IT-Sicherheitsanalyst Martin Tschirsich im Interview zu Gesundheits-Apps und elektronischer Patientenakte: „Sicherheitslücken finden sich eigentlich auf allen Ebenen“
Martin Tschirsich hat auf 35. CCC-Kongress im Dezember 2018 in einen Vortrag unter dem Titel „All Your Gesundheitsakten Are Belong To Us“ aufgezeigt, wie leicht angreifbar Gesundheits-Apps und andere digitale Dienste sind. In einem lesenswerten Interview mit dem Internet-Magazin MedWatch beantwortete er im Oktober 2019 Fragen zu Datenschutz bei Gesundheits-Apps und Datensicherheit bei den Digitalisierungs-Plänen von Bundesgesundheitsminister Jens Spahn (CDU).
Zwei Auszüge:
- Auf die Frage „Würden Sie selbst die (elektronische Patienten-)Akte denn nutzen?“ antwortet Tschirsich: „So, wie sie in der ersten Ausbaustufe geplant ist, würde ich sie nicht nutzen, obwohl ich im Moment nicht davon ausgehe, dass ich persönlich einem großen Risiko aussetzt bin. Meine Forderung an die Patientenakte ist, dass es eine echte Ende-zu-Ende-Verschlüsselung gibt: Die Daten müssen unter meiner Kontrolle sein. Es muss zudem einen rechtlichen Schutz vor Beschlagnahme geben: Die elektronische Gesundheitskarte ist von Beschlagnahmung ausgenommen, genauso wie Berufsgruppen wie Ärzte nicht gezwungen werden dürfen, Daten von Patienten preiszugeben. Die elektronische Patientenakte hat diesen Schutz noch nicht – damit dürften diese Daten theoretisch beschlagnahmt werden…“
- Und die Frage „…Gesundheitsapps… Wird da ausreichend auf Sicherheit geachtet?“ beantwortet Tschirsich wie folgt: „Die Sicherheit solcher Apps ist tatsächlich ein Kriterium im Digitale-Versorgungsgesetz – aber mit Verweis auf eine Regelung, die noch erfolgen soll. Beim Bundesinstitut für Arzneimittel und Medizinprodukte sollen die Apps auf Datenschutz und Datensicherheit geprüft werden – diese Prüfung wird aber allein auf Dokumenten basieren, die der Hersteller vorlegt. Es ist nicht zu erwarten, dass eigene Prüfungen durch die Behörde durchgeführt werden… Vom Bundesrat wird zudem kritisiert, dass es nicht nur beim Betrieb der App, sondern bereits im Appstore Datenschutzlücken geben kann – der Appstore-Betreiber kann wissen, dass etwa eine Diabetes-App installiert wird. Hier muss geschaut werden, ob der Vertrieb von Kassen-Apps beispielsweise über Google vertretbar ist…“