Der Januskopf der IT-Sicherheit

Im Rahmen von WISPA betreffen uns Fragen des Datenschutzes in zweierlei Hinsicht: 1. sind wir für die Sicherheit unserer Praxis-EDV verantwortlich und haftbar und 2. sehen wir uns für den Schutz der Daten unserer Patienten – auch in der sogen. Telematik-Infrastruktur – verantwortlich.

  1. Die Praxen von Ärzten und Psychotherapeuten, Physiotherapeuten und Hebammen, aber auch Kliniken und Apotheken u.a.m. sollen unter Zwang ihre EDV an die Telematik-Infrastruktur anschließen und Daten von Patienten hierüber verschicken und verbreiten (VSDM: Abgleich der Versichertendaten, ePA, eAU, eRezept, KIM für Arztbriefe und Befundberichte). Sollte die EDV in den Praxen eine Sicherheitslücke aufweisen, haften die Praxisbetreiber ggfls. für jeden hier auftretenden Schaden mit ihrem Privatvermögen.
  2. Den Patienten soll es nach dem Willen der Bundesregierung nahe gelegt werden, ihre Daten in der ePA speichern zu lassen. Die anderen Anwendungen sind sowieso verpflichtend (VSDM, eAU, eRezept). Die eigentlich vorgesehene Möglichkeit, ihre ePA auf bereitgestellten Terminals der Krankenkassen bearbeiten zu können, ist aus dem Gesetz (PDSG) wieder gestrichen worden, so dass – außer der kaum praktizierbaren Nutzung der EDV der Ärzte durch die Patienten – nur noch die Möglichkeit besteht, die ePA auf dem Handy zu verwalten. Nach Aussage des Bundesministeriums für Gesundheit, ob dies denn sicher sei, wurde erklärt: Die Sicherheit der Geräte liege „in der Verantwortung der jeweiligen Versicherten“.

Es ist der Staat, der einerseits diese Entwicklung betreibt (Bei der Betreibergesellschaft GEMATIK hat das Bundesministerium für Gesundheit 51% Stimmanteil.), andererseits durch IT-Sicherheitsgesetze und durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Regeln für die Sicherheit der Datenverarbeitung aufstellt. Eher zufällig bin ich dann aber bei einer Anhörung des CCC-Mitglieds Linus Neumann zum IT-Sicherheitsgesetz 2.0 vor dem Innenausschuss am 1.3.21 darauf gestoßen, dass auch das Bundesministerium des Inneren, für Bau und Heimat (BMI) hier beteiligt ist. Das BMI möchte nämlich sicherstellen, dass Polizei, Strafverfolgungsbehörden und nun auch Geheimdienste weiterhin Zugriff auf die Computer und Handys der Bundesbürger haben können. Hierzu sind „Sicherheitsschwachstellen“ notwendig und müssen bewusst aufrechterhalten (oder von Telekommunikationsanbietern im Behördenauftrag erzeugt) werden! Das BSI, dass dem BMI untergeordnet ist, „soll zur aktiven Suche nach Schwachstellen ermächtigt, gleichzeitig aber nicht zu deren Meldung und Beseitigung verpflichtet werden.“ Neumann:

Systeme sollen einerseits unsicher genug sein, dass Strafverfolgungsbehörden und Geheimdienste eindringen können, andererseits sollen Wirtschaft und Bürgerinnen auf „sichere“ IT vertrauen können. Dieser janusköpfige Ansatz ist zum Scheitern verurteilt.

Diese Vorgehensweise lehnte der Bundesdatenschutzbeauftragte Prof. Kelber bereits letztes Jahr in einem Interview ab:

Der Staat als Nutzer und Händler von IT-Sicherheitsschwachstellen ist schwer verträglich mit der Vorstellung eines Rechtsstaats – selbst wenn es nur zum Schutz von gewichtigen Rechtsgütern erfolgt.

Aber diese Bedenken verpufften anscheinend erfolglos, denn vor wenigen Tagen einigten sich die Fraktionsspitzen von Union und SPD darauf, dass – nach Polizei und Strafverfolgungsbehörden – auch sämtliche 19 Geheimdienste mithilfe des sogenannten „Staatstrojaners“ Zugang zu den Handys Verdächtiger bekommen sollen. (Spiegel, ComputerBase) Dass diese Strategie, die IT-Systeme unsicher zu halten ein Spiel mit dem Feuer ist, hatte sich schon mehrfach gezeigt: Die „wannacry ransomware“-Attacke 2017 nutzte eine Schwachstelle im Windowsbetriebssystem, die der NSA sich bewusst offengehalten hatte, die sich dann aber dummerweise auch in Hackerkreisen herumgesprochen hatte. Hiervon waren Computer von Behörden, Firmen, Kliniken in mehr als 100 Ländern mit Milliardenschäden betroffen.

In dem gigantischen IT-Projekt der Vernetzung des gesamten Gesundheitswesens werden nun die wertvollsten und intimsten Daten von 73 Millionen Versicherten verarbeitet und gespeichert. Es werden so viele Sicherheitsmechanismen und Verschlüsselungsstufen eingesetzt, bis es sich „sicher anfühlt“. Gleichzeitig müssen Sicherheitslücken in der EDV der Praxen und Kliniken und den Handys der Versicherten aus Gründen der Staatsräson erhalten bleiben unter Inkaufnahme, dass diese „Datenschätze“ genau dadurch Kriminellen in die Hände fallen können.

Fazit: Relevante medizinische Daten gehören niemals und bei niemandem aufs Handy und auch niemals ungeschützt auf einen an das Internet angeschlossenen Rechner!

L. Seite

Nachtrag: Auch auf EU-Ebene versucht Deutschland dieses Spiel voranzutreiben:

Die Bundesregierung plant digitale Sollbruchstellen

Deutschland treibt auf EU-Ebene die Suche nach technischen Lösungen voran, um Sicherheitsbehörden Einblicke in verschlüsselte Kommunikation zu geben. Das würde die IT-Sicherheit aller Bürger schwächen. … Derzeit muss sich die Bundesregierung den Vorwurf gefallen lassen, sich vor den Karren der eigenen und der angloamerikanischen Sicherheitsbehörden spannen zu lassen. Aus Deutschland als treibender Kraft für Cybersicherheit in Europa wird allem Anschein nach ein Steigbügelhalter für weltweite Überwachung.

 

Dieser Beitrag hat einen Kommentar

  1. Jens Gilles

    Lieber Lothar,
    dieser kleine Artikel zeigt sehr deutlich das ganze Dilemma der IT-Architektur. Aspekte, die nicht zusammenpassen, werden so kompliziert vermengt, dass sie kaum noch jemand versteht und dadurch eine Schlucht geschaffen, in der unsere intimsten Daten zwischen Pseudosicherheit und Zugriffsansprüchen der Regierung und seiner Staatsdiener in die Tiefe stürzen und Hackern ausgeliefert werden. Diese Gleichgültigkeit des Staates seinen Bürgern gegenüber ist fast unerträglich.

Schreibe einen Kommentar zu Jens Gilles Antworten abbrechen