Missing Link: Telematische Infrastruktur – die abgespahnte Seite des Systems

„Das Gesundheitsministerium unter Minister Spahn digitalisiert das Gesundheitswesen im Eiltempo. Ärzte und Patienten haben wenig zu sagen. Seit vergangenen Montag ist das Patientendatenschutzgesetz (PDSG) in Kraft. Dieses „Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur“ regelt eine Vielzahl von Dingen – von der IT-Sicherheit in Krankenhäusern, die ab 2022 verpflichtend eingehalten werden muss, bis zur Anlage des Notfalldatensatzes eines Versicherten durch den Arzt. Viele dieser neuen Regelungen führen zu Veränderungen an anderer Stelle. So werden Ärzte für das Anlegen des Notfalldatensatzes (NFD) vom 20. Oktober 2020 bis zum 19. Oktober 2021 besonders vergütet, danach soll dies eine Routinearbeit sein. Einige Regelungen haben Auswirkungen für die Versicherten selbst. So sollen sie für das elektronische Rezept, das Mitte 2021 kommen soll, eine neue elektronische Gesundheitskarte (eGK) mit NFC-Chip bekommen und dazu einen PIN-Brief, um die Karte scharf zu schalten. Mit einer APP und einem NFC-fähigen Smartphone können sie dann die Apotheke auswählen, in der das eRezept eingelöst wird. Eine weitere App kommt mit der elektronische Patientenakte (ePA) ins Haus, die von Ärzten ab Anfang 2021 mit Diagnosen und Daten aus ihren Praxisverwaltungssystemen (PVS) gefüllt werden soll...“ Bestandsaufnahme von Detlef Borchers vom 25.10.2020 bei heise online  und dazu:

• Vor Start der e-Patientenakte IT-Sicherheitslücken in Praxen
  „Im Januar startet die elektronische Patientenakte. Arztpraxen, Krankenhäuser und Apotheken werden dann über die Telematik-Infrastruktur miteinander vernetzt. Doch nach Recherchen von BR und NDR gibt es dabei gravierende Sicherheitslücken. (…) Die Infrastruktur gilt als besonders sicher – das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht von einem „angemessen hohen Schutzniveau“. Doch der Konnektor kann zur Schwachstelle werden – mit fatalen Folgen. IT-Sicherheitsexperten haben nach Informationen von BR und NDR gravierende Sicherheitslücken beim Anschluss der Konnektoren entdeckt, noch kurz vor Einführung der ePA. In etwa 200 Fällen waren Konnektoren offen über das Internet erreichbar, zu finden mit „trivialen Methoden“, wie Christoph Saatjohann von der Fachhochschule Münster erklärt: „Auch für nicht versierte Benutzer wäre es möglich gewesen, solche Konnektoren im Internet ausfindig zu machen.“ In etwa 30 Fällen hätten Hacker der Telematik-Infrastruktur sogar vortäuschen können, eine Arztpraxis zu sein, und damit Zugriff auf alle Patientenakten der Praxis bekommen, ohne Passwortschutz. „Wir könnten Arztbriefe sehen, Diagnosebefunde, Röntgenbilder, quasi alle Daten, die dort in dieser ePA gespeichert sind, was ja im Zweifelsfall eine komplette Historie der Krankheitsgeschichte der Patienten darstellt“, sagt Saatjohann. Die IT-Sicherheitsexperten haben ihre Ergebnisse mit Journalisten von BR und NDR geteilt, die die beschriebenen Sicherheitslücken Anfang Dezember technisch nachvollzogen haben. Darüber hinaus werden die Experten ihre Ergebnisse auf einer Online-Konferenz des Chaos Computers Clubs im Dezember präsentieren, der „remote Chaos Experience“. Betroffen wären potentiell Tausende Patienten…“ Beitrag von Jasmin Klofta, NDR, Hakan Tanriverdi und Maximilian Zierer, BR, vom 15.12.2020 bei tagesschau.de 
• Siehe dazu u.a. auch unser Dossier: [Das Digitale Versorgungsgesetz (DVG)] „Statt“ Gesundheitskarte: Smartphone-Kontrolle?
• und eigentlich die gesamte Rubrik „elektronische Gesundheitskarte und Patientendaten“