Sensible Patientendaten in Gefahr
Zahlreiche Arztpraxen sind nach Recherchen von NDR und "Süddeutscher Zeitung" nur ungenügend vor Hacker-Angriffen geschützt. Das geht aus einem vertraulichen Papier der Gesellschaft Gematik hervor, das Panorama 3 und der "Süddeutschen Zeitung" vorliegt. Die Gematik gehört mehrheitlich dem Bund. Dem vertraulichen Gematik-Papier zufolge haben mehr als 90 Prozent der an das neue Gesundheitsdaten-Netzwerk angeschlossenen Praxen Sicherheitsrisiken in ihrer IT-Infrastruktur.
Sie sind "parallel" an das Netz angeschlossen worden - also auf eine Art, die eine zusätzliche technische Absicherung der Praxis erfordert. Die wurde in der Regel aber nicht sichergestellt. Hacker können sich daher leicht Zugang zu den sensiblen Gesundheitsdaten von Millionen Patienten verschaffen. Dass das Problem nicht nur theoretischer Natur ist, berichten Ärzte, die auf ihren Praxis-Computern bereits Schadsoftware zum Abgreifen von Daten gefunden haben.
Ärzte sind zum Anschluss verpflichtet
Mehr als 170.000 Praxen mussten laut Bundesregierung bis Ende Juni 2019 an das neue Gesundheitsdaten-Netzwerk, die sogenannte Telematikinfrastruktur (TI), angeschlossen werden. Verweigern sich die Ärzte, wird ihr Honorar gekürzt. Das Netzwerk soll Praxen, Krankenhäuser und Apotheken miteinander verbinden und verschiedene neue Anwendungen ermöglichen, darunter auch die elektronische Patientenakte.
Dafür wurden deutschlandweit viele Praxis-Computer, auf denen sensible Patientendaten gespeichert sind, zum ersten Mal ans Internet angeschlossen. Das heißt auch: Diese Computer haben in der Regel keinen IT-Schutz wie zum Beispiel Firewalls.
Eigentlich hatte die Gematik klare Vorgaben dafür entwickelt, wie der Anschluss der Praxen zu erfolgen hat. Aber ob diese bei der Installation von den IT-Dienstleistern umgesetzt werden, überprüft die Gematik nicht, die als "Gesellschaft für Telematikanwendungen der Gesundheitskarte" 2005 von den Spitzenorganisationen des Gesundheitswesens gegründet worden war, um die Digitalisierung des Gesundheitswesens voranzutreiben.
IT-Techniker warnt seit Monaten
Bereits seit dem Frühjahr weist der nordrhein-westfälische IT-Techniker Jens Ernst auf Sicherheitsprobleme bei den Anschlüssen an das neue Netzwerk hin. Er hatte festgestellt, dass von ihm betreute Arztpraxen auch dann parallel angeschlossen wurden, wenn sie über keinen ausreichenden Schutz vor Angriffen von außerhalb verfügten, weil die Computer mit sensiblen Daten noch nie ans Internet angeschlossen waren.
Immer mehr Ärzte wandten sich an ihn, in Tausenden E-Mails schilderten sie ihre Sorgen. Denn auch sie waren parallel angeschlossen worden, manche sogar mit abgeschalteten Firewalls und Virenscannern.
Mehr als 90 Prozent nicht wie vorgesehen angeschlossen
Bislang war unklar, wie viele Praxen betroffen sind. Interne Unterlagen der Gematik, die Panorama 3 und "Süddeutscher Zeitung" vorliegen, zeigen nun: Im Mai waren mehr als 90 Prozent der bereits angeschlossenen Praxen in dem als kritisch bewerteten Parallelbetrieb. Dabei hätten sie in Reihe angeschlossen werden sollen: eine Anschlussmethode, bei der der Konnektor zum Netzwerk die Praxis schützen kann. Diese Installationsart sei den Ärzten aber oft gar nicht angeboten worden, heißt es in dem Papier.
So ist es auch dem niedersächsischen HNO-Arzt Ulf Burmeister ergangen, wie er berichtet. Er habe nicht gewusst, wie seine Praxis an das neue Netz angebunden sei, erzählt Burmeister. Tatsächlich wurde Burmeisters Praxis parallel angeschlossen, ohne die dafür nötigen Sicherheitsmaßnahmen. Sein Dienstleister möchte sich auf Anfrage von NDR und "SZ" dazu nicht äußern. Mittlerweile hat Burmeister seine Praxis abgesichert.
Fraunhofer Institut: Zwei Drittel der getesteten Praxen unsicher
Prof. Harald Mathis vom Fraunhofer Institut für Angewandte Informationstechnik FIT hat im Auftrag des Bayerischen Facharztverbands 30 parallel angeschlossene Praxen exemplarisch auf ihre Sicherheit nach dem Anschluss an das Netzwerk untersucht. "Ein Drittel war sicher und die anderen zwei Drittel waren in einem beklagenswerten Zustand", sagt er.
Diese Praxen hätten laut Mathis so nicht an das Netzwerk angeschlossen werden dürfen. Er kritisiert, dass bei der Installation vor Ort nicht sichergestellt wurde, dass Praxen am Ende über die nötigen Schutzfunktionen verfügen. Damit sei man das Risiko eingegangen, "dass mit den Daten möglicherweise auch Schindluder getrieben wird".
Erste Arztpraxen bereits gehackt
Für die Patienten können die Folgen beträchtlich sein: Praxen mit dem kritischen Parallel-Anschluss sind bereits gehackt worden. Ein betroffener Arzt berichtete NDR und "Süddeutscher Zeitung": "Ich hatte große Angst. Denn wenn Daten gestohlen wurden und das rauskommt, dann ist das mein Aus als Arzt. Es geht schnell um die eigene Existenz."
Entgegen der Datenschutzbestimmung hat der Mediziner den Angriff aus Selbstschutz daher weder den Behörden noch seinen Patienten gemeldet und will deshalb anonym bleiben. Datenschützer gehen davon aus, dass nur etwa zehn Prozent der Datenpannen und -lecks gemeldet werden.
Gesundheitsministerium sieht sich nicht in Verantwortung
Für den IT-Fachmann Jens Ernst ist ein Grundproblem bei der geplanten Vernetzung, dass die Dienstleister nicht durch eine staatliche Stelle zugelassen und zertifiziert werden. Er macht das Gesundheitsministerium als Initiator der Telematikinfrastruktur für die Sicherheitslücken der betroffenen Praxen verantwortlich.
Doch das Ministerium weist dies von sich. Es erklärt auf Anfrage, dass die "IT-Netze in den Praxen nicht Teil der Telematikinfrastruktur" seien. Die sichere Installation sei Aufgabe der Praxen zusammen mit den von ihnen beauftragten Dienstleistern. Die vom Bundesgesundheitsminister beauftragte Gesellschaft Gematik ergänzt, sie habe keine Vertragsbeziehung zu den Dienstleistern und könne "daher nicht direkt auf die Dienstleister Einfluss nehmen". Dabei hat die Gematik laut Gesetz die Aufgabe, die Umsetzung der Telematikinfrastruktur zu überwachen.
Mit dem "Digitale-Versorgung-Gesetz", das vergangene Woche im Bundestag beschlossen wurde, will Bundesgesundheitsminister Jens Spahn (CDU) nun nachbessern: Die Kassenärztliche Bundesvereinigung soll eine Richtlinie zur IT-Sicherheit in Praxen erarbeiten. Die soll erst ab Sommer 2020 greifen - auf den Tag genau ein Jahr nach der Anschlussfrist für die Ärzte an das neue Netzwerk.