Elektronische Akten im Gesundheitswesen sind ins Gerede gekommen. Holm Diening, Leiter Datenschutz und Informationssicherheit bei der gematik, geht auf die aktuellen Debatten ein.
Beim Chaos Communication Congress wurde die Sicherheit der Gesundheitsakten kritisiert. Dann kam das „Passwort-Gate“ der Politik. Wie erleben Sie die aktuellen Sicherheitsdebatten?
In der Öffentlichkeit wird leider, aber auch verständlicherweise, viel in einen Topf geworfen. Krankenkassen müssen ab 2021 elektronische Patientenakten anbieten, und dieselben Krankenkassen bieten heute schon Gesundheitsakten an. Da gibt es einen Unterschied, auch wenn man den in der Öffentlichkeit kaum wahrnimmt.
Anders als Gesundheitsakten werden elektronische Patientenakten nach §291 a SGB V künftig von der gematik zugelassen. Ist das auch ein Sicherheits-Feature?
Ist glaube, dass das mit der wichtigste Grund ist, warum die EPA nach §291a ein völlig anderes Sicherheitsniveau haben wird als die Gesundheitsakten heute. Bei der EPA nach §291a wird das einzuhaltende Niveau von Sicherheit und Datenschutz von zentraler Stelle vorgegeben, und alle Anbieter, die eine Zulassung haben wollen, müssen sich daran halten. Das allein hilft enorm. Sicherheit und Datenschutz können auf dem Niveau, das im Gesundheitswesen nötig ist, nicht Marktmechanismen überlassen werden. Denn Unternehmen, die freiwillig in so aufwändige Sicherheit investieren, hätten sowohl in Sachen Geschwindigkeit als auch in Sachen Kosten einen Wettbewerbsnachteil, wenn andere nicht denselben Aufwand betreiben. Wir brauchen deswegen zentrale Vorgaben und eine zentrale Kontrolle. Mit dieser Zulassung und dem einheitlichen Sicherheitsmonitoring nach Inbetriebnahme können die meisten Risiken ausgeschlossen werden.
Stichwort Sicherheitsaspekte bei der Zulassung: Welche Rolle wird die gematik bei der EPA-Zulassung haben, welche das BSI?
Die gematik spezifiziert die Komponenten der EPA. Das BSI begleitet diesen Spezifikationsprozess im Hinblick darauf, ob das Sicherheitsniveau akzeptabel ist. Beim Zulassungsprozess sieht es so aus, dass die Frontends – die App des Versicherten oder der Konnektor, mit dem der Arzt auf die EPA zugreift – eine BSI-Zertifizierung durchlaufen. Die Sicherheit des Backends, also der Datenspeicher, wird durch von der gematik zugelassene Sicherheitsgutachter geprüft. Im Backend der EPA lagern allerdings ausschließlich verschlüsselte Patientendaten. Die eigentliche Sicherheitsleistung passiert im dezentralen Bereich beim Arzt oder, wenn der Versicherte eine App nutzen will, in der App des Versicherten.
Dass sie sensible Patientendaten im Backend Ende-zu-Ende verschlüsseln, nehmen auch die Gesundheitsakten für sich in Anspruch. Wo ist der Unterschied? Warum wird die EPA sicherer?
Weder Vivy noch TK-Safe noch andere derzeitige Gesundheitsakten mussten einheitlich gegenüber einer zentralen Stelle nachweisen, dass sie bei jenen Sicherheitsmechanismen, die der verschlüsselten, zentralen Datenspeicherung vorgelagert sind, höchste Sicherheitsstandards einhalten. Das Problem ist in der Regel nicht der Kryptomechanismus, sondern die Implementierung. Die Schwächen, die beim 35C3-Kongress demonstriert wurden, liegen allesamt in der Implementierung. Eine wesentliche Schwäche einer der Gesundheitsakten war zum Beispiel, dass bei der Anbindung der Ärzte einfach nur ein Link generiert wurde, der sich durch simples Ausprobieren einer fünfstelligen Buchstabenkombination ermitteln ließ. Da wurde keine Verschlüsselung geknackt, aber wer will, erfährt hier eine ganze Reihe von Metadaten, die ohne jede Authentisierung abrufbar waren und die Rückschlüsse über einen Patienten zulassen. Es gab auch Probleme bei der Schlüsselgenerierung in der Arztpraxis. Auch das hat nichts mit der Datenspeicherung an sich zu tun, sondern damit, wie die Arztpraxis angebunden wird.
Das ist bei der gematik-EPA anders? Wie viele der thematisierten Probleme hätten auch bei einer Akte auftreten können, die der seit Dezember vorliegenden gematik-Spezifikation folgt?
Kein einziges. Wir haben den schriftlichen Bericht über die Gesundheitsaktenmängel schon vor der Präsentation analysiert und sind froh, dass wir bei allen dort aufgeführten Punkten sagen können: Das wäre mit einer Akte gemäß gematik-Spezifikation so nicht passiert. Unsere Fachleute haben nach der Veröffentlichung der Sicherheitsanalyse an einer Stelle der Spezifikation nachgebessert, aber das war kein Problem, bei dem man Schweißperlen auf der Stirn bekommen hätte. Der Grundunterschied ist: Für die Sicherheit der Kommunikation der Patientenakte mit dem Arzt in der Arztpraxis und für die Verschlüsselung der Daten, die in der Akte gespeichert werden, steht bei der Telematikinfrastruktur der Konnektor ein. Das ist ein völlig anderes Sicherheitsniveau als alles, was bisher von Gesundheitsakten genutzt wird.
Es gibt ja Stimmen, die die Diskussionen der letzten Tage einmal mehr dazu genutzt haben, zu sagen, dass eine rein dezentrale Speicherung sensibler Patientendaten das einzig richtige sei.
Diese Aussage würde ich so nicht unterstützen, nein. Da die gefundenen Probleme die Implementierungen im dezentralen Bereich betreffen, ist ein dezentraler Speicher auch keine Lösung. Der Datenspeicher als solches ist dann unkritisch, wenn an dezentralen Stellen die Sicherheit korrekt umgesetzt wird und die Verschlüsselung so vorgenommen wird, dass ein Angriff gegen den Datenspeicher nicht lohnt. Das gilt für jede Art von Datenspeicher, zentral oder dezentral. Und genau dafür müssen wir sorgen. Die IT-Schwachstellen, die beim 35C3-Kongress thematisiert wurden, richten sich im Wesentlichen nicht gegen das Backend, also nicht gegen den zentralen Speicher. Sie beruhen entweder auf Fehlern bei der Implementierung der App oder auf der Ausnutzung von Schwachstellen in der Software beim Arzt.
Ein Punkt, der in den aktuellen Diskussionen ebenfalls wieder aufgetaucht ist, ist die Sorge, dass der mobile Datenzugriff durch Versicherte unsicherer sei als andere Zugriffsvarianten und dass deswegen auf mobile Akten verzichtet werden sollte. Werden bei mobilen und stationären Zugriffen auf die gematik-EPA unterschiedliche Sicherheitsstandards angelegt?
Punkt eins: Wir reden immer immer von der gleichen Akte, es gibt keine verschiedenen Aktentypen für den Zugang mit oder ohne Smartphone. Bei dieser Akte hat man als Versicherter die Möglichkeit, mit eigener IT zuzugreifen, mit dem Smartphone oder dem PC. Auch das unterscheidet die gematik-Akte übrigens von den Gesundheitsakten. Bei denen läuft ohne Smartphone-App gar nichts. Worauf Sie anspielen, sind die Authentisierungsverfahren. Die Authentisierung per Gesundheitskarte funktioniert sowohl am PC – mit einem Kartenlesegerät – als auch künftig am Smartphone. Dazu sollen die Gesundheitskarten fit für die Near Field Communication (NFC) gemacht werden. Das sind die traditionellen, also streng kartengebundenen Authentisierungsverfahren. Diese Apps werden auch eine BSI-Zertifizierung haben. Zusätzlich soll es gemäß TSVG alternative Authentisierungsverfahren geben, die aber freiwillig sind. Wie die im Detail aussehen, ist derzeit noch in Diskussion. Das könnten beispielsweise von der eGK abgeleitete Identitäten sein, aber sicher nicht nur Nutzername und Passwort.
Wenn ich zum Beispiel meine eGK nutze, um die Akten-App zu aktivieren, die Karte dann aber nicht für jeden Zugriff brauche?
Ja, aber das ist wie gesagt noch in Diskussion. Wichtig ist, dass sich beides nicht ausschließt. Es wäre zum Beispiel denkbar, dass ich für einen normalen Datenzugriff ein alternatives Authentisierungsverfahren nutze, für das Einrichten eines Vertreters oder für die Löschung meiner Akte dagegen das klassische, kartenbasierte Authentisierungsverfahren. Richtig ist, dass die alternativen Authentisierungsverfahren laut TSVG keine BSI-Zertifizierung benötigen.
Die gematik-Spezifikation für die EPA nach §291a liegt ja jetzt vor. Können Anbieter von Gesundheitsakten schon auf die neue Spezifikation umsteigen?
Die Spezifikation einschließlich der Authentisierung per eGK – egal ob kontaktbehaftet oder per NFC – liegt vor und kann genutzt werden. Die alternativen Authentisierungsverfahren werden in Kürze nachgeliefert. Die Anbieter können also loslegen, und sie sollten das auch tun, um die gesetzliche Frist 1. Januar 2021 zu halten. Es gibt jetzt in enger Taktzahl Abstimmungen mit Krankenkassen und entsprechende Informationsveranstaltungen für die Anbieter. Wichtig ist eine enge Abstimmung mit uns und dem BSI schon in der Entwicklungsphase. Eine Akte zu entwickeln, ohne je mit uns Kontakt gehabt zu haben und sie dann erst am Ende zur Zulassung einzureichen, ist eher nicht zu empfehlen.
Das Interview führte Philipp Grätzel von Grätz, Chefredakteur E-HEALTH-COM