Report: Chronischer Sicherheitsmangel bei E-Health
Erfolgreiche Cyberattacken auf Krankenhäuser und Sicherheitslücken in zugelassenen Gesundheitsapps lassen nur eine Diagnose zu: Die Security im digitalen Gesundheitswesen krankt.
Große Pläne für die Digitalisierung im Gesundheitswesen
Die Digitalisierung verändert das Gesundheitswesen: Patientinnen und Patienten informieren sich im Internet und nutzen Wearables und Apps, um Gesundheitsdaten zu erfassen und auszuwerten. Ärztinnen und Ärzte bieten Rat und Hilfestellungen via Internet an, und Patientinnen und Patienten nehmen diese Dienstleistungen zunehmend in Anspruch. Leistungserbringer greifen die Digitalisierung auf und treiben sie voran, berichtet das Bundesgesundheitsministerium.
Mit dem Programm „Digitale Gesundheit 2025“ sind eine Vielzahl von Projekten verknüpft, wie die Einführung der elektronischen Patientenakte (ePA), die Einführung des elektronischen Rezeptes (E-Rezept), die Schaffung eines neuen Zugangs für digitale Gesundheitsanwendungen (DiGA beziehungsweise „App auf Rezept“) und das Voranbringen der Telemedizin.
Security und Compliance spielen dabei eine besondere Rolle. Das Bundesgesundheitsministerium nennt das Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen (E-Health-Gesetz), das Terminservice- und Versorgungsgesetz (TSVG), das Gesetz für mehr Sicherheit in der Arzneimittelversorgung (GSAV), das Digitale-Versorgung-Gesetz (DVG), das Patientendaten-Schutz-Gesetz (PDSG) sowie das Digitale-Versorgung-und-Pflege-Modernisierungs-Gesetz (DVPMG).
Trotz der Vielzahl an rechtlichen Vorgaben für E-Health, die zumeist auch die Sicherheit und den Datenschutz für die medizinischen Daten betreffen, leidet die Sicherheit bei der digitalen Gesundheitsversorgung an mehr als an „Kinderkrankheiten“.
Sicherheitslücken gefährden nicht nur Patientendaten
Nach vielversprechenden Anfängen fiel Deutschland seit der Jahrtausendwende bei der Digitalisierung seines Gesundheitssystems immer weiter zurück und zählte laut internationaler Studien zuletzt eher zu den Schlusslichtern im europäischen Vergleich, berichtet auch das Fraunhofer-Institut für System- und Innovationsforschung ISI.
Doch genau wie der Digitalverband Bitkom erklärt, Schnelligkeit bei E-Health dürfe keinen Vorrang vor Sicherheit und Qualität haben, sieht es auch Fraunhofer ISI: Mit dem Ausbau der Telematikinfrastruktur und weiteren Anwendungen – etwa Videosprechstunden, digitalen zahnärztlichen Bonusheften oder digitalen Impfpässen – werde auch die Datenverarbeitung und damit der Datenschutz und die Datensicherheit an Bedeutung gewinnen.
Allerdings wurden bisher kaum Möglichkeiten zur Vereinheitlichung und Konkretisierungen des Datenschutzes wahrgenommen, so Fraunhofer ISI. Zudem seien bei IT-Sicherheits- und Datenschutzfragen Verantwortlichkeiten teilweise unklar und wenig nachvollziehbar geregelt, etwa definiere die gematik als zentrale Instanz die Anforderungen an die Telematikinfrastruktur und kontrolliere auch deren Einhaltung, sie ist aber nicht für den Datenschutz verantwortlich.
Umgekehrt wären die Regelungen für Apps tendenziell zu ambitioniert geregelt, denn diese müssten anhand eines umfangreichen Kriterienkatalogs auf Datenschutz und Sicherheit überprüft werden, was dazu führen könne, dass viele Apps die Anforderungen nicht erfüllen oder die Entwicklerinnen und Entwickler den entsprechenden Aufwand scheuen.
Gleichzeitig aber meldet zum Beispiel die Initiative „zerforschung“ bei zugelassenen Gesundheitsapps einen „Datenabfluss auf Rezept“, also Sicherheitslücken trotz des Kriterienkatalogs für die Digitalen Gesundheits-Anwendungen, kurz DiGAs.
Offensichtlich muss noch weitaus mehr für die Sicherheit und den Datenschutz im Bereich E-Health getan werden, wie auch die erfolgreichen Ransomware-Attacken zeigen, die bereits Krankenhäuser getroffen haben.
Was Datenschützer und IT-Sicherheitsbehörden fordern
Kürzlich hat nun das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Sicherheitsanforderungen an Anwendungen im Gesundheitswesen veröffentlicht. Um Herstellern und Betreibern mit präventiven Maßnahmen weitere Hilfestellungen geben zu können, wurden Sicherheitsanforderungen für unterschiedliche Teilbereiche von Anwendungen im Gesundheitswesen verfasst. Die Technische Richtlinie (TR) umfasst in mehreren Teilen Anforderungen an mobile Anwendungen (TR-03161-1), Web-Anwendungen (TR-03161-2) und Hintergrundsysteme (TR-03161-3).
Der Bericht „Cloud Security for Healthcare Services“ der EU-Agentur für Cybersicherheit ENISA ist ein weiteres Beispiel für konkrete Sicherheitsrichtlinien, die bei der Digitalisierung im Gesundheitswesen helfen können.
Nicht zuletzt die Aufsichtsbehörden für den Datenschutz fordern schon seit längerem, Schutz und Sicherheit von Patientendaten müssten höchste Priorität haben, gerade auf bei Gesundheits-Apps.
Noch großer Nachholbedarf für Sicherheit und Datenschutz bei E-Health
Obwohl offensichtlicher Bedarf für mehr Sicherheit im digitalen Gesundheitswesen besteht, sehen sich die Datenschützer harter Kritik ausgesetzt.
In einer Pressemitteilung zu ihrem 128. Kongress prangerte die DGIM (Deutsche Gesellschaft für Innere Medizin) den in Deutschland praktizierten Datenschutz an, so die Datenschutzaufsicht in Hessen.
Der übertriebene Datenschutz sei ein Risiko für die Gesundheit vieler Menschen und gefährde sogar Menschenleben. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) Prof. Dr. Alexander Roßnagel zeigte sich von der Auffassung und den dort enthaltenen Aussagen in Bezug auf den Datenschutz überrascht. Sie diskreditierten den Datenschutz im Kontext der Behandlung von Patientinnen und Patienten und im Bereich der Forschung und schadeten damit der medizinischen Arbeit.
Im Bereich der Digitalisierung sei diese nämlich auf das Vertrauen der Patienten angewiesen, dass verantwortungsvoll mit ihren hochsensiblen Daten umgegangen wird. Digitale Medizin finde nur mit wirksamem Datenschutz ausreichendes Vertrauen.
Digitalisierung ohne Security ist „ungesund“
Die Bedeutung der Security als Basis der Digitalisierung betrifft jede Branche, doch für das digitale Gesundheitswesen trifft dies ganz besonders zu, denkt man an die Sensibilität und Kritikalität der Daten und die Risiken von Sicherheitslücken, die sogar Menschenleben gefährden können.
Der Einsatz von Informations- und Kommunikationstechnik in der Gesundheitsversorgung ist im Zeitalter der digitalisierten Medizin unabdingbar, so der Bundesdatenschutzbeauftragte. Allerdings müssten die in diesem Zusammenhang rechtlich gebotenen und nach dem Stand der Technik angemessenen Vorkehrungen zu einem effektiven Schutz der Daten von Patientinnen und Patienten flächendeckend getroffen werden.
Bei allen Anwendungen müssen der Schutz und die Sicherheit von Patientendaten in der medizinischen Behandlung nach der DSGVO umfassend sichergestellt sein, wie der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit betont.
Das sehen auch die Patientinnen und Patienten so: Unter denen, die grundsätzlich die Nutzung der elektronischen Patientenakte (ePa) ablehnen, hat fast die Hälfte (46 Prozent) Bedenken, dass die eigenen Daten nicht sicher sein könnten, wie eine Bitkom-Umfrage deutlich macht.
Auch Ärztinnen und Ärzte berichten von datenschutzrechtlichen Bedenken, die den Einsatz digitaler Gesundheitsanwendungen hemmen, so die Studienreihe „Ärztinnen und Ärzte im Zukunftsmarkt Gesundheit“.
Es zeigt sich: Auch wenn Deutschland bei E-Health abgeschlagen im Vergleich zu den meisten anderen EU-Mitgliedsstaaten erscheint, kann und darf man nicht an Sicherheit und Datenschutz „sparen“, um schneller zu werden. Vielmehr geht es darum, so schnell wie möglich sicherer zu werden, gerade im Gesundheitswesen.