Sicherheitsaspekte zur geplanten Telematik und elektronischen Patientenakte

"Die geplante Digitalisierung im deutschen Gesundheitswesen läuft auf ein fortlaufendes Electronic Medical Recording (EMR) mit Standardprozeduren und Diagnosekodierungen hinaus,die dann mit hinterlegten Befunden in der elektronischen Patientenakte hinterlegt werden sollen. Diese Prozeduren aus z.B. den USA sind ernüchternd.

Kürzlich beschrieb ein Chirurg im "New Yorker" die Ergebnisse eines EMR-Verfahrens, auf welches er und 8.000 Kollegen trainiert wurden: mehr Zeit nach der Arbeit für Eingaben ins System (durchschnittlich 2 Stunden), eine Flut von e-mails, die nicht mehr bearbeitet werden können, massive Auswirkungen aufs Privatleben und die Arzt-Patienten-Beziehung und eine höhere Burn-out- und Suizidrate bei den Ärztinnen und Ärzten.

Fürchterlich !

Zum Sicherheitsaspekt ist zu bemerken, dass der großangelegte Cyberangriff in Singapur, bei dem 2018 unbemerkt 1,5 Mio. Patientenakten über 11 Monate gehackt wurden, darunter die des Premierministers, zu einem massiven Schock geführt hat: alle IT-Systeme der kritischen Infrastruktur wurden untersucht und alle IT-Vorhaben eingefroren. Am 10.01.2019 erschien der umfangreiche Regierungsbericht zu den Vorgängen um die Angriffe auf Sing Health: die hochprofessionell vorgehenden Angreifer hatten sich einen administrativen Port zu Nutze gemacht, um in das System einzudringen.

Gefordert wird als Konsequenz in Singapur eine völlig andere Sicherheitskultur, Penetrationstests zur Überprüfung von Schwachstellen und eine Abkehr von rein technischen Sicherheitsvorkehrungen.

Schauen wir uns die Sicherheitsvorkehrungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) für die Telematik im Gesundheitswesen an: technische Sicherheitsvorkehrungen, die nach Security Policies und Common Criteria ausgerichtet sind. Ist das ausreichend ?

Nach den Erfahrungen von Singapur wahrscheinlich nicht.

Ebenfalls ein Blick in die "Beipackzettel" für die Konnektoren , d.i. der jeweilige Zertifizierungsreport durch das BSI, zeigt unterschiedliche Angriffswege auf, u.a. administrative Ports auf Nebenrootern, über die die Praxissoftware gewartet wird. Angriffe von dieser Seite sollen über "Paketdienste" abgewehrt werden. Das klingt wie das Pfeifen im Walde ! In Dänemark mit einer bereits ausgebildeten Digitalisierung im Gesundheitswesen wird in einer aktuellen digitalen Health-Strategie den Gefahren durch Cyberattacken ein besonderer Raum eingeräumt mit der Festschreibung einer risiko-adaptierten Strategie. Die entscheidende Frage lautet nämlich:

Risiken feststellen,Schwachstellen durch aktive Tests aufdecken, laufende Achtsamkeit und Schulungund Bedenken der Folgen.

 

Der Verlust und das Hacken einer Akte kann immensen Schaden anrichten, ggfs. muss eine neue Identität geschaffen werden.

 

In Deutschland will die Regierung einen Zwangsanschluss an ein System durch das eHealth-Gesetz erzwingen. Keiner der mir bekannten wenigen Kollegen, die sich haben anschließen lassen, erhält eine Risikoschulung, Penetrationstests erfolgen nicht und den "Beipackzettel" zu den Risiken des Konnektors, welcher in der Praxis installiert wird, kennt niemand.

 

Interessanterweise ist niemand auf der Seite der Politik und der Krankenkassen , der die elektronische Patientenakte propagiert, offensichtlich ernsthaft an diesen Fragen interessiert bis der GAU kommt.

 

M.E. soll die elektronische Patientenakte einen zentralen Stellenwert in einer staatlich kontrollierten Health Maintenance Organisation (HMO) mit Anpassung an das deutsche Krankenkassen-System bekommen. In einem solchen System wird Gesundheit zur Ware in gesteuerten Prozessen mit massiven Auswirkungen auf die Arzt-Patienten-Beziehung und die Arztgesundheit und -zufriedenheit.

Der "Digitalisierungs-Hype" lässt zentrale Wertfragen völlig draußen vor und suggeriert, letztlich durch den Einsatz künstlicher Intelligenz zum Ordnen von BigData in Patientenakten , ein körperliches, psychisches und soziales Wohlbefinden der Menschen herstellen zu können, wie die Gesundheitsdefinition der WHO lautet.

Da bislang der Nachweis fehlt, dass es nicht schadet (1. hippokratische Regel) und dass es unbeeinflusst ist von kommerziellen Interessen (Abwandlung der 2. hippokratschen Regel) müssen tiefe Zweifel auftauchen und die Forderung gestellt werden, eine Folgenabschätzung auch hinsichtlich der Risiken und insbesondere der Cyber- und Missbrauchsgefahren zu leisten."

 

27.02.2019