Seit Monaten schon warnt der IT-Experte Jens Ernst von der Firma Happycomputer in Schwerte vor Sicherheitsrisiken im Umgang mit Patientendaten. Ernst betreut Arztpraxen, deren Praxiscomputer an das bundesweite Gesundheitsdatennetzwerk angeschlossen sind. Immer wieder trifft er dabei auf gehackte Rechner. Ein vertrauliches Papier der Gesellschaft Gematik, über das NDR und SZ jetzt berichteten, bestätigt seine Warnungen. Für ihn gibt es nur eine Konsequenz: Stecker ziehen!
SZ: Die Gesellschaft Gematik treibt die Digitalisierung des Gesundheitswesens im Auftrag des Bundesgesundheitsministeriums voran. Doch bei einem Großteil der bereits an das Gesundheitsdatennetzwerk angeschlossenen Arztpraxen bestehen Sicherheitsrisiken, wie aus einem vertraulichen Papier der Gematik hervorgeht, über das NDR und SZ berichteten. Sie warnen ja schon lange vor Sicherheitslücken in Praxiscomputern. Fühlen Sie sich bestätigt?
Jens Ernst: Ja, leider. Mir war immer klar, dass sehr viele Praxen unsicher sein müssen, denn ich war bei sehr vielen Ärzten, zum Teil sind wir da einfach hingefahren, obwohl das gar nicht unsere Kunden waren, und überall haben wir dieselben Sicherheitslücken vorgefunden. Gut, dass das jetzt endlich bestätigt wird.
Exklusiv Gesundheitspolitik:Patientendaten sind meist schlecht geschützt
Viele Arztpraxen sichern sensible Informationen nicht ausreichend gegen Hacker-Angriffe. Das Gesundheitsministerium sieht sich nicht in der Pflicht - und verweist auf die Mediziner.
SZ: Sie warnen seit März unaufhörlich, haben dem Gesundheitsministerium 150 Seiten an Unterlagen vorgelegt. Was genau ist im März passiert?
Damals haben wir innerhalb von drei Tagen zwei Ärzte betreut, die an das Gesundheitsnetzwerk angeschlossen worden waren - und beide Anschlüsse sind eine Katastrophe gewesen. Sämtliche Sicherheitsvorrichtungen waren in diesen Praxen abgeschaltet worden; in einer Praxis war sogar der direkte Zugriff von außen aus dem Internet auf die Patientendaten möglich. Ich dachte erst, das kann doch überhaupt nicht sein. Aber als wir bei dem IT-Dienstleister anriefen, der die Praxis ans Netzwerk angeschlossen hatte, sagte der: Das machen wir immer so.
Sie haben dann die Gematik informiert. Wie wurde reagiert?
Die haben uns komplett ignoriert. Dann haben wir uns an die Kassenärztliche Vereinigung gewendet, an das Bundesgesundheitsministerium und an die Datenschutzbeauftragten von Bund und Land. Aber das hatte keine Konsequenzen - und das bei so sensiblen Daten, um die es hier geht! Für die Digitalisierung ist man offenbar bereit, alles in Kauf zu nehmen.
Wie gravierend sind die Sicherheitslücken denn?
Sehr gravierend. Die Praxen sind zu mehr als 90 Prozent im Parallelbetrieb angeschlossen worden, obwohl die Grundvoraussetzungen dafür nicht erfüllt sind. Dabei steht auch in den Broschüren der Gematik, dass dieser Parallelanschluss ausschließlich in Praxen vorgenommen werden sollte, in denen es bereits umfassende Sicherheitsvorrichtungen gibt. Aber in den allermeisten Praxen gibt es eben keine Hardware-Firewall - nichts, was schützen kann. Und dazu kommt, dass der Virenschutz auf dem Rechner und die Software-Firewall, die jeder Rechner heute besitzt, in vielen Fällen, die ich gesehen habe, auch noch abgeschaltet wurden. Diese Rechner waren also vollkommen schutzlos ans Internet angeschlossen. Man könnte die ganz einfach hacken und die Daten verkaufen oder die Ärzte oder Patienten damit erpressen.
Wer ist dafür verantwortlich? Die Gematik und das Bundesgesundheitsministerium verweisen darauf, dass die Arztpraxen für den sicheren Anschluss sorgen müssten.
Ich finde das verantwortungslos, absolut verantwortungslos. Wir haben im Bundesgesundheitsministerium 150 Seiten abgegeben an Fehlermeldungen, Fragen, Forderungen - für die Ärzte und auch für die Patienten. Ich habe Fälle gemeldet von gehackten Arztpraxen, bei denen kein Zweifel daran besteht, dass sie wirklich gehackt worden sind. Aber es passiert einfach nichts. Man kann doch als verantwortliche Behörde nicht die Ärzte mit diesen Problemen alleinlassen. Man muss doch jetzt dafür sorgen, dass die bereits angeschlossenen Praxen sicher gemacht werden.
Weshalb schließen denn die IT-Dienstleister die Praxen nicht sicher an?
Die Dienstleister bekommen pro Anschluss eine pauschale Entlohnung. Darum wird ausschließlich "quick and dirty" angeschlossen. Viele wissen es auch einfach nicht besser. Die Schulungen sind zu kurz oder zu schlecht. Und eine Zertifizierung gibt es ja anders als zunächst geplant nicht. Außerdem hat die Gematik, obwohl sie schon seit Langem etwas anders verspricht, niemals ein Regelwerk aufgesetzt, das ganz genau beschreibt, wie man eine Firewall beim Gesundheitsdatennetzwerk richtig und sicher einrichtet. Das wäre für alle Dienstleister unbedingt erforderlich. Weil diese Anleitung fehlt, gibt es in Deutschland bis auf wenige Ausnahmen keine sicheren Arztpraxen.
Wenn Daten gestohlen werden, sind die Ärzte aber offenbar zumindest rechtlich verantwortlich.
Ja, die hängen voll in der Haftung drin. Und das ist natürlich eine furchtbare Lage. Ich habe schon Ärzte wie Kinder weinen sehen, deren Computer gehackt wurden. Die sind doch total überfordert mit der Technik, verstehen in der Regel gar nichts davon. Ich kann doch nichts dafür, sagen sie, ich bin vom Gesundheitsministerium zum Anschluss an das Netzwerk gezwungen worden, und ich habe den Dienstleistern vertraut.
Was empfehlen Sie: Stecker ziehen?
Ja, jeder Arzt, der keine Hardware-Firewall besitzt, sollte das tun.
Und wie findet man raus, ob man eine Firewall hat?
Geben Sie mal http://portquiz.net:449 in Ihren Browser ein, das ist völlig ungefährlich. Aber es darf dann keine Seite angezeigt werden. Jeder Arzt, der bei diesem Link eine Ergebnisseite bekommt, der sollte tunlichst den Stecker ziehen, wenn ihm das Arztgeheimnis irgendwas wert ist.
Man hört an Ihrer Stimme, dass Sie die ganze Sache sehr mitnimmt.
Ja, ich bin sehr wütend darüber, das betrifft uns Menschen doch ganz tief. Patienten können alles verlieren. Wenn ihre Daten bekannt werden, vielleicht die genetische Veranlagung für einen Krebs, bekommen sie vielleicht nie wieder eine private Krankenversicherung oder eine Lebensversicherung. Und wenn Firmen wissen, dass jemand wiederkehrend Depressionen hat, dann wird er vielleicht niemals einen Job bekommen. Es ist essentiell wichtig, dass das Arztgeheimnis wirklich ein Geheimnis bleibt. Deshalb kann ich es nicht fassen, dass nichts gegen diese Sicherheitslücken unternommen wird.