"Wenn die elektronische Patientenakte dagewesen wäre, hätten wir sie lesen können"

»rC3: Es krankt an der Sicherheit im Gesundheitswesen

Berichte zur Digitalisierung im Gesundheitswesen gehö­ren zu den Klassikern der Congress-Vorträge beim Jahresendtreffen des CCC. Unter dem Titel "Tut mal kurz weh" stell­ten Christian Brodowski, Christoph Saatjohann und Martin Tschirsich neue Betriebsunsicherheiten in der Gesundheits-IT vor. Im Sommer 2020 fan­den sie mit einem Portscan 29 Konnektoren in der Gesundheits-IT, die ohne Authentifizierung im Internet erreich­bar waren. Hätte es zu die­sem Zeitpunkt bereits eine elek­tro­ni­sche Patientenakte gege­ben, so hät­ten Hacker sie aus­le­sen kön­nen, so ihr Fazit. Im Zuge des "respon­si­ble dis­clo­sure" wur­de die Projektgesellschaft Gematik über die Sicherheitslücke infor­miert; sie soll jetzt selbst mit Portscans nach unsi­che­ren Anschlüssen scannen.«

Die Hacker »… fan­den 200 Server, davon 30 mit unzu­rei­chen­dem Datenschutz. Als beson­ders bedenk­lich wur­den sechs Instanzen ein­ge­stuft, die zu gro­ßen medi­zi­ni­schen Versorgungszentren (MZV) gehör­ten. Des Weiteren fan­den sie 10 GUSboxen im Internet, also Router für das Safenet-System der kas­sen­ärzt­li­chen Vereinigungen. Bezogen auf die tele­ma­ti­sche Infrastruktur des Gesundheitswesens (TI) ent­deck­ten sie 29 Konnektoren, die ohne Authentifizierung erreich­bar waren. "Wenn die elek­tro­ni­sche Patientenakte dage­we­sen wäre, hät­ten wir sie lesen kön­nen", erklär­te Christoph Saatjohann das Problem. Doch die Akte star­tet erst ab dem 1. Januar, zunächst nur in weni­gen aus­ge­wähl­ten Testpraxen in Berlin und Westfalen-Lippe…«

2 Antworten auf „"Wenn die elektronische Patientenakte dagewesen wäre, hätten wir sie lesen können"“

  1. "Responsible Disclosure" – schö­nes Falschwort.
    Es heißt doch nur, dass die ver­ant­wort­li­chen Serverbetreiber Sicherheitstests an exter­ne Ehrenamtliche aus­la­gern, und im Zweifelsfalle gleich noch einen Sündenbock an der Hand haben, den sie öffent­lich­keits­wirk­sam hän­gen können.
    Und es führt dazu, dass Verantwortliche in der Öffentlichkeit behaup­ten kön­nen, dass sie die Sicherheit voll im Griff hät­ten, und man ihnen ruhig alle Daten anver­trau­en kön­ne und irgend­wann auch von Gesetzes wegen müsse.
    Wir müs­sen davon aus­ge­hen, dass alle Sicherheitslücken, die Ehrenamtliche fin­den, zuvor bereits von Kriminellen aus­ge­nutzt wurden.

  2. Auch dazu sagen dann sicher vie­le aus der Bevölkerung:
    Na und, ich habe nichts zu ver­ber­gen. Wenn mit den Daten ein Rettungssanitäter mein Leben ret­ten kann, ist das doch wunderbar. 

    Nachteile, die dar­aus ent­ste­hen, wer­den die Menschen ja erst in vie­len Jahren sehen, wenn sie und ihre Nachfahren auf Grund ihrer Gesundheitdaten kei­nen Kredit bekom­men, kei­ne Hausfinanzierung, kei­nen Job, kei­ne Versicherungen, etc.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.