IT-Sicherheitsexperte: Patientendaten sind allzu leichte Beute
18.10.2019, 19:37 UhrNZ: Herr Tschirsich, Sie sind Informatiker. Wenn Sie selbst mal zum Arzt müssen, nervt es Sie oder beruhigt es Sie eher, wenn der Doktor noch mit dem Kuli auf Karteikarten schreibt?
Martin Tschirsich: Digital oder analog – da bin ich völlig agnostisch. Das Wichtige ist für mich die Behandlungsqualität und ob der Arzt Erfahrung hat. Klar, manchmal denke ich automatisch daran, was aus Angreiferperspektive möglich wäre, wenn ich jetzt mit dem Computer in der Praxis alleine wäre. Aber diese Kreativität läuft bei meinem Beruf eben mit.
((ContentAd))NZ: Was sagt Ihr Gefühl – wird Jens Spahn der Gesundheitsminister sein, der die seit einer Ewigkeit erwartete elektronische Patientenakte in Betrieb nimmt?
Tschirsich: Das ist sein erklärtes Ziel bis 2021. Ich kann es mir vorstellen. Allerdings wird die schnelle Umsetzung zu Lasten von Nutzen, Datensicherheit und Datenschutz gehen. Das ist meiner Meinung nach schade. Wir haben 15 Jahre gewartet – jetzt könnten wir auch noch ein bisschen länger warten und dafür nicht die Akzeptanz aufs Spiel setzen.
NZ: Jetzt soll in Kürze die "App auf Rezept" hinzukommen. Ärzte könnten dann Gesundheits-Apps fürs Smartphone als Kassenleistung verschreiben.
Tschirsich: Ja, und im ersten Jahr, ohne dass der Nutzen nachgewiesen sein muss. Ich finde, es sollte solange aber mindestens den Nachweis geben, dass die Daten darin sicher sind. Man ignoriert nämlich noch, dass Datensicherheit auch Patientensicherheit bedeuten kann. Da geht es nicht nur um Vertraulichkeit.
NZ: Wann zum Beispiel?
Tschirsich: Es gibt Pillenwecker-Apps, die Sie an die Einnahme Ihrer Medikamente erinnern. Wenn es jemandem gelingt, an die Daten ranzukommen, kann das für Sie böse Konsequenzen haben, wenn die Dosis manipuliert oder unterschlagen wird. Ob durch Softwarefehler oder bewusst. Sie nehmen auf einmal die Medikamente Ihres Nachbarn ein. Vor einem Monat gab es in einer bekannten App für Medikamentenpläne eine Verwürfelung der Einnahmezeiten. Wer dann haftet, muss im Voraus geklärt sein und nicht erst, wenn die Betroffenen vor Gericht ziehen.
NZ: Sie stellen die Arbeit von Hackern nach. Beim Kongress des "Chaos Computer Club" 2018 haben Sie vorgeführt, wie leicht Könner solche Online-Anwendungen knacken. Man kann Ihnen auf YouTube dabei zusehen: In Ihren Tests mit Krankenkassen-Apps wie "Vivy" und Arzt-Patienten-Kommunikationskanälen wie "Teleclinic" gelangten Sie an Hautausschlag-Fotos und den Versichertenstatus von Mitbürgern. Ihr Fazit?
Tschirsich: Es ist nicht gewährleistet, dass das Produkt sicher ist, selbst wenn wir um die Bedeutung von Datenschutz und -sicherheit wissen. Egal ob hinter den elektronischen Gesundheitsanwendungen ein milliardenschweres Unternehmen oder ein Zwei-Mann-Entwicklerteam stand, es wurden an allen Stellen Fehler gemacht. Was mir persönlich am meisten Sorge bereitet: Der Gedanke an Sicherheit hört auf, sobald es ein Tüv-Zertifikat gibt. Es fehlt der Gedanke darüber hinaus: Was passiert, wenn es doch ein Sicherheitsleck oder gar einen Hackerangriff gibt? Wie gleichen wir den Schaden aus?
NZ: Warum eigentlich diese Pannen? Hat Deutschland keine fähigen IT-Entwickler? Oder wird an der falschen Stelle gespart?
Tschirsich: Es ist leider ein vielschichtiges Problem. Wir können keine Software entwickeln, von der wir beweisen können, dass sie sicher ist. Wir können 100-prozentige Sicherheit nie erreichen. Auch Software, die Flugzeuge steuert, hat Sicherheitslücken. Dieses Niveau erreichen wir im Gesundheitswesen mit den vorhandenen Mitteln gar nicht erst. Daher müssen wir anders denken. Was ist, wenn vielleicht ein ganzer Datenbestand einem Dritten zugänglich war? Diesen Gedanken möchte niemand denken. Da liegt das Grundproblem.
NZ: Okay, keine 100 Prozent Sicherheit. Aber Sie zeigen ja Fälle auf, wo schon eine eingebaute Sperre nach dreimaliger Falscheingabe der PIN gutgetan hätte.
Tschirsich: In der Tat. Teilweise liegt das daran, dass unsere Systeme technisch so komplex sind, dass wir sie nicht überschauen können. Komplexität ist der natürliche Feind der Sicherheit. Und ökonomisch gesehen können wir Sicherheit nicht verkaufen. Weil sie nicht transparent ist. Der Endnutzer sieht die Sicherheit nicht, es gibt keinen Crash-Test dafür.
NZ: Wenn das so ist, könnte man eigentlich nur den Anwender unterschreiben lassen, dass er sich im Klaren darüber sein muss, gewisse Datenschutzrisiken in Kauf zu nehmen.
Tschirsich: Das funktioniert nicht. Der Benutzer nickt jede Datenschutzerklärung ab und hat keine Zeit, sich Stunden seines Lebens damit zu beschäftigen. Wenn Sicherheit nicht transparent ist, kann er das Risiko nicht bewerten. Also brauchen wir staatlich garantierte Minimalstandards wie beim Lebensmitteleinkauf.
NZ: Zurück zu Fax und Karteikarte kann ja nicht die Lösung sein, oder?
Tschirsich: Nein. Wir müssen es als Herausforderung betrachten. Ich möchte nicht ausschließen, dass all diese Apps auch Nutzen bringen können. Ich möchte aber das Risiko bewerten können. Wenn wir den potenziellen Schaden kennen und quantifizieren, können wir eine sogenannte Technikfolgenabschätzung machen. Dann können wir sagen: Eine App ist für diese Patientengruppe zu empfehlen, bei jener überwiegt das Risiko.
NZ: Das hieße, dass zum Beispiel manche Patienten lieber analog betreut bleiben sollten?
Tschirsich: In die Richtung kann man denken. Man könnte zum Beispiel der Meinung sein, dass ein Register über den HIV-positiv-Status der Bevölkerung, wie es in Singapur wurde, als Digitalanwendung viel zu risikoreich ist. (Das Register wurde durch Datendiebstahl im Januar 2019 online zugänglich, Anm. d. Red.) Man muss tatsächlich überlegen, ob man Digitalisierung gleich zu 100 Prozent möchte oder erst da, wo die Risiken überschaubar sind und wo wir nicht mit der Akzeptanz der Nutzer spielen. Mit der haben wir in Deutschland ein besonderes Problem. Historisch-kulturell bedingt müssen wir hier mehr Rücksicht auf die Bedenken der Nutzer nehmen.
NZ: Denken Sie an den NS-Staat, der das Gesundheitswesen rassistisch benutzt hat?
Tschirsich: Nicht nur das. Wir hatten auch in der DDR die Bestrebung, Personenkennzahlen mit weitreichenden Datenbeständen einzuführen. In Bayern hatten wir zuletzt den Ansatz, ein Psychisch-Kranken-Hilfe-Gesetz zu verabschieden, das der Polizei weitreichenden Zugriff auf Patientendaten ermöglicht hätte. Gesellschaftlich müssen wir uns da auf eine Grenze einigen. Diese Debatte muss geführt werden.
NZ: Bei dem Gesetz haben öffentliche Proteste zu Nachbesserungen geführt. Der Staat bekennt sich dann ja doch zur Verantwortung für die Gesundheitsdaten seiner Bürger.
Tschirsich: Staatliche Mindestanforderungen und eine staatlich kontrollierte Infrastruktur für sicheren Datenverkehr wie die Telematik sind ein guter Lösungsansatz. Bei der Umsetzung sehe ich aber Lücken.
NZ: Und Sie ärgern sich über die Äußerung des Ministers Spahn, der die persönliche Gesundheitsverwaltung "so einfach wie Online-Banking" machen möchte.
Tschirsich: Gesundheitsdaten sind keine Finanzdaten. Finanzieller Betrug lässt sich finanziell mit Kulanz der Banken wieder ausgleichen. Das ist anders, wenn unsere Gesundheitsdaten abhandenkommen. Das können bedeutende Diagnosen sein, die auch in 50 Jahren noch relevant für unser Leben, unseren Beruf oder unser gesellschaftliches Ansehen sind. Oder die, wenn wir an Chromosomen-Analysen denken, auf unsere Nachkommen Auswirkungen haben. Und wenn Gesundheitsdaten in großem Stil öffentlich werden, gibt das anderen Menschen die Möglichkeit, Macht auszuüben. Zum Beispiel unter Politikern und ihren Gegenspielern oder unter Nationalstaaten. Das ist alles schon vorgekommen. Dem müssen wir einen Riegel vorschieben.
Keine Kommentare
Um selbst einen Kommentar abgeben zu können, müssen Sie sich einloggen oder sich vorher registrieren.
0/1000 Zeichen