zur Navigation zum Inhalt
© ÖÄK/Bernhard Noll
Patientenbefunde sind am Schwarzmarkt begehrt. ELGA verbreitert die Angriffsfläche für Datenspionage, sagen Szekeres, Steinhart und Stubbings (v. l.)
 
Gesundheitspolitik 27. Jänner 2017

Datenbedenkenträger

E-Health. Die Ärztekammer stemmt sich weiterhin gegen die landesweite Einführung der elektronischen Gesundheitsakte ELGA. Der Cyber-Security-Experte Thomas Stubbings benennt potenzielle Schwachstellen des Netzwerkes: Spitäler, Ärzte und Apotheker.

50 US-Dollar, das sind umgerechnet ca. 46,50 Euro. Soviel ist laut FBI eine gestohlene digitale Krankenakte wert, auf dem Schwarzmarkt. Das sagt Dr. Thomas Stubbings, der im Auftrag der Ärztekammer die Bedrohungslage für die heimischen Patientendaten analysiert hat. Seine Erkenntnis nach Studium der öffentlich zugänglichen ELGA-Unterlagen: „Man kann und muss davon ausgehen, dass ELGA im Besonderen in den nächsten Jahren Ziel von Angriffen sein wird – oder sogar schon ist.“

„Noch nicht spannend genug“

Wobei Stubbings und seine Auftraggeber, der Wiener Ärztekammer-Präsident Dr. Thomas Szekeres und der Vizepräsident der Ärztekammer, Dr. Johannes Steinhart, einräumen mussten, dass bislang nichts passiert sei. Derzeit seien zu wenige Dokumente im System vorhanden (Anm.: es sind laut Auskunft der ELGA GmbH ca. 3 Millionen), „das ist noch nicht spannend“, sagt Steinhart. Die volle kriminelle Energie wird sich demnach dann entfalten, wenn das ELGA-Netz fertig gesponnen und damit auch ein Hebel vorhanden ist, um auf Gesundheitsdaten in ganz Österreich zuzugreifen.

Ein realistisches Szenario. Denn tatsächlich sind Patientendatenhöchste sensibel, ihr Missbrauch lukrativ. 50 Dollar ist nicht viel Geld, aber wenn man sich vor Augen führt, dass eine Milliarde Benutzerkonten von Yahoo geknackt wurden, wird die Dimension deutlich, von der Stubbings, Szekeres und Steinhart sprechen. Gesundheitsdaten sind die heikelsten Daten und werden im Darknet um mehr Geld gehandelt als Kreditkartennummern“, sagte Szekeres.

Stubbings‘ Warnung

Kommen die Daten in die falschen Hände, könne dies zu negativen Folgen im beruflichen und privaten Leben der Patienten führen – von Rufschädigung bis hin zu finanziellen Schäden und negativen gesundheitlichen Auswirkungen, wenn etwa die Krankengeschichte verfälscht werde, warnte Stubbings.

Die Verantwortlichen für die Elektronische Gesundheitsakte (ELGA) haben auf die Kritik der Wiener Ärztekammer reagiert. Es gebe eine ganze Reihe von Maßnahmen, um die Datensicherheit zu gewährleisten, sagt IT-Spezialist Dr. Martin Hurch, der laut eigenen Angaben seit zehn Jahren mit der Errichtung von ELGA beschäftigt ist (siehe Interview unten).

„Die grundsätzliche Gefahr von Angriffen auf Gesundheitsdienstleister draußen, auf Spitäler, Spitalsverbünde etc., ist natürlich eine reale und gegebene. Und daher muss man dort an der Peripherie permanent die Sicherheit in die Höhe schrauben.“ Die Strafen für missbräuchliche Verwendung von ELGA seien mittlerweile hart, sie reichen bis zu einem Berufsausübungsverbot, sagt Hurch.

Das Problem sieht Stubbings in den Endpunkten, also bei den Krankenhäusern, Ärzten und Apothekern. „ELGA geht davon aus, dass jeder Gesundheitsdiensteanbieter ein korrektes, sicheres Identitäts- und Berechtigungsmanagement hat, bei dem niemals ein Passwort gestohlen oder weitergegeben wird.“ Das sei „komplett unrealistisch“, sagt Stubbings. „Ein Passwort ist unsicher und unzeitgemäß, es ist aber das Authentifizierungsmittel, auf das sich ELGA verlässt“, kritisierte er.

Als Konsequenz fordert die Wiener Ärztekammer Maßnahmen, die die aus ihrer Sicht bestehenden Schwachstellen abbauen würden. So soll statt der einfachen Anmeldung über Username und Passwort eine Zweifaktor-Authentifizierung eingeführt werden. Außerdem spricht sich die Ärztekammer für eine zentrale Benutzerverwaltung für alle ELGA-berechtigten Anwender und die flächendeckende digitale Signatur von Gesundheitsdokumenten aus.

„Ein zu leichtes Spiel“

Zusätzlich wünscht sich die Ärztekammer, dass die Patienten über Push-Benachrichtigung per E-Mail oder SMS darüber informiert werden, wenn in ihrer Akte etwas verändert oder darauf zugegriffen wird. „Wir haben immer wieder darauf hingewiesen, dass wir nicht gegen eine Modernisierung sind, sondern dass es uns darum geht, dass auch die Sicherheitsgestaltung modern ist“, sagte Steinhart. Derzeit mache man Angreifern „ein zu leichtes Spiel“.

Hurchs Betrachtung

Hurch stimmt zu, dass das Bedrohungsszenario, das die Ärztekammer zeichnete, „richtig“ sei und man ständig daran arbeiten müsse, die Sicherheit zu erhöhen. Die Einschätzung, dass Sicherheitsprobleme am ehesten bei der Peripherie, also beim Zugang der Ärzte oder anderen ELGA-Usern zu den Daten, zu erwarten seien, teile er. Dieser Punkt sei jedoch in der Vorbereitung „stark betrachtet“ worden: „Das ist genau jener Punkt, den wir ernst nehmen müssen, um die Datensicherheit zu gewährleisten.“

Martin Křenek-Burger

, Ärzte Woche 5/2017

Zu diesem Thema wurden noch keine Kommentare abgegeben.

Mehr zum Thema

<< Seite 1 >>

Medizin heute

Aktuelle Printausgaben