A1160 Deutsches Ärzteblatt⏐⏐Jg. 106⏐⏐Heft 22⏐⏐29. Mai 2009
A
llein im Mai 2009 habe es mehrere spektakuläre Mel- dungen über Sicherheitslecks im Gesundheitsbereich gegeben. Das berichtete Dr. Kurt Brand, Leiter des Arbeitskreises Sicherheit im eco – Verband der deutschen Internet- wirtschaft e.V., bei einem Workshop zum Thema Sicherheit in der Ge- sundheitstelematik in Köln. So konnten in US-amerikanischen Kli- niken vom Conficker-Virus befalle- ne Rechner aufgrund staatlicher Vorschriften nicht direkt von der Schadsoftware befreit werden. Der Grund: Die Rechner dienen zur Be- rechnung und Analyse von MRT- Bildern und dürfen daher zum Schutz von Ärzten und Patienten erst nach einer Frist von 90 Tagen„manipuliert“ werden. Entdeckt wurden bislang rund 300 infizierte Computer, die nicht nur in der Nähe oder in Intensivstationen eingesetzt worden sind, sondern teilweise so- gar über lokale Netzwerke mit dem Internet verbunden waren.
Datendiebstahl
Ebenso aufsehenerregend ist der in mehreren Medien berichtete Ver- such, eine US-amerikanische Ge- sundheitsbehörde zu erpressen. Da- nach wurden dem Virginia Presrip- tion Monitoring Program, einer Clearingstelle für verschreibungs- pflichtige Medikamente, bei einem Einbruch auf dem Server Daten von mehr als acht Millionen Patienten und über 35 Millionen Rezeptverschrei- bungen entwendet. Der Erpresser verlangt zehn Millionen US-Dollar für ein Passwort, mit dem sich das verschlüsselte Backup der Datenbe- stände wieder freischalten lässt.
Generell ist immer noch die Hälf- te der Datenlecks auf den Verlust und Diebstahl von PCs und Daten- trägern zurückzuführen. Zu verzeich- nen sei ebenfalls ein starker Anstieg
der Malware-Verbreitung über Wechselmedien, wie etwa USB- Sticks, erklärte Brand. Auch die Zahl der „Botnetze“ – Netzwerke aus Tau- senden von infizierten Computern (Bots oder Zombies genannt), die von einem „Masterserver“ fernge- steuert würden – nehme zu, so Brand.
Durch „Phishing“ frisierte Seiten (das heißt gefälschte Webseiten, mit denen Passwörter des Benutzers ab- gegriffen werden) sind nach Exper- tenmeinung am häufigsten im Ge- sundheitsbereich anzutreffen.
Empfehlungen für die Ärzte Vor diesem Hintergrund sind die 2008 veröffentlichten „Empfehlun- gen der Bundesärztekammer und der Kassenärztlichen Bundesvereini- gung zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis“ und die darin ent- haltene technische Anlage zur IT-Si- cherheit hochaktuell (www.aerzte blatt.de/v4/plus/down.asp?typ=PDF
&id=2316). Letztere werde, im Un- terschied zum juristischen Text zur ärztlichen Schweigepflicht und zum Datenschutz künftig sicher häufiger aktualisiert werden müssen, um neuere Bedrohungen im Bereich IT- Sicherheit zu berücksichtigen, er- klärte Dr. med. Georgios Raptis, Te- lematikexperte bei der Bundesärzte- kammer (BÄK). Für die organisato- rischen Sicherheitsmaßnahmen in der Arztpraxis ist in der Regel der Arzt verantwortlich. Dagegen rät die BÄK bei der Umsetzung technischer Maßnahmen, aufgrund der zuneh- menden Komplexität einen IT- Dienstleister hinzuzuziehen.
Raptis stellte klar, dass Rechner mit Patientendaten keine direkte Ver- bindung ins Internet haben dürfen, wohingegen eine sichere Verbindung mit einem Intranet über eine VPN- Verbindung (Virtual Private Net- work), wie sie etwa das KV-Safenet
unterstützt, möglich ist, sofern hoch- wertige Firewall- und Virenschutzlö- sungen genutzt werden. WLAN (drahtloses lokales Netzwerk) und Voice over IP (Internettelefonie) be- wertet die BÄK unter Sicherheits- aspekten kritisch. Darüber hinaus be- fürwortet sie den Einsatz von Chip- karten als sichere Träger von krypto- grafischen Schlüsseln, um Authenti- zität und Vertraulichkeit von Daten zu schützen. Vor allem der elektronische Arztausweis als Schlüssel für die Te- lematikinfrastruktur könne die Kom- munikation im Gesundheitswesen ef- fektiv absichern, betonte Raptis.
Die elektronische Gesundheits- karte (eGK) und die auf Basis der HPC(Health Professional Card)-Spe- zifikation entwickelten elektroni- schen Heilberufsausweise müssen kompatibel sein, damit sie interagie- ren können. Die derzeit in den Testre- gionen ausgegebenen elektronischen Arztausweise basieren noch auf einer alten HPC-Spezifikation. Sie würden daher, ebenso wie die dort eingesetz- ten eGK-Testkarten, für den Basis- rollout nochmals ausgetauscht wer- den, erläuterte Raptis. Auch bei den Arztausweisen, die in Nordrhein im Rahmen des Projekts Online-Ab- rechnung der Kassenärztlichen Verei- nigung genutzt werden, handelt es sich noch nicht um Karten nach der
„finalen“ Spezifikation. Immerhin lasse sich mit diesen Projekten zeigen, dass die Karten außerhalb der Tele- matikinfrastruktur funktionierten und für die qualifizierte Signatur genutzt werden könnten, so Raptis. Die end- gültigen Heilberufsausweise sollen als Gegenpart zu den „echten“ Ge- sundheitskarten, den eGKs der Gene- ration eins, ausgegeben werden. Auf- grund der erforderlichen Kompatibi- lität zur eGK werden künftige Karten- generationen in enger Abstimmung mit der Gematik fortentwickelt. I Heike E. Krüger-Brand
Foto:iStockphoto
