Elektronische Patientenakte: "Ich bin vorsichtig optimistisch"

Kein System ist zu 100 Prozent sicher, weiß IT-Sicherheitsforscher Christoph Saatjohann. Warum er dennoch seine Daten für die elektronische Patientenakte freigeben würde.

Christoph Saatjohann ist Forscher im Labor für IT-Sicherheit der FH Münster. Hier werden Schwachstellen in IT-Systemen gesucht und Lösungen erarbeitet. Dieses Jahr wurden die Forscher im digitalen Gesundheitswesen fündig, unter anderem bei der Vernetzung für die neue elektronische Patientenakte (ePA).

SZ: Herr Saatjohann, wieso ist die Digitalisierung von Patientendaten überhaupt eine gute Idee?

Christoph Saatjohann: Die Akten sind ja ohnehin größtenteils digitalisiert, die wenigsten Arztpraxen nutzen noch Karteikarten. Was jetzt kommt, ist die digitale Vernetzung der Ärzte. Das macht in manchen Fällen sicherlich Sinn. Wenn ich Röntgenbilder von einer radiologischen Praxis bekomme oder MRT- und CT-Daten und dann weiterfahre zum Krankenhaus, dann ist das natürlich gut, wenn diese Vorbefunde direkt für die Diagnose verfügbar sind.

Und wieso könnte es auch eine schlechte Idee sein?

Eine schlechte Idee ist das immer, wenn das Risiko in Relation zum Nutzen sehr hoch ist. Denken wir zum Beispiel an Berichte von Psychotherapeuten. Ich sehe keinen Nutzen darin, dass man die online stellt. Ich kann mir kein Notfallszenario vorstellen, wo man diese Daten schnell zur Verfügung haben muss. Und das Risiko ist immens, das haben wir im Herbst in Finnland gesehen. Da gab es den Fall, dass solche Daten im Netz landeten (und Erpresser Lösegeld dafür forderten; Anm. d. Red.).

Das Gesundheitsministerium hält die ePA für sicher. Die Daten seien verschlüsselt. Einsehen können sie nur Patienten und Praxen, denen ich dieses Recht erteilt habe. Sie und Ihr Team haben dennoch Lücken gefunden?

Die Telematik-Infrastruktur und die ePA sind sehr komplexe Systeme mit vielen neuralgischen Punkten. Und auf manche wurde sehr hoher Wert gelegt, zum Beispiel auf die verschlüsselte Datenbank im Internet und die entsprechenden Server. Da hat sich die Gematik viel Mühe gegeben. Dass die Arztpraxen selbst alle gut geschützt sind, wird dagegen einfach vorausgesetzt. Wir haben gezeigt, dass das nicht immer der Fall ist. Nicht alle Praxen haben das IT-Sicherheitslevel, das es bräuchte.

Wie groß ist das Problem?

Wir haben das gesamte deutsche Internet gescannt, von 145 000 angeschlossenen Praxen waren bei 200 die TI-Konnektoren (spezielle Router für die Verbindung mit der Telematik-Infrastruktur; Anm. d. Red.) aus dem Netz erreichbar, knapp 30 sogar ohne Passwortabfrage. Das ist zwar ein Anteil im Promillebereich, aber bei Gesundheitsdaten ist jede Lücke eine zu viel.

Ist es nicht utopisch zu glauben, dass alle Ärzte ein Bewusstsein für IT-Sicherheit entwickeln?

Die meisten Praxen sind ja jetzt schon ans Internet angeschlossen, zum Beispiel mit Systemen zur Online-Terminvergabe. Das Bewusstsein sollte deshalb überall da sein, auch jetzt schon. Ich glaube, das sollte ähnlich laufen wie mit Hygienerichtlinien. Da gibt es schon seit Jahrzehnten Stichproben, viele Vorgaben und Überprüfungen. So sollte das auch mit der IT-Sicherheit sein. Die ist zwar nicht ganz so relevant wie Hygiene, wo es um Leben und Tod geht, aber auf Rang zwei kommt direkt die sichere IT.

Würden Sie persönlich Ihre Daten Anfang 2021 in der ePA speichern?

Ich bin vorsichtig optimistisch. Es gibt in jedem System Probleme, wichtig ist nur, dass die angegangen werden, und das ist hier passiert. Ich hätte kein Problem, zum Beispiel meine Röntgenbilder da zu speichern. Bei Berichten von Psychologen wäre mir das Risiko zu groß. Aber das geht ja. Ich als Patient kann entscheiden, welche Arztpraxis Zugriff bekommt. Radiologen würden diesen Zugriff von mir bekommen, Psychotherapeuten eben nicht.