Die heutige Degitalisierung möchte ich einleiten mit den Worten der aktuellen Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI), Louisa Specht-Riemenschneider. Aus ihrer Vorstellung in der Bundespressekonferenz ist bei mir vor allem der Gedanke der Gleichzeitigkeit hängen geblieben, der uns in der durchaus turbulenten Zeit für die Digitalisierung des Gesundheitswesens helfen kann.
Nach dem Talk zur elektronischen Patientenakte auf dem 38C3, dem letzten Chaos Communication Congress, wurden meinem „Partner in Crime“ Martin Tschirsich und mir durchaus viele Fragen gestellt, speziell zur Informationssicherheit des Konstrukts der sogenannten ePA für alle. Es gibt gerade viel Berichterstattung, das Narrativ der sicheren Patientenakte wird zumindest stark infrage gestellt.
Nicht selten folgt darauf immer wieder die Frage: Wenn jetzt beispielsweise die gematik gewisse Maßnahmen umsetzt, sind wir dann sicher? Ich glaube nicht, dass sich diese Frage mit Ja oder Nein beantworten lässt. Die Frage nach Informationssicherheit lässt sich aber auch nicht mit einem „hundertprozentige Sicherheit gibt es eh nicht“ wegwischen. Das ist oftmals eine faule Ausrede, technischen, organisatorischen und tiefergehenden strukturellen Murks durchgehen zu lassen, was uns am Ende nur allen gemeinsam schadet.
Weil es so scheint, dass Informationssicherheit in diesen Tagen, speziell im Kontext des digitalen Gesundheitswesens in Deutschland, immer noch in den Kinderschuhen steckt, muss ich dazu heute wieder auf diesen Aspekt der Gleichzeitigkeit hinweisen. Bisher scheinen wir nicht wirklich von einer Gleichzeitigkeit von erwünschten Vorteilen und damit unweigerlich verbundenen Nachteilen auszugehen, das aber nicht nur im digitalen Gesundheitswesen.
16.000 bis 58.000
In den letzten Tagen wird Gesundheitsminister Karl Lauterbach nicht müde zu erwähnen, dass wir jetzt die Digitalisierung des Gesundheitswesens brauchen. Weil dadurch zum Beispiel zehntausende Todesfälle wegen Medikamentenunverträglichkeiten vermieden werden könnten. Anfang Januar sprach er von Zehntausenden vermeidbaren Todesfällen in den Tagesthemen und wird nicht müde, dies immer wieder zu wiederholen.
Eine mögliche Vermeidung von Todesfällen durch Medikamentenunverträglichkeit, sei es durch Doppelverschreibungen oder Verschreibung von Medikamenten mit Wechselwirkungen, ist nicht unrealistisch, wenn es gut läuft. Das kann daher als großer Nutzen der Funktion der elektronischen Medikationsliste der ePA gesehen werden.
Aber: Bereits die konkrete Zahl, wie viele Todesfälle durch Medikamentenunverträglichkeit genau jährlich in Deutschland auftreten und damit anteilig vermieden werden könnten, ist nicht genau belegbar. Laut Auswertungen der Wissenschaftlichen Dienste des Bundestages von 2020 liegt die Zahl der Todesfälle durch Medikamentenunverträglichkeit zwischen 16.000 und 58.000, die Wissenschaftlichen Dienste attestierten auch, dass genaue Daten diesbezüglich nicht existieren.
Es gibt hier also ein digitales Präventionsparadox: Die Größe des zu lösenden Problems, das durch Digitalisierung reduziert werden soll, kann mangels Digitalisierung nicht genau bestimmt werden. Gleichzeitig können wir wohl aber alle darin übereinstimmen, dass es sinnvoll ist, Digitalisierung dazu sinnstiftend nutzen zu wollen, um die Zahl von Todesfällen durch Medikamentenunverträglichkeit mittels Digitalisierung senken zu wollen.
70.000.000
Kurz vor Einführung der ePA für alle zeigt das Dashboard der gematik die ziemlich genaue Zahl von bisher 1.907.784 ePAs in der bisher laufenden Form der ePA als Opt-in. Eine Form der ePA, die sich also immerhin etwa 1,9 Millionen Menschen aktiv beschafft haben.
Die genaue Anzahl der möglicherweise bald entstehenden ePa für alle ist nicht ganz so einfach zu bestimmen. Aber irgendwie brauchen Menschen im Bereich von Sicherheitslücken ja immer eine Orientierung, wie groß ein digitales Problem überhaupt ist. Wie groß die Gleichzeitigkeit des Problems also ist, denn das ist das besondere bei digitalen Sicherheitslücken: Es sind oftmals die Daten vieler Menschen gleichzeitig betroffen.
Für unseren Talk haben wir versucht, in etwa zu schätzen, wie viele Menschen wohl zum Start der ePA für alle, der Opt-out-ePA, aktiv zum Start widersprechen würden. Also mal angenommen, wir hätten jetzt nicht ein paar größere bis massive Mängel vorher transparent gemacht.
Aus den Kreisen der Krankenkassen wurde Ende Oktober eine eher niedrige Widerspruchsrate von wenigen Prozent vermeldet. Das Bundesgesundheitsministerium vermeldet Stand Februar 2024 etwa 74,3 Millionen Versicherte. Mit ein paar Prozent weniger sind wir dann bei gerundet 70 Millionen ePAs für alle, die ein mögliches Ziel darstellen. Gleichzeitig können wir also wohl darin übereinstimmen, dass der Missbrauch von Gesundheitsdaten bereits durch technische Maßnahmen bestmöglich verhindert werden muss. Nicht nur für „große“ Hackerangriffe auf Millionen auf einmal, wie Lauterbach immerhin inzwischen selbst postuliert, sondern auch für jeden kleinen Angriff auf einzelne Akten.
Es wäre zu vermuten, dass ein technisches Risiko für 70 Millionen Menschen gleichzeitig relativ schnell beseitigt werden würde, wenn es bekannt würde. Nun, massive Sicherheitsmängel im Versichertenstammdatendienst (VSDM), die wir im August an die gematik gemeldet haben, wurden erst dann begonnen zu beheben, als wir mehr Fakten für einen möglichen erfolgreichen Angriff geschaffen haben. Denn erst mit dem praktischen Nachweis wird hektisch gehandelt, um es mit den Worten von Martin in der taz zu sagen. Anders leider nicht. Es ist auch egal, wenn gerade in diesem Moment der Fachdienst zum E-Rezept von der Lücke in VSDM ebenfalls betroffen ist, was jüngst von Seiten der BfDI bestätigt wurde.
In einer Studie zum Opt-out einer elektronischen Patientenakte der Bertelsmann-Stiftung von 2023 wird in Aussagen von Experteninterviews darauf hingewiesen, dass „polarisierende Berichterstattung über angebliche Datenlecks (CCC) kontraproduktiv“ sei. Mit Verlaub, alle anderen Möglichkeiten, um massive Sicherheitslücken zu schließen, waren nicht produktiv. Lediglich die Veröffentlichung und deutliche Illustration der Sicherheitsprobleme mit konkreten Zahlen zum Schaden und Aufwand hat zu einem Handeln geführt.
Eine Sicherheitskultur, die solche Probleme stillschweigend im Hintergrund gelöst hätte, ganz ohne medialen Aufschrei, war leider nicht vorhanden – wieder einmal. Gleichzeitig können wir polarisierende Berichterstattung kontraproduktiv finden, aber auch anerkennen, dass sich ohne eben diese Polarisierung nichts Produktives an der Sicherheit der ePA für alle getan hätte.
Von der gleichzeitigen Gefahr der Anklage nach Hackerparagrafen wollen wir mal gar nicht reden. Diese Gefahr für Hacker*innen, die sich klar ethisch verhalten, steht nach wie vor im Raum, Gesetzentwürfe zur Verbesserung dieser Situation hängen weiter fest.
35 Prozent
Die ePA für alle wurde ganz bewusst als eher sehr zentrale Architektur geplant. Aktensysteme, die auf Servern von Krankenkassen Gesundheitsdaten von Millionen Versicherten zentral speichern, gleichzeitig. Ein Forschungsdatenzentrum Gesundheit, in dem die Daten aller 70 Millionen Versicherten zentral pseudonym abgespeichert werden sollen, um dort gleichzeitig beforscht werden zu können. Pseudonym heißt, dass an den Daten nicht mehr der Klarname hängen wird, die individuellen Datenwerte und ihre möglichen Verkettungen aber erhalten bleiben. Wegen der Einzigartigkeit der eigenen individuellen medizinischen Daten ist ein Risiko einer Reidentifikation technisch gesehen sehr hoch – diese Reidentifikation ist zumindest nach Gesundheitsdatennutzungsgesetz strafbewehrt.
Aber sehr wichtig seien ja die Chancen: Es werde sehr wichtig sein, dass „mit Künstlicher Intelligenz dieser Datensatz nutzbar“ werde, so Karl Lauterbach auf der Digital Health Conference im November letzten Jahres. Gleichzeitig können wir wohl darin übereinstimmen, dass der aktuelle Status Quo der Sicherheitskultur im deutschen digitalen Gesundheitswesen ein Konzept eines zentralen Forschungsdatenzentrums mit pseudonymen Daten der ganzen Bevölkerung zu einem Alptraum macht.
Am Ende fehlt aber vielleicht das Bewusstsein, inwieweit wir, wenn wir Digitalisierung im Gesundheitswesen wollen, auch selbst einen Anteil leisten müssen. Inwiefern wir möglicherweise selbst einer von vielen Einfallsvektoren in einem großen vernetzten digitalen Gesundheitswesen sind. Wir betonen nach dem Vortrag zur ePA auf dem Congress immer wieder, dass wir von Mediziner*innen nicht erwarten können, dass sie eine Praxis mit topsicherer IT selbst ausstatten können. Allerdings ist es wichtig, sich die eigene verbleibende Rolle in einem vernetzten Gesundheitssystem bewusst zu machen.
Anfang Oktober 2023 wurden am Universitätsklinikum Frankfurt am Main Vorbereitungen für einen möglichen Hacker-Angriff entdeckt. Das ist eigentlich gut. Denn nach Auswertungen von Semperis im letzten Jahr sind 35 Prozent aller Gesundheitseinrichtungen mehreren stattfindenden Ransomware-Attacken gleichzeitig ausgesetzt – und merken das gleichzeitig selten selbst.
Leider folgte auf den erfolgreich vermiedenen Angriff an der Uniklinik Frankfurt aber eine Verklärung der eigenen Bedeutung für die IT-Sicherheit im digitalen Gesundheitswesen. „Wenn wir in einer idealen Welt leben würden, dann hätten wir eine elektronische Patientenakte, und es gäbe keine dezentralen Patientendaten, so wie wir es haben. Dann wären 1.900 Krankenhäuser ein weniger attraktives Ziel für Hacker“, sagte der ärztliche Direktor Jürgen Graf der FAZ (€).
Vorbedingung für den unberechtigten Zugriff auf die 70 Millionen ePAs für alle etwa ist der Zugang über eine Leistungserbringerinstitution, etwa ein ahnungsloses Krankenhaus. Ganz egal, wie sich die die Datenhaltung in einer ePA zukünftig gestalten wird, können wir nicht beides haben: Immer schön Zugriff auf Daten aller Versicherten, aber keine Verantwortung für die eigenen Zugangsmöglichkeiten dazu übernehmen. Gleichzeitig können wir also anerkennen, dass wir alle eine gemeinsame Verantwortung für die Digitalisierung im Gesundheitswesen und ihre Sicherheit tragen. Gleichzeitig können wir aber auch anerkennen, dass ein Sicherheitskonzept eines digitalen Gesundheitswesens auch mit immer wieder kompromittierten Praxen oder Krankenhäusern umgehen können werden muss.
Diese Verantwortung für unser aller Sicherheit ist durch die ePA für alle an einigen Stellen größer geworden. Manche haben das vielleicht noch nicht realisiert. Es bleibt viel zu tun. Manchmal alles gleichzeitig.
Danke für diesen Beitrag
Wer hatte alles sich als Interessenten an der Datenverarbeitung bereits gemeldet?
Es sind die üblichen Großkonzerne der „KI“ Kandidaten.
Wer die Mechanismen hinter „Family Tree / Incest Tree“ versteht, der versteht auch die Mechanismen hinter der „KI“… „Fingerprint“ usw!
>“Weil dadurch zum Beispiel zehntausende Todesfälle wegen Medikamentenunverträglichkeiten vermieden werden könnten.“
Ich kann mir vorstellen, dass hierzu die 116117 24/7 für Krankenhausnotaufnahmen unter Angabe oder Rückruf und Schlüssel, für gewisse Risikopatienten eine Medikamentenunverträglichkeits-auskunft geben kann.