicherheit zu schulen. Die Politik müsse den Rechtsrahmen so optimieren, dass eine Ende-zu-Ende-Verschlüsselung möglich bleibe. Behörden seien zu verpflichten, Sicherheitslücken umgehend an die betroffenen Unternehmen zu melden, anstatt sie offen zu halten, um sie selbst als Backdoors nutzen zu können.

Vorhandene Sicherheitsinstrumente nutzen

Ähnlich wie KBV-Chef Gassen sieht der Digitalverband auch die Nutzer in der Pflicht: „Jeder Einzelne von uns ist gefordert, verfügbare Sicherheitsinstrumente wie starke Passwörter, Virenscanner, Firewalls sowie regelmäßige Updates aktiv zu nutzen.“ Besonderen Schutz biete dabei die Zwei-Faktor-Authentifizierung.