»rC3: Es krankt an der Sicherheit im Gesundheitswesen
Berichte zur Digitalisierung im Gesundheitswesen gehören zu den Klassikern der Congress-Vorträge beim Jahresendtreffen des CCC. Unter dem Titel "Tut mal kurz weh" stellten Christian Brodowski, Christoph Saatjohann und Martin Tschirsich neue Betriebsunsicherheiten in der Gesundheits-IT vor. Im Sommer 2020 fanden sie mit einem Portscan 29 Konnektoren in der Gesundheits-IT, die ohne Authentifizierung im Internet erreichbar waren. Hätte es zu diesem Zeitpunkt bereits eine elektronische Patientenakte gegeben, so hätten Hacker sie auslesen können, so ihr Fazit. Im Zuge des "responsible disclosure" wurde die Projektgesellschaft Gematik über die Sicherheitslücke informiert; sie soll jetzt selbst mit Portscans nach unsicheren Anschlüssen scannen.«
Die Hacker »… fanden 200 Server, davon 30 mit unzureichendem Datenschutz. Als besonders bedenklich wurden sechs Instanzen eingestuft, die zu großen medizinischen Versorgungszentren (MZV) gehörten. Des Weiteren fanden sie 10 GUSboxen im Internet, also Router für das Safenet-System der kassenärztlichen Vereinigungen. Bezogen auf die telematische Infrastruktur des Gesundheitswesens (TI) entdeckten sie 29 Konnektoren, die ohne Authentifizierung erreichbar waren. "Wenn die elektronische Patientenakte dagewesen wäre, hätten wir sie lesen können", erklärte Christoph Saatjohann das Problem. Doch die Akte startet erst ab dem 1. Januar, zunächst nur in wenigen ausgewählten Testpraxen in Berlin und Westfalen-Lippe…«
"Responsible Disclosure" – schönes Falschwort.
Es heißt doch nur, dass die verantwortlichen Serverbetreiber Sicherheitstests an externe Ehrenamtliche auslagern, und im Zweifelsfalle gleich noch einen Sündenbock an der Hand haben, den sie öffentlichkeitswirksam hängen können.
Und es führt dazu, dass Verantwortliche in der Öffentlichkeit behaupten können, dass sie die Sicherheit voll im Griff hätten, und man ihnen ruhig alle Daten anvertrauen könne und irgendwann auch von Gesetzes wegen müsse.
Wir müssen davon ausgehen, dass alle Sicherheitslücken, die Ehrenamtliche finden, zuvor bereits von Kriminellen ausgenutzt wurden.
Auch dazu sagen dann sicher viele aus der Bevölkerung:
Na und, ich habe nichts zu verbergen. Wenn mit den Daten ein Rettungssanitäter mein Leben retten kann, ist das doch wunderbar.
Nachteile, die daraus entstehen, werden die Menschen ja erst in vielen Jahren sehen, wenn sie und ihre Nachfahren auf Grund ihrer Gesundheitdaten keinen Kredit bekommen, keine Hausfinanzierung, keinen Job, keine Versicherungen, etc.