Die ePA bleibt in Sachen Sicherheit in den Schlagzeilen. Wie sollte mit dem Thema umgegangen werden? Eigentlich ist es gar nicht so schwer.
Die Einführung der elektronischen Patientenakte (ePA) ist ein bedeutender Schritt in der Digitalisierung des Gesundheitswesens. Sie verspricht, die medizinische Versorgung zu verbessern, indem sie den schnellen Zugriff auf vollständige Patienteninformationen ermöglicht. Die Erwartungen sind entsprechend hoch. Doch während die ePA viele Chancen bietet, sind auch Sicherheitsrisiken zu beachten. Deswegen ist es wichtig, einen realistischen Blick auf die Herausforderungen und mögliche Lösungsansätze zu werfen.
Chancen der ePA: Verbesserung der Versorgung
Mit Hilfe der ePA können Ärzte schneller auf alle relevanten Patientendaten zugreifen, was nicht nur Leben retten kann, sondern auch Behandlungen erleichtert und fehlerhafte Diagnostik vermeidet. Darüber hinaus eröffnet die ePA die Möglichkeit, anonymisierte Gesundheitsdaten für die Forschung und Prävention zu nutzen. Die aktuelle Architektur der ePA stellt sicher, dass Krankenkassen oder andere externe Akteure automatisch auf diese Daten zugreifen oder Profile bilden können.
Sicherheitsrisiken: Schwachstellen und Gefahren
Um ein vollständiges Bild der ePA zu bekommen, ist es wichtig, auch die Sicherheitslücken zu beleuchten. Berichte von dem Fraunhofer SIT und dem Chaos Computer Club decken Schwächen bei der Rollentrennung und potenzielle Angriffsflächen durch Drittsysteme auf. Es bestehen insbesondere folgende reale Gefahren für Missbrauch und Datenverlust:
● mangelhafte Rollentrennung
● potenzielle Angriffe über Drittsysteme und IT-Komponenten (Supply-Chain-Risiken)
● unklare Verantwortlichkeiten beim Umgang und der Weiterverarbeitung mit sensiblen Daten
Ein weiteres Risiko stellt die mögliche Lockerung der Datenschutzbestimmungen in der Zukunft dar, was dazu führen könnte, dass Krankenkassen auf persönliche Daten zugreifen und möglicherweise Diskriminierung oder Selektion vorantreiben.
Vertrauen in die ePA: Transparenz als Schlüssel
Das Vertrauen in die ePA kann nur wachsen, wenn die bestehenden Sicherheitslücken offen kommuniziert und kontinuierlich behoben werden. Zwar bietet die gematik grundlegende Schutzmechanismen, doch Sicherheitslücken sind weiterhin erkennbar. Vertrauen entsteht nicht durch absolute Fehlerfreiheit, sondern durch regelmäßige externe Audits und kontinuierliche Verbesserungen. Eine transparente Sicherheitsstrategie ist daher unerlässlich.
Sicherheitsmanagement statt Perfektionismus
Absolute Sicherheit ist unerreichbar. Wichtiger ist, dass die ePA regelmäßig geprüft und aktualisiert wird, um Risiken effektiv zu managen. Hierzu gehören regelmäßige Penetrationstests, Audits und klar definierte Sicherheitsprozesse. Eine übereilte Einführung ohne ausreichende Sicherheitsvorkehrungen könnte die Akzeptanz gefährden. Daher ist eine schrittweise, transparente Einführung der ePA erforderlich, die kontinuierlich verbessert wird.
Verantwortung der Arztpraxen
Ein weiterer Punkt ist die Verantwortung von Arztpraxen in Bezug auf die IT-Sicherheit. Kleine Praxen müssen nicht zu Hochsicherheitszentren werden, sollten jedoch grundlegende Sicherheitsrichtlinien umsetzen. Die Kassenärztliche Bundesvereinigung (KBV) entwickelt derzeit Maßnahmen, die es Praxen ermöglichen, je nach Größe und IT-Komplexität angemessene Sicherheitsstandards zu erfüllen.
Fazit: Vorteile überwiegen, wenn Risiken adressiert werden
Die ePA bietet eine enorme Chance für eine bessere Versorgung und die Nutzung von Gesundheitsdaten in der Forschung. Wenn die Sicherheitsrisiken realistisch und transparent angegangen werden, überwiegen langfristig die Vorteile. Eine schrittweise, überwachte Einführung sowie klare Sicherheitsstrategien sind entscheidend, um das Vertrauen der Bevölkerung in die ePA zu sichern.
Autor:
Okay Güler
Der CEO von Cloudyrion ist Experte für Cybersicherheit im E-Health-Bereich und war zuvor als Ethical Hacker tätig. Im Jahr 2020 erfolgte die Gründung von Cloudyrion, mittlerweile sind 25 Mitarbeitende beschäftigt. Seine Motivation ist es, Unternehmen dabei zu unterstützen, die neuen Herausforderungen im Cyberspace zu bewältigen und das Bewusstsein für secure by design zu schaffen.