Berufsverband Niedergelassener Chirurgen e.V.

NARKA 2019: Hacker-Tipps zu Datensicherheit und Datenschutz

Berlin etwa 340 niedergelassene Anästhesisten zu ihrem Jahreskongress NARKA zusammenkamen, hatte das Datenleck noch keine Schlagzeilen gemacht, infolgedessen unzählige MRT-Aufnahmen frei abrufbar auf ungeschützten Servern lagen. Doch an der Einschätzung von Dr. Christian Brodowski, niedergelassener Anästhesist und Hobby-Hacker aus Essen sowie Martin Tschirsich, Informatiker aus Darmstadt und Mitglied des Chaos Computer Clubs (CCC) Darmstadt e. V., hätte das Wissen um dieses Datenleck vermutlich nichts geändert. Für sie ist ohnehin klar: „Sobald Daten da sind, sind sie unsicher. Nur nicht-existente Daten sind sicher.“

Die beiden IT-Experten äußerten sich kritisch zum geplanten Digitale-Versorgung-Gesetz (DVG), nach dem Ärztinnen und Ärzte künftig medizinische Apps zu Lasten der Gesetzlichen Krankenversicherung verschreiben können sollen. So berichtete Martin Tschirsich, er habe beim CCC-Kongress diverse Medizin-Apps getestet, die allesamt zertifiziert waren. „Die Apps waren trotzdem nicht sicher. Das TÜV-Siegel sagt eigentlich nur aus, dass der Entwickler Geld für die Zertifizierung übrig hatte.“ Im Vergleich zu den geprüften Medizin-Apps sei sogar der in puncto Datenschutz so häufig gescholtene Kurznachrichtendienst WhatsApp sicherer. „Bei WhatsApp gibt es eine End-zu-End-Verschlüsselung, die anderen Apps bieten das nicht“, kritisierte Tschirsich, „es ist doch traurig, dass bei der IT-Sicherheit WhatsApp als die Krone der Schöpfung gelten muss!“

Auch zur elektronischen Patientenakte (ePA) gab es kritische Anmerkungen der beiden IT-Experten. Bundesgesundheitsminister Jens Spahn möchte die ePA bekanntlich nicht mehr mit der Versichertenkarte, sondern mit einer Smartphone-App verknüpfen. Dabei sei zwar eine End-zu-End-Verschlüsselung vorgesehen. Allerdings hätten die Planer ein Hintertürchen zu Lasten des Datenschutzes eingebaut. So solle der Schlüssel für die ePA für den Verlustfall – wenn also das Smartphone unauffindbar ist – beim Anbieter der ePA und der Gematik gespeichert werden. „Das konterkariert die End-zu-End-Verschlüsselung“, warnte Tschirsich. Und sein Kollege Dr. Brodowski ergänzte: „Wenn es möglich ist, nach einem Geräteschaden die Daten eines Smartphones zu retten, dann können prinzipiell auch Unbefugte darauf zugreifen.“

Im Plenum tauchte daraufhin die Frage auf, warum man die ePA mit sämtlichen Behandlungsdaten im PDF-Format nicht auf einem USB-Stick speichern könne, den die Versicherten dann zu ihren jeweiligen Terminen in die Praxis mitbringen. Die Idee ist nicht neu und wurde in der Vergangenheit immer wieder diskutiert. Für die beiden IT-Experten ist sie allerdings keine echte Option. So könnten zum einen gerade ältere, multimorbide Patienten vermutlich nicht mit einer solchen ePA auf dem USB-Stick umgehen. „Außerdem möchten Sie als Arzt auch nicht ständig fremde USB-Sticks an Ihre Praxissoftware anstöpseln, oder?“ Darüber hinaus sei der USB-Stick auch kein geeignetes Medium für die Datenübertragung zwischen zwei Einrichtungen, etwa von der Arztpraxis zum Labor und umgekehrt. „Da wäre ja die physische Anwesenheit des Patienten für die Datenübergabe erforderlich – und das widerspricht nun einmal der eigentlichen Zielsetzung der ePA“, sagten die beiden Hobby-Hacker.

Mit Blick auf die Anbieter von Softwarelösungen hatten die beiden IT-Experten einen wichtigen allgemeinen Rat für die Anwesenden parat: „Wenn Ihnen ein Anbieter verspricht, sein Produkt sei absolut sicher, dann seien Sie skeptisch. Wenn er aber sagt, er habe ein Sicherheitskonzept, bei dem beim Versagen von Plan A ein detaillierter Plan B greift, dann können Sie dem Anbieter schon eher vertrauen.“

Aktuelles | Über den BNC | Bundeskongress | Für Patienten | Presse | Landesverbände | Mitgliederbereich | Partner | Veranstaltungen | Praxisbörse | Chirurgensuche | FAQ für Ärzte | Kontakt Berufsverband Niedergelassener Chirurgen e.V. © 2014 | Impressum | Datenschutzhinweise | Design & Umsetzung: zollsoft GmbH