Wollen wir unsere medizinischen Daten im Bertelsmann-Netz?
Gedanken zur Telematikinfrastruktur hinter der elektronischen Gesundheitskarte
Vielen Versicherten ist nicht bewußt, dass die elektronische Gesundheitskarte (eGK) nicht der Speicherort für den Großteil der medizinischen Daten ist, die mit ihr verarbeitet werden sollen. Ihre Hauptfunktion ist, als Schlüssel zur Telematikinfrastruktur zu dienen, die Ärzte, Zahnärzte, Psychotherapeuten, Krankenhäuser, Krankenversicherungen und Apotheken miteinander vernetzen soll. Über diese Vernetzung sollen Rezepte nicht mehr auf Papier zum Apotheker gebracht werden, Arztbriefe nicht mehr auf Papier zum Hausarzt gebracht werden und Abrechnungsdaten nicht mehr auf verschlüsselter CD zur Kassenärztlichen Vereinigung gebracht werden (letzteres geschieht bereits heute über eine KV-SafeNet genannte Lösung. Wenn man weiß, dass hier lediglich eine FritzBox die technische Basis ist, mag man sich nicht ausmalen, welche Möglichkeiten zum Datendiebstahl das Router-Desaster von Anfang 2014 eröffnet haben könnte). Das Versprechen: Alles wird sicherer und günstiger.
Günstig ist hier zunächst mal gar nichts: Jeder der ca. 200.000 Leistungserbringer (Ärzte, Apotheken, usw.) muss mit einem sogenannten Konnektor ausgestattet werden, der ca 1.500 Euro kostet. Dieser kommt zu den neuen Lesegeräten hinzu, die die eGK lesen (und beschreiben) können. Der Konnektor vernetzt die Computer mit der Praxissoftware und die Kartenleser mit den Rechenzentren. Ferner müssen diese zentralen Rechenzentren mit den Servern für die Fachanwendungen (Versichertenstammdatenmanagement, elektronisches Rezept, Arzneimitteldokumentation, Notfalldaten, Patientenquittung, Patientenakte) aufgebaut, abgesichert und über sogenannte Konzentratoren mit den Konnektoren vernetzt werden. Und nicht zuletzt verschlingt auch der Betrieb dieser Rechenzentren ordentlich Geld. Und wie sieht es mit der Sicherheit aus?
Sicherheit durch Unklarheit
Die Architektur der eGK und der Telematikinfrastruktur wird von der Gematik spezifiziert. D.h., die Gematik erstellt die Vorgaben, wie die Telematikinfrastruktur funktionieren soll, der konkrete Aufbau TI wird von Firmen wie Arvato (Bertelsmann), Telekom, KoCo Connector AG und anderen durchgeführt. Teile der Vorgaben sind öffentlich zugänglich, andere Teile nicht. Ähnliches gilt für den konkreten Aufbau. So sagt die KoCo Connector AG über ihren Konnektor, dass er aufgrund selbst entwickelter Hard- und Software sicher sei. Gemäß dem Kerckhoffsschen Prinzip [Kerk] darf aber die Sicherheit eines Verfahrens nicht davon abhängen, dass das Verfahren selbst geheim ist. Das Verfahren muss offengelegt sein, so dass seine Sicherheit von unabhängigen Experten überprüft werden kann. Andernfalls sprechen Informatiker abfällig von “Security by Obscurity” (“Sicherheit durch Unklarheit”). In dieser Problemsituation befinden wir uns auch mit teilweise geheimen Vorgaben und Aufbauten in der Telematik. Da die Sicherheit in diesem Fall nicht von unabhängigen Fachleuten beurteilt werden kann, muss man davon ausgehen, dass sie nicht vorhanden ist.
Unüberschaubares Sicherheitsrisiko
Selbst in den Teilen der Telematik, in denen die Vorgaben frei zugänglich sind, ist das Risiko unüberschaubar. Die Sicherheitsexperten Huber, Sunyaev und Krcmar haben in ihrem Arbeitspapier “Technische Sicherheitsanalyse der elektronischen Gesundheitskarte” alleine für die Spezifikation des Konnektors 600.000 Angriffsmöglichkeiten identifiziert. Diese Zahl macht deutlich, dass die Sicherheit einer solchen Spezifikation auch von einer Gruppe von Experten nicht abschließend bewertet werden kann. Wir erachten es in diesem Licht als verantwortungslos, dass das Projekt eGK/TI nun nach dem Prinzip “Augen zu und durch” durchgepeitscht werden soll. Huber, Sunyaev und Krcmar haben dennoch versucht, einige Sicherheitslücken bereits vor der Realisierung der Telematik zu identifizieren. In einem Folgepapier konnten sie feststellen, dass einige dieser Lücken wurden von der Gematik behoben worden waren, andere jedoch nicht. Exemplarisch sei das Aktualisierungsintervall für die Mindeststandards von einem Jahr genannt, das die Gematik vorschreibt. D.h., es ist nur eine Update dieser Mindesanforderungen pro Jahr geplant. Dies bedeutet, dass ein Angreifer bis zu einem Jahr Zeit hat, eine Schwachstelle auszunutzen. Dies kann angesichts von über 48000 im Jahr 2012 (Tendenz steigend) beim Computer Emergency Response Team (CERT) berichteten Sicherheitsvorfällen [GAO] als extrem wahrscheinlich angesehen werden. Das CERT ist eine Organisation zur Abwehr von Computersicherheitsproblemen, das als Anwort auf den ersten Internet-Wurm im Jahr 1988 gegründet wurde. Interessant ist auch die gewagte Annahme der Gematik, dass die Systeme der TI als sicher angesehen werden können. Man ist geneigt, hier vom “Pfeifen im Walde” zu sprechen. Vielen Menschen dürfte auch noch in unangenehmer Erinnerung sein, dass in Deutschland hunderttausende Fritz-Box-Router Anfang 2014 eine Sicherheitslücke aufwiesen, über die sie über das Internet gekapert werden konnten. Man muss sich vor Augen halten, dass ein Software-Update einen bereits geschehenen Datendiebstahl nicht mehr rückgängig machen kann.
Unüberschaubares Schadenrisiko
Die medizinischen Daten in der Telematikinfrastruktur sind für kriminelle Elemente (oder auch für Versicherungen, Arbeitgeber, …) äußerst verlockend.
Laut [HSK] kann als untere Grenze für einen Datensatz 1000 Euro angesetzt werden; dies ist wahrscheinlich konservativ geschätzt. Die Daten von 70 Millionen Versicherten stellen also einen Wert von mindesten 70 Milliarden Euro dar. Es wäre wohl naiv anzunehmen, dass sich hier kein Insider finden läßt, der sich für ein paar Millionen Euro dazu korrumpieren läßt, Geheimnisse preiszugeben, die die Erbeutung dieses Datenschatzes ermöglichen oder zumindest erleichtern. Absolute Sicherheit kann es nicht geben. Das Maß an Sicherheit muss sich immer daran bemessen, inwieweit das Restrisiko vertretbar ist. Der Diebstahl von ein paar Euro ist verschmerzbar, der Diebstahl eines Autos versicherbar. Der Diebstahl der gesamten medizinischen Geschichte ist nicht verschmerz- oder versicherbar. Diese Daten in den falschen Händen können eine Existenz unwiederbringlich zerstören. Es könnte z.B. für jemanden, der wegen Depressionen behandelt wurde, unmöglich werden, eine Anstellung zu bekommen.
Dr. Bernhard Scheffold
Literatur: [HSK] Huber, Sunyaev, Krcmar, “Technische Sicherheitsanalyse der elektronischen Gesundheitskarte”, http://www.winfobase.de/lehrstuhl/publikat.nsf/intern01/98B989EC04A0B8B9C12574200023D73C/$FILE/08-10.pdf
[GAO] http://www.gao.gov/assets/660/652817.pdf
[Kerk] http://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip
Eine exzellente Zusammenfassung, die den Fortschritt wiederspiegelt ein informationelles System in dieser Größenordnung und Komplexität zu verstehen! Für die Ermittlung von Schwachstellen und Gefährdungen existieren mittlerweile sehr gute Konzepte und Tools, mit denen diese Systeme penetriert werden. Die sogenannten Zero-Day-Attacken (Hackerangriffe) sind die die nicht vorsehbar sind, weil eine unbekannte Schwachstelle irgendwo im System versteckt war, die nicht erkannt wurde. Die Aufdeckung von Sicherheitsschwachstellen und ihre mathematische Wahrscheinlichkeit darf aber nicht das einzige Kriterium sein, was wir auch brauchen ist eine neue Herangehensweise für die Entwicklung von IT-Projekten in der Planungsphase und eine Diskussion über die Metadaten, die mit diesen Systemen generell erhoben werden. Vor jedem Blick ins Innere des Systems, bestehend aus elektronischer Gesundheitskarte und telematischer Infrastruktur und seiner Aufdeckung sollten wir uns fragen, ob die Übertragung der Versichertendaten aller Deutschen und aller Betriebsstätten, mit strikt vorgegebenen Arbeitsprozessen in eine zentrale Struktur für unsere sensibelsten und schützenswertesten Daten der richtige Weg ist. Besonders die erzwungene Anpassung aller Primärsysteme der Leistungserbringer, also der bestehenden Infrastruktur von Ärzten, Krankenhäusern und Krankenkassen gibt Anlass zur Sorge. Damit wird die Demokratie, die Vielfalt einer Gesellschaft und die echte Wahlfreiheit und Selbstbestimmung für die Bürger zerstört.
Ich stimme vollkommen zu, dass wir die Thematik der Metadaten beleuchten müssen. Im Moment weiß ich noch zu wenig darüber, um einen Artikel im obigen Stil hinzubekommen. Möglichst verständlich für technische Laien bei gleichzeitigem Anspruch auf Genauigkeit.
Neben der versierten fachlichen Darstellung der Probleme – vielen Dank dafür! – sehe ich aber auch die Notwendigkeit, auf wesentlich einfacherer Ebene schlagkräftig zu argumentieren. In meinem Bekanntenkreis bemerke ich immer wieder, dass spätestens beim Begriff “Telematikinfrastruktur” bei Nicht-ITlern der Faden reißt. Alles was danach gesagt wird, landet in /dev/null. Wenn ich dann auf die mehr als eine Millionen Inhaber der Schlüssel (“Heilberufsausweis”) aufmerksam mache, wird eigentlich jedem klar, dass das nicht klappen kann. Mit “Menschen schaffen die Verwaltung dieser Daten, Menschen arbeiten damit, und Menschen machen Fehler: oberflächliche viele, gründliche wenige, aber Fehler machen alle” überzeugt man viele. Ich vermute, dass auch die Hinterbänkler im Bundestag ganz anders an die Thematik herangehen würden, wenn es um sie selber bzw. ihre eigenen Daten ginge.
Diesen so interessanten Artikel schlage ich für den Presseverteiler vor.
Zu dem Beitrag von DMH:
Selbstverständlich betrifft die eGK nicht die Bundestagsabgeordneten, denn diese sind alle Privat-krankenversichert.
Gruß Mona