Rheinische Post - Wesel/Dinslaken
Der gläserne Patient
ANALYSE Die Digitalisierung könnte auch im Gesundheitsbereich viele Vorteile bringen. Doch immer wieder erschüttern Datenskandale das Vertrauen der Bürger in die moderne Technik. Dabei ist die oft gar nicht schuld.
Es ist nicht so, dass Hippokrates von Kos als Arzt nie eine Fehldiagnose unterlaufen wäre. Seine Theorie, dass es im menschlichen Körper vier Säfte gebe, die immer im Gleichgewicht sein müssen, war sogar ausgesprochener Humbug. Dennoch gilt Hippokrates bis heute als der berühmteste Vertreter seiner Zunft – wegen seiner Ethik. Ein Arzt müsse über all das, was er bei der Behandlung seiner Patienten sieht oder hört, schweigen, hat er seinen Schülern mit auf den Weg gegeben. Und diese ärztliche Schweigepflicht gilt auch mehr als 2000 Jahre später.
Doch in der Praxis wird der hippokratische Eid immer wieder gebrochen – und das teilweise ohne Wissen der Mediziner. So wurde nun bekannt, dass Millionen sensibler Patientendaten ungesichert auf Servern lagen, darunter intimste Bilder. Die Aufnahmen zeigen hochauflösend Wirbelsäulen oder die Ergebnisse von Brustkrebsuntersuchungen, und sind versehen mit persönlichen Daten wie dem Namen oder dem Geburtsdatum des Patienten. Das It-sicherheitsunternehmen Greenbone hatte die weltweiten Datenlecks gefunden und gemeldet. Die Sicherheitslücken bei Röntgen-, CT- und MRT-AUFnahmen hatten anschließend der Bayerische Rundfunk und das US-REcherchebüro Propublica aufgedeckt.
Demnach sollen in rund 50 Ländern von Brasilien über die Türkei bis Indien 16 Millionen Datensätze offen im Netz stehen. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI), das von Greenbone über das Leck informiert wurde, liegen allerdings keine Erkenntnisse vor, dass Daten in krimineller Absicht abgeflossen seien.
Ein Einzelfall ist dieses Leck nicht. Vor wenigen Jahren berichtete unsere Redaktion darüber, wie leicht Unbefugte zum Beispiel über die Online-filialen von Krankenkassen auf Daten zu Arztbesuchen und Medikamentenverschreibungen von Versicherten zugreifen konnten. Damals genügten für solche Operationen ein Telefonanruf, wenige Mausklicks und ein paar mühelos zu findende Daten. Die Berichterstattung löste neue Vorgaben des Bundesgesundheitsministeriums zum Schutz von Krankenkassendaten aus, die laut dem auf die Sicherheit von Gesundheitsdaten spezialisierten Experten André Zilch aber bis heute nicht zu einem flächendeckenden Schutz der Daten geführt haben.
„Mit der Digitalisierung des Gesundheitssystems wird die Menge der angreifbaren Daten immer größer, deshalb kommen auch solche Datenskandale in der Tendenz immer häufiger vor“, sagt Zilch, der auch im Bundestag immer wieder als Experte gehört wird. Besonders erschreckend im aktuellen Fall sei, dass der Zugriff auf die Daten so leicht gewesen sei. Zilch: „Daten des Gesundheitssystems sind genauso gut oder schlecht gesichert wie alle anderen Daten auch.“
Oft ist es menschliches Versagen, das Folgen ungeahnten Ausmaßes hat. Denn Fehler bei der It-sicherheit betreffen in der Regel nicht nur eine Patientenakte, sondern direkt eine Vielzahl. In den USA sollen im aktuellen Fall beispielsweise allein bei einem Anbieter von radiologischen Untersuchungen rund eine Million Datensätze ungesichert vorgelegen haben.
Im aktuellen Fall war es so, dass medizinische Geräte wie Computertomographen die Aufnahmen an einen Server übermittelten. Der dabei verwendete Kommunikationsstandard Dicom wird laut dem It-experten Sebastian Schinzel von der FH Münster weltweit eingesetzt. „Einige Betriebe hatten die Dicom-server offenbar ans Internet angebunden.“Doch dafür seien diese überhaupt nicht gedacht. Hinzu käme, dass sie vielerorts nicht einmal mit Nutzername und Passwort abgesichert gewesen seien. „Da mussten wir erstmal schlucken“, sagt Schinzel, der bei der Überprüfung des Datenlecks half und momentan im Rahmen eines Forschungsprojekts der Nrw-landesregierung den Dicom-standard auf Schwachstellen überprüft, die von Hackern genutzt werden könnten.
Fatal ist: Jeder Datenskandal mindert das Vertrauen in die so wichtige Digitalisierung im Gesundheitsbereich. Dabei ist deren Potenzial riesig. Nicht nur, dass Ärzte ihre Patienten viel besser behandeln können, wenn sie die gesamte Krankenakte an einer Stelle zentral gebündelt abrufen könnten. Auch die Sammlung gewaltiger Mengen an Gesundheitsdaten (Big Data) kann dabei helfen, gesünder zu leben, weil etwa Krebs oder Herzinfarkte schneller erkannt und daher präventiv behandelt werden könnten. Op-roboter sind schon heute in einigen Kliniken Alltag, in den USA wachsen zudem die Gen-datenbanken, mit deren Hilfe man etwa Verwandte identifizieren kann.
Doch bei all diesen Beispielen stellt sich die Frage: Was ist, wenn diese Daten den Falschen in die Hände fallen oder diese sich Zugriff verschaffen? Hinzu kommt: Längst sammelt ja nicht nur der behandelnde Arzt oder das Krankenhaus Gesundheitsdaten von Patienten. Auch Unternehmen wie Apple messen per Smartwatch auf Wunsch die Herzfrequenz ihrer Kunden. Laut David Emm, Sicherheitsforscher beim Antiviren-spezialisten Kaspersky, nehmen Cyberkriminelle die Branche bereits jetzt stärker in den Blick. „Wir gehen davon aus, dass allein im Jahr 2018 bei Organisationen aus dem medizinischen Bereich 28 Prozent der im Krankenhaus befindlichen Geräte angegriffen wurden“, sagte Emm.
Der Schutz vor solchen Hackern dürfte viele kleine Arztpraxen überfordern – und Nachlässigkeiten bei der eigenen IT dürfte mancher Mediziner mangels Fachkenntnis kaum bemerken. „Als Patient kann ich nicht erkennen, ob eine Arztpraxis Wert auf Datensicherheit legt“, sagt Sebastian Schinzel: „Das ist ein großes Problem.“Die Deutsche Stiftung Patientenschutz schlägt daher ein Bundesamt für Digitalisierung im Gesundheitswesen vor.
Ein Patient kann nicht erkennen, ob der Arzt Wert auf Datensicherheit legt