Telematikinfrastruktur - eine Datenautobahn mit Optimierungsbedarf

Knapp 15 Jahre und 2 Milliarden Euro – so viel Zeit und Geld nahm die Entwicklung der Telematikinfrastruktur (TI) bisher in Anspruch. Sie soll in naher Zukunft knapp 170.000 heilberufliche Institutionen wie Ärzte, Kliniken und Apotheken digital miteinander vernetzen und als Datenautobahn für die elektronische Patientenakte (ePA) fungieren. Medizinische Informationen, die für die Patientenbehandlung erforderlich sind, sollen so schneller und einfacher für alle Beteiligten verfügbar sein¹. Immer unter Kontrolle des Patienten, der die Freigabe seiner Daten individuell verwalten kann.² Ein ambitioniertes Vorhaben dessen sichere Umsetzung in Bezug auf den Schutz persönlicher Daten oberste Priorität haben muss. Dieser weist jedoch erhebliche Schwachstellen auf - wie Experten des Chaos Computer Club (CCC) Ende letzten Jahres bewiesen.³

Verantwortlich für die offizielle Entwicklung des Telematik-Netzwerkes ist die im Jahr 2005 gegründete Gematik GmbH - eine Dienstleistungsgesellschaft, die von den Spitzenorganisationen des Gesundheitswesens initiiert wurde. Zu diesen gehören unter anderem das Bundesministerium für Gesundheit, die Bundesärztekammer, der Deutsche Apothekerverband und der Spitzenverband der gesetzlichen Krankenkassen⁴. Laut eigenen Angaben steht der Datenschutz an erster Stelle: “Die sichere, verschlüsselte Kommunikation zwischen bekannten Kommunikationspartnern sowie der Schutz vor dem Zugriff auf sensible Informationen sind daher das Fundament der Telematikinfrastruktur."²

Grundlegende Basis für Anbindung an die TI ist ein Internetzugang. Jede Betriebsstätte benötigt außerdem einen Konnektor, über den die Verknüpfung erfolgt. Außerdem sind mindestens ein Kartenterminal und ein Praxisausweis (SMC-B) zur Registrierung und Anmeldung erforderlich. Für den Zugang zur TI wird außerdem ein spezieller VPN-Zugangsdienst benötigt.

Der elektronische Heilberufsausweis (eHBA) ist für den Zugang zum Telematik-Netzwerk keine Pflicht, allerdings für einige Anwendungen der TI. So ist er bereits jetzt für die Qualifizierte Elektronische Signatur (QES) erforderlich, die man wiederum für den elektronischen Arztbrief, für Laborüberweisungen oder die Beantragung von Telekonsilen benötigt.⁵

CCC findet Achillessehne der TI

Bereits im November 2019 ergaben Nachforschungen von NDR und Süddeutscher Zeitung, dass zahlreiche Arztpraxen nur ungenügend vor Hacker-Angriffen geschützt sind. Dies geht aus einem vertraulichen Dokument der Gematik hervor, das Panorama 3 und der Süddeutschen Zeitung vorliegt. Demnach lauern in mehr als 90 Prozent der angeschlossenen Arztpraxen Sicherheitsgefahren in deren EDV. Dabei liegt das Problem auf der Hand: viele Praxis-Rechner sind zum ersten Mal im Zuge der TI-Anbindung an das Internet angeschlossen und verfügen in der Regel über keinen Schutz wie zum Beispiel Firewalls oder Antivirensoftware.⁶

Von Seiten der Gematik gibt es zwar klar definierte Rahmenbedingungen wie die Anbindung der Praxen ablaufen muss⁷, überprüft werde eine konkrete Umsetzung allerdings nicht.

Die eigentliche Achillessehne der TI stellte der CCC knapp 4 Wochen später auf seinem 36. Chaos Computer Congress in Leipzig vor. Dem Club war es gelungen sich in das Telematik-Netzwerk zu hacken. Die Mitglieder des CCC verschaffen sich erfolgreich gültige Ausweispapiere für Heilberufe und Praxen sowie Konnektor- und Gesundheitskarten, ausgestellt auf Drittidentitäten. Mit diesen persönlichen Daten konnten sie anschließend auf Anwendungen der TI und vertrauliche medizinische Informationen zugreifen. Die Hacker stellten erhebliche Mängel in den Zugangsprozessen fest.

Des Weiteren deckte der CCC eine Sicherheitslücke beim Kartenanbieter Medisign auf. Dieser ist einer von drei, im Zuständigkeitsbereich der Kassenärztlichen Vereinigungen zertifizierten Anbietern von Praxisausweisen. Die personenbezogenen Daten von 168 Medizinern, die in den vorausgegangenen 14 Tagen den Antrag auf einen elektronischen Praxisausweis (SMC-B) gestellt hatten, sollen an einem Tag im Oktober ungeschützt im Internet verfügbar gewesen sein. Diese Informationen verhelfen Unbefugten sich die Karten anzueignen.³

Gematik reagiert auf die Sicherheitslücke

Auf die dargelegten Sicherheitslücken des CCC reagierte Gematik mit einem Ausgabestopp der elektronischen Praxisausweise (SMC-B). In einem Statement äußerte man sich außerdem: „Der mangelhafte Schutz der personenbezogenen Daten der Antragsteller ist für die Gematik nicht hinnehmbar“. Konsequenzen für Kartenanbieter Medisign sind ebenfalls zu erwarten. Es sei Aufgabe der ausstellenden Organisationen, „dafür zu sorgen, dass die Daten ihrer Heilberufler bei der Beantragung von Heilberufsausweisen sicher sind“.

Eine Voraussetzung die aktuell offensichtlich nicht gegeben ist. „Die Gematik wird darüber hinaus den Vorfall zum Anlass nehmen, bei dem Anbieter eine unabhängige Prüfung vorzunehmen.“⁸

Auswirkungen der Sicherheitslücken auf die ePA

Bereits in 12 Monaten soll es 73 Millionen gesetzlich Versicherten möglich sein, ihre Gesundheitsdaten in einer elektronischen Patientenakte (ePA) speichern zu lassen. Gesundheitsminister Jens Spahn (CDU) hält trotz der aktuellen Datenlage an der geplanten Einführung zum 1. Januar 2021 fest. In einem Interview mit Tagesspiegel Background zeigte er sich zuversichtlich: „Zunächst einmal bin ich froh, dass die Defizite im System bereits jetzt entdeckt wurden. Zu einem Zeitpunkt, da noch keine Patientendaten gespeichert werden“. Man habe jetzt Zeit, zu reagieren und das System zu optimieren.

Im Zuge dessen wolle er die elektronische Patientenakte ebenfalls einer Überprüfung durch den CCC unterziehen lassen.⁹ Die Gematik will sich noch im Januar mit allen Kartenherausgebern verständigen und gemeinsam mit diesen Optimierungsmaßnahmen für die Anforderungs- und Ausgabeabläufe festlegen.

Geteilter Meinung ist man, ob die bisherigen Schritte wirklich umfassend genug sind, um den Schutz personenbezogener Daten zu gewährleisten. CCC Mitglied Martin Tschirsich beanstandet, dass keine Einzelperson oder Institution in Deutschland existiert, die darüber Kenntnis habe, wo sich die 115.000 Heilberufsausweise aktuell befinden – ob bei einem Arzt oder einem Kriminellen.

Er und IT-Experte Jens Ernst beziffern die Kosten einer Rückholaktion allein bei Heilberufsausweisen auf rund 60 Millionen Euro.

Aus Sicht der Gematik werde eine solcher Schritt allerdings nicht erforderlich sein. Eine „pauschale Kartensperre“ sei aus aktueller Sicht nicht nötig.¹⁰

Die kommenden Tage oder Wochen werden also zeigen, wie sich der Zeitplan für den Ausbau der TI und die Einführung der ePA entwicklen wird. Fakt ist allerdings schon jetzt: die Digitalisierung hat die Medizin erreicht und könnte das deutsche Gesundheitssystem elementar verändern.

Die Bereitschaft dazu ist bei gesetzlich Versicherten durchaus gegeben: einer aktuellen Umfrage des Tagesspiegel Backgrounds zufolge wollen die Hälfte der Befragten die ePA zukünftig nutzen.¹¹