Aktuell jagt eine Hiobsbotschaft die nächste was die Datensicherheit im Zuge der sogenannten Telematik-Infrastruktur betrifft.
Zuerst wird diese Woche bekannt, dass bei der Konzeption der elektronischen Patientenakte (ePA) ein ungesicherter Zugriffsweg von der Gesundheitskarte auf die ePA gewählt wurde. Diese Fehlentscheidung führt dazu, dass jeder, der eine gültige elektronische Praxis-Identifikationskarte hat, auf alle 70 Millionen ePA zugreifen kann. Dabei ist es nicht nur möglich, den Inhalt der Patientenakten (mit allen Diagnosen, Therapien, Medikamentenverordnungen etc.) zu lesen, es kommt sogar noch viel schlimmer: es besteht auch die Möglichkeit, in allen 70 Millionen Patientenakten zu schreiben und diese zu verändern. D.h. im schlimmsten Fall könnte jemand mit krimineller Energie bspw. auch den Medikationsplan ändern. Daraus resultierende Falschverordnungen könnten zu ganz erheblichen gesundheitlichen Konsequenzen führen…
Das mehrheitlich dem Bundesgesundheitsministerium gehörende für die sogenannte Telematik-Infrastruktur zuständige Unternehmen, Gematik, kannte diese eklatanten Datenschutzprobleme wohl bereits seit dem Sommer letzten Jahres. Aber erst als der Chaos Computer Club vor kurzem nachweisen konnte, dass man gültige Praxis-Identifikationskarten samt PIN (illegal) über Kleinanzeigen erwerben kann, sah man sich genötigt, sich dem Thema und seiner Tragweite zu stellen. Der Testlauf in den Modellregionen geht ungeachtet dieser eklatanten Datenschutzproblematik weiter.
Nun wird bekannt, dass bei D-Trust – dem für die Ausgabe der elektronischen Identifikationskarten für Praxen, Ärzte und Apotheker zuständigen – Tochterunternehmen der Bundesdruckerei zu einem Datenleck kam: d.h. zahlreiche Daten zu Karten und Karteninhabern (Praxen, Ärzte, Apotheker) wurden entwendet.
Unser Vertrauen in die Datensicherheit der Telematik-Infrastruktur ist inzwischen ganz erheblich erschüttert. Gerade bei der ePA handelt es sich um die privatesten Daten überhaupt, nämlich die Gesundheitsdaten, inkl. Diagnosen, Therapien und Medikationsplan. Wir werden demnächst nach dem Willen des Bundesgesundheitsministeriums gezwungen sein, alle relevanten Daten in die ePA aller Patienten einzuspeisen, die deren Nutzung nicht widersprochen haben.