Zum Inhalt springen

IT-Sicherheitsexperte „Verschlüsselung deutlich verbessern“

Die elektronische Patientenakte soll die Gesundheitsversorgung verbessern. Aber Hacker „Flüpke“ vom Chaos Computer Club ist besorgt, dass sensible Daten gegen die Patienten verwendet werden könnten.

Portrait von Fabian Lüpke. Er trägt eine Brille und lange, pinke Haare

„Eine zentrale Datenbank für medizinische Daten bräuchte hohe Sicherheitsstandards“, sagt Hacker Flüpke vom CCC. Bisher sei er von Lauterbachs Plänen nicht überzeugt. © privat

Bundesgesundheitsminister Karl Lauterbach plant Ende 2024 die elektronische Patientenakte für alle einzuführen. Der Chaos Computer Club (CCC) kritisiert diese Pläne. Wieso?

Der CCC kritisiert das Verschlüsselungskonzept der elektronischen Patientenakte. Denn als Patient hat man hier nicht die „Schlüssel“ zu seinen Daten in der Hand. Die Schlüssel würden laut den aktuellen Plänen bei den Betreibern der Akte, in einer zentralen Infrastruktur, liegen.

Damit ist man unserer Meinung nach nicht Herr seiner Daten – entgegen den Datenschutzversprechen der Gematik und von Herrn Lauterbach. Bisher ist nur auf Gesetzesebene festgelegt, dass die Patienten die Rechte an ihren Daten besitzen, technisch ist das nicht sichergestellt.

Ein Ziel der elektronischen Patientenakte ist es, dass die medizinischen Daten für Forschungszwecke genutzt werden könnten. Gleichzeitig wird über die Einführung eines sogenannten europäischen Raums für Gesundheitsdaten (European Health Space) diskutiert. Wie bei der elektronischen Gesundheitskarte sollen auch hier Gesundheitsdaten für die Forschung genutzt werden. Für mich ergibt sich an dieser Stelle das Risiko, dass die Daten in der elektronischen Patientenakte auch im European Health Space genutzt werden – ohne Einwilligung der Patienten. Denn auch hier ist bisher nicht auf technischer Ebene sichergestellt, dass es die Zustimmung der Patienten braucht, um die Daten aus der elektronische Patientenakte für Forschungszwecke zu nutzen.

Was ist die Gematik?

Die Gematik ist eine Gesellschaft, die die Weiterentwicklung der elektronischen Gesundheitskarte vorantreiben sollte. Sie wurde 2005 gegründet. Das deutsche Bundesgesundheitsministerium hält 51 Prozent an der Gematik, weitere Gesellschafter sind beispielsweise die Bundesärztekammer oder die Kassenärztliche Bundesvereinigung (KBV).

Die Gematik soll laut Digitalstrategie nun zu einer Digitalagentur weiterentwickelt werden und sich künftig zu 100 Prozent in der Trägerschaft des Bundes befinden.

Sehen die Pläne des Gesundheitsministeriums denn nicht vor, dass die Daten für Forschungszwecke nur anonymisiert oder pseudonymisiert verwendet werden dürfen?

Ob eine Anonymisierung tatsächlich möglich ist, bezweifle ich. Denn ein Arztbrief kann auch ohne meinen Namen darauf sehr viele Daten enthalten, die speziell auf mich bezogen sind und mit denen man mich identifizieren kann. Stattdessen möchte man auf eine Pseudonymisierung setzen. So sollen verschiedene Datensätze miteinander in Verdingung gesetzt und ausgewertet werden, beispielsweise um einen Krankheitsverlauf über einen längeren Zeitraum nachvollziehen zu können.

Das Problem mit der Pseudonymisierung ist Folgendes: Wenn einem Patienten einmal ein Pseudonym zugeordnet worden ist, kann man das nicht wieder rückgängig machen. Somit können Datensätze nun diesem Patienten zugeordnet werden, wenn man das Pseudonym kennt. Und auch wenn man das Pseudonym immer wieder wechseln würde, wäre es möglich, anhand der entsprechenden Daten die Person wiederzuerkennen. Denn wenn man sich vorstellt, dass man unter ein Foto von mir wechselnde Namen klebt, bleibe ich trotzdem die Person auf dem Foto. Statt des Fotos haben wir medizinische Daten, also Messwerte, die auf einige Nachkommastellen genau sind, vielleicht sogar genetische Daten. Die sind so spezifisch, dass sie sich eindeutig zuzuordnen lassen.

Besonders riskant in diesem Zusammenhang ist es, dass einmal veröffentlichte oder geleakte Daten kaum zurückzuholen sind. Und medizinische Daten sind sensible Daten und in verschiedenen Zusammenhängen sehr relevant – wenn man beispielsweise in die private Krankenversicherung wechseln, eine Lebensversicherung oder eine Berufsunfähigkeitsversicherung abschließen möchte. Natürlich ist dafür auch jetzt schon ein medizinischer Background-Check notwendig. Aber ich gehe davon aus, dass diese Daten auch in anderen Zusammenhängen relevant werden, wenn es einmal möglich ist, diese medizinischen Daten vollautomatisch auszuwerten.

Sicherlich gibt es mit einer elektronischen Patientenakte diverse Vorteile für die Patienten, aber die Daten können immer auch gegen die Patienten verwendet werden.

Um eine elektronische Patientenakte anzulegen, soll das sogenannte Video-Ident-Verfahren genutzt werden. Der CCC hat das Programm in einem Test überlistet. Welche Probleme gibt es mit dem Verfahren?

Das Video-Ident-Verfahren dient – wie der Name andeutet – dazu, Menschen zu identifizieren. Mit diesem Verfahren wird sichergestellt, dass eine Person auch die ist, die sie vorgibt zu sein. Beispielsweise wird das Verfahren angewendet, wenn man bei einer Online-Bank ein Konto abschließt.

Dazu verwendet man normalerweise eine Handy-App, hält seinen Ausweis oder Führerschein in die Kamera und schaut selbst in die Kamera. Über dieses optische Verfahren wird dann abgeglichen, dass es sich um dieselbe Person handelt.

Das ist allerdings angreifbar, indem man den Video-Stream manipuliert. Es ist denkbar, das mithilfe von Künstlicher Intelligenz zu schaffen. So könnten Videomaterialen produziert werden, die es theoretisch möglich machen, sich im Video-Stream als eine andere Person auszugeben.

Statt Video-Ident-Verfahren könnte man auf die eID-Funktion des Personalausweises setzen: Seit über 10 Jahren enthalten Personalausweise eine Chipkarte und damit einen Online-Ausweis. Damit können sich Inhaber online ausweisen und etwa Behördengänge digital erledigen. Diese Technik könnte man auch im Zusammenhang mit den elektronische Patientenakte nutzen und so auf ein Video-Verfahren verzichten. Denn das Video-Ident-Verfahren erreicht nicht das gleiche Sicherheitsniveau wie solche Chipkarten-Lösungen.

Lauterbach plant eine sogenannte Opt-Out-Lösung: Wer keine elektronische Akte möchte, muss widersprechen. Wie finden Sie das?

Bisher haben sich weniger als ein Prozent der Versicherten dazu entschieden, eine elektronische Patientenakte anzulegen. Das zeigt meiner Meinung nach, dass die elektronische Patientenakte keine große Akzeptanz bei den Versicherten hat. Ich persönlich finde es nicht richtig, die Patienten nun durch eine Opt-Out-Lösung zur elektronische Patientenakte zu zwingen.

Warum nicht?

Ein Opt-Out ist keine freiwillige Entscheidung. Wähle ich den Opt-Out, muss ich Nachteile in Kauf nehmen, finde ich. Ich mache mich verdächtig: Sieht der Arzt, dass es keine elektronische Patientenakte gibt oder dass er keinen Zugriff hat, dann muss er doch annehmen, dass der Patient ihm misstraut oder etwas zu verbergen hat. So kann es schnell den Anschein erwecken, als hätte man etwas zu verheimlichen, nur weil man bei der elektronische Patientenakte nicht mitmachen möchte. Ich halte es für möglich, dass das gegen einen verwendet werden könnte, genauso wie die Daten, die sich in der elektronische Patientenakte befinden. Deshalb lehne ich persönlich eine Opt-Out-Version ab.

Was müsste passieren, damit die elektronische Patientenakte unter sicheren Bedingungen eingeführt werden könnte?

Den größten Behandlungsbedarf sehe ich beim kryptographischen Konzept der elektronischen Patientenakte. Das bedeutet, alles, was mit der Verschlüsselung der Daten zu tun hat, müsste deutlich verbessert werden.

Gleichzeitig müssen auch digital weniger versierte Menschen in der Lage sein, die elektronische Patientenakte zu nutzen. Ich verstehe, dass man diese beiden Faktoren – Sicherheit versus Usability – gegeneinander abwägen muss. Trotzdem sollte es möglich sein, die Schlüssel zu der elektronische Patientenakte selbst zu verwahren und zu verwalten. Diese Verwaltung sollte nicht einem Dritten überlassen werden, der theoretisch Zugriff auf meine Daten hat.

Ich finde, man muss unbedingt nachschärfen und einen solchen Zugriff auf technischer Ebene unterbinden und nicht nur auf gesetzlicher.

Also doch wieder zurück zum Fax?

Naja, oft wird kritisiert, dass Ärzte sich noch per Fax Befunde zusenden. Ich möchte dazu sagen, dass ich diese Kommunikationsform nicht besonders problematisch finde, auch wenn sie etwas unmodern ist. Das Fax ist ein dezentraler Kommunikationsweg. Ein Fax kann man abfangen, es ist unverschlüsselt, aber es ist unrealistisch, dass sich jemand irgendwo bemüht, einen Faxanschluss abzuhören.

Viel wahrscheinlicher ist doch, dass jemand eine große zentrale Datenbank mit Daten von allen gesetzlichen Versicherten attackiert. Deshalb bräuchte eine solche zentrale Datenbank Sicherheitsstandards, die wir bisher bei der Gematik noch nicht erlebt haben.

Zur Person

Fabian Lüpke

Fabian Lüpke, besser bekannt als Flüpke, ist IT Security Analyst, umgangssprachlich: Hacker. Nach der Schule und einem sehr guten Abitur begann Lüpke ein Informatikstudium, das er aber abbrach, da er es „nicht zufriedenstellend“ fand. Seitdem engagiert er sich im Chaos Computer Club und beschäftigte sich hier unter anderem mit Schwachstellen des e-Rezeptes und der elektronischen Patientenakte.

Mehr zum Thema