BR24 Logo
BR24 Logo
Startseite
© pa/Tetra Images
Bildrechte: pa/Tetra Images

Symbolbild: Arztpraxis und Computer

21
Per Mail sharen

    IT-Sicherheitslücken in Arztpraxen entdeckt

    Kurz vor Start der elektronischen Patientenakte haben IT-Sicherheitsexperten gravierende Sicherheitslücken in Arztpraxen gefunden. Der Präsident des Bayerischen Landesamts für Datenschutzaufsicht zeigt sich besorgt.

    21
    Per Mail sharen
    Von
    • Hakan Tanriverdi
    • Maximilian Zierer
    • Jasmin Klofta (NDR)

    Welche Blutwerte hat die Patientin? Welche Medikamente nimmt sie? Wie sind frühere Behandlungen verlaufen? Informationen wie diese können ab dem neuen Jahr digital übermittelt werden. Ab 2021 haben gesetzlich Versicherte ein Anrecht auf die elektronische Patientenakte (ePA). Die Einführung beginnt mit einer Testphase ab Januar. Die Vernetzung des Gesundheitswesens ist eines der größten Digitalisierungsprojekte der laufenden Legislaturperiode, stark vorangetrieben durch Gesundheitsminister Jens Spahn.

    Für die ePA wurde in den vergangenen Jahren ein Gesundheitsdatennetzwerk aufgebaut, die sogenannte Telematik-Infrastruktur, die Arztpraxen, Apotheken, Krankenhäuser und bald auch Pflegeheime vernetzt. Für den Anschluss an das gesicherte Netz braucht es sogenannte TI-Konnektoren, kleine Geräte, vergleichbar mit einem Internetrouter. Die Telematik-Infrastruktur gilt als besonders sicher – das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einem "angemessen hohen Schutzniveau". Doch der Konnektor kann zur Schwachstelle werden.

    Sicherheitslücken beim Anschluss

    IT-Sicherheitsexperten haben nach Informationen von BR und NDR gravierende Sicherheitslücken beim Anschluss der Konnektoren entdeckt, noch kurz vor Einführung der ePA. In etwa 200 Fällen waren Konnektoren offen über das Internet erreichbar, zu finden mit "trivialen Methoden", wie Christoph Saatjohann von der Fachhochschule Münster erklärt: "Das heißt auch für nicht versierte Benutzer wäre es möglich gewesen, solche Konnektoren im Internet ausfindig zu machen."

    In etwa 30 Fällen hätten Hacker der Telematik-Infrastruktur sogar vortäuschen können, eine Arztpraxis zu sein – und damit Zugriff auf alle Patientenakten der Praxis bekommen, ohne Passwortschutz: "Wir könnten Arztbriefe sehen, Diagnosebefunde, Röntgenbilder, quasi alle Daten, die dort in dieser ePA gespeichert sind, was ja im Zweifelsfall eine komplette Historie der Krankheitsgeschichte der Patienten darstellt", sagt Saatjohann. Die IT-Sicherheitsexperten haben ihre Ergebnisse mit Journalisten von BR und NDR geteilt, das Reporterteam hat die beschriebenen Sicherheitslücken Anfang Dezember technisch nachvollzogen. Betroffen wären potentiell tausende Patienten.

    Darüber hinaus werden die Experten ihre Ergebnisse im Dezember auf einer Online-Konferenz des Chaos Computers Clubs präsentieren, der "remote Chaos Experience".

    "Besorgniserregende Nachricht"

    Der Präsident des Bayerischen Landesamts für Datenschutzaufsicht, Michael Will, spricht im Interview mit BR und NDR von einer "besorgniserregenden Nachricht". Man müsse sehr genau analysieren, welches Fehlverhalten zu den Datenschutzlücken geführt habe. Sein Anspruch an das digitalisierte Gesundheitswesen: "Es muss sicher sein, es muss die Patientendaten vor Zugriffen Dritter bewahren."

    Gematik warnt vor fehlerhaftem Betrieb

    Die für die Telematik-Infrastruktur zuständige Betreibergesellschaft Gematik teilt auf Anfrage mit, man sei im Juli von den IT-Sicherheitsexperten auf fehlerhaft angeschlossene Konnektoren hingewiesen worden. Man habe die Ergebnisse "sehr ernst genommen und unverzüglich Kontakt zu den beteiligten IT-Dienstleistern aufgenommen". In einer E-Mail an die Hersteller der Konnektoren, die dem Reporterteam vorliegt, wies die Gematik vor wenigen Wochen "nochmals eindrücklich" auf die Schwachstelle hin. Bei einem fehlerhaften Anschluss sei der Zugriff auf die elektronische Patientenakte für einen Angreifer "mit geringem Aufwand" möglich. Nach Recherchen von BR und NDR waren bis Mitte Dezember immer noch einzelne Konnektoren offen im Internet erreichbar.

    Das BSI erklärte auf Anfrage von BR und NDR, Kliniken und Ärzte trügen "eine besondere Verantwortung" für ihre IT, da sie Patientendaten verarbeiten, die "zu den intimsten Daten gehören, die über einen Menschen erfasst werden können". Weiter heißt es: "Die IT-Sicherheit in Arztpraxen sollte insgesamt erhöht werden." Ein Sprecher des Bundesgesundheitsministeriums teilte auf Anfrage mit, Jens Spahn unterstütze Bestrebungen, die Informationssicherheit weiter zu stärken.

    IT-Sicherheitsrichtlinie kommt erst 2021

    Eine Richtlinie der Kassenärztlichen Bundesvereinigungen soll IT-Sicherheitsanforderungen in Praxen verbindlich regeln und etwa dafür sorgen, dass nur zertifizierte Fachleute die Praxen an die Telematik-Infrastruktur anschließen. Das Problem: Die Richtlinie tritt frühestens im Januar 2021 in Kraft, in einigen zentralen Sicherheitsanforderungen wohl sogar erst ab 2022, wie aus einem internen Entwurf hervorgeht, der BR und NDR vorliegt. Bislang scheiterte die Richtlinie am Widerstand der Kassenärztlichen Bundesvereinigung, die zusätzliche Kosten für Praxen fürchtete. Der Großteil der 168.000 Arztpraxen ist bereits an die Telematik-Infrastruktur angeschlossen.

    Das Bundesgesundheitsministerium teilte auf Anfrage mit, dass die Einführung der ePA "planmäßig" starten könne. Die Gematik werde in Zukunft regelmäßig eigene Sicherheitstests durchführen, um Fehlkonfigurationen frühzeitig zu erkennen.

    "Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!