{"id":273194,"date":"2022-09-25T13:00:18","date_gmt":"2022-09-25T11:00:18","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=273194"},"modified":"2024-02-19T17:33:42","modified_gmt":"2024-02-19T16:33:42","slug":"gesundheitsrichtungen-und-die-e-mail-sicherheit-mangelhaft","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/09\/25\/gesundheitsrichtungen-und-die-e-mail-sicherheit-mangelhaft\/","title":{"rendered":"Gesundheitseinrichtungen: E-Mail-Sicherheit mangelhaft"},"content":{"rendered":"

\"GesundheitWie sieht es eigentlich in den Gesundheitseinrichtungen Deutschlands in Bezug auf die Sicherheit, speziell beim Thema E-Mail aus. Da wird noch viel gefaxt – was auch kritisch in Bezug auf Datenschutz ist. Die Datenschutz-Aufsichtsbeh\u00f6rden haben selbst Probleme, die eigenen Vorgaben bei den betreffenden Einrichtungen zu \u00fcberpr\u00fcfen. Nachdem Verb\u00e4nde den Versand des eRezepts per E-Mail oder SMS durchdr\u00fccken wollten – hat man das jetzt an der Technischen Hochschule N\u00fcrnberg aufgegriffen und die 4.000 Gesundheitseinrichtungen \u00fcberpr\u00fcft. Fazit: Es gibt erhebliche M\u00e4ngel.<\/p>\n

<\/p>\n

\"\"Im Gesundheitsbereich ist das Fax-Ger\u00e4t noch das Mittel der Wahl, wenn es um die \u00dcbermittlung von Befunden etc. geht. Auch der gedruckte (Arzt-Brief) ist noch gut im Gesch\u00e4ft. Ich hatte bereits im Mai 2021 im Blog-Beitrag Dinosaurier Fax: Nicht datenschutzkonform und Fax-Spam<\/a> berichtet, dass die Datenschutz-Aufsicht das Fax als nicht mehr datenschutzkonform ansieht. Hintergrund ist, dass keine Einzelger\u00e4te mehr \u00fcber analoge Telefonleitungen Fax-Nachrichten senden. Vielmehr laufen Fax-Nachrichten inzwischen digital \u00fcber Rechner, k\u00f6nnen also von Dritten jederzeit eingesehen werden. Die Landesbeauftrage f\u00fcr Datenschutz in Bremen hatte seinerzeit festgestellt<\/a>, dass keine personenbezogenen Daten per Fax \u00fcbermittelt werden d\u00fcrfen.<\/p>\n

Status E-Mail-Sicherheit<\/h2>\n

Wir sind ja nun ein J\u00e4hrchen weiter – gerade schickt man sich an, das eRezept im Gesundheitswesen zum Laufen zu bringen. Da ist auch immer wieder vom \"E-Mail-Versand\" die Rede. Aber wie steht es eigentlich mit der Sicherheit bei der Konfiguration der E-Mail-Server und im Hinblick auf den Datenschutz.<\/p>\n

E-Mail-Sicherheit \u00fcberpr\u00fcft<\/h3>\n

Ich bin bereits vor einigen Tagen auf einen Tweet<\/a> zum Thema E-Mail-Sicherheit in Gesundheitseinrichtungen gesto\u00dfen, den ich recht interessant fand.<\/p>\n

\"<\/a><\/p>\n

Ronald Petrlic, Professor f\u00fcr Informationssicherheit an der TH N\u00fcrnberg hat das Thema mit einer Studenten-Gruppe aufgegriffen und 4.000 Gesundheitseinrichtungen in Bezug auf E-Mail-Sicherheit \u00fcberpr\u00fcft. Auf Linkedin schreibt<\/a> er dazu:<\/p>\n

Wenn die Datenschutz-Aufsichtsbeh\u00f6rden schon nicht die Einhaltung ihrer eigenen Vorgaben zur E-Mail-Sicherheit bei verantwortlichen Stellen \u00fcberpr\u00fcfen, dann tun wir es eben! Gemeinsam mit einer Studenten-Gruppe der TH N\u00fcrnberg (Technische Hochschule N\u00fcrnberg Georg Simon Ohm) habe ich rund 4.000 Gesundheitseinrichtungen (haupts\u00e4chlich Arztpraxen und Kliniken) in ganz Deutschland gepr\u00fcft und dabei mussten wir leider erhebliche M\u00e4ngel feststellen:<\/p>\n

Nur 1 % der Einrichtungen halten die Vorgaben der Aufsichtsbeh\u00f6rden zum sicheren Mailversand (korrekterweise: Mailempfang) bei hohem Risiko (das wir bei Gesundheitsdaten annehmen k\u00f6nnen) ein.<\/p><\/blockquote>\n

Petrlic schreibt weiter, dass das Unabh\u00e4ngige Landeszentrum f\u00fcr Datenschutz (ULD<\/a>) Schleswig-Holstein – deren Auffassungen er wohl nicht immer teilt -dieses Mal mit seiner Kritik am Versand des E-Rezepts per E-Mail wohl richtig lag.<\/p>\n

Was die Verantwortlichen tun m\u00fcssten<\/h3>\n

Die Gruppe um Ronald Petrlic schreibt auf LinkedIn, dass die Verantwortlichen, die das eRezept und die elektronische Kommunikation im Gesundheitswesen retten wollen, schlicht ihre Hausaufgaben machen sollten. Dazu hei\u00dft es:<\/p>\n

Was m\u00fcssten Gesundheitseinrichtungen (und alle anderen verantwortlichen Stellen) tun?<\/p>\n

Ganz einfach: ihre Mail-Server nach dem Stand der Technik konfigurieren oder eben *ordentliche* Mail-Provider ausw\u00e4hlen, die ihren Verpflichtungen zu IT-Sicherheit und Datenschutz nachkommen (klar, diese Mail-Dienste kosten Geld…).<\/p>\n

Nur so bleiben unsere Gesundheitsdaten gesch\u00fctzt. Denn dass E-Mail-Kommunikation im Gesundheitswesen stattfindet wird sich nicht verhindern lassen.<\/p><\/blockquote>\n

Der Professor will die Ergebnisse Ende September 2022 auf auf einer Sicherheits-Konferenz in Kopenhagen (und dann Ende Oktober bei der Herbstkonferenz vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. in Stuttgart) pr\u00e4sentieren.<\/p>\n

Der ULD-Hintergrund<\/h2>\n

Das ULD Schleswig Holstein hatte der kassen\u00e4rztlichen Vereinigung (KV) Schleswig Holstein auf Anfrage mitgeteilt, dass der Versand von eRezepten (auch QR-Codes) per E-Mail nach Datenschutzrecht unzul\u00e4ssig sei (hier die PDF-Mitteilung<\/a>). Die KV Schleswig-Holstein hatte dann im August 2022 bekannt gegeben<\/a>, dass sie sich aus der E-Rezept-Testphase zur\u00fcckzieht.<\/p>\n

Interessant ist aber, sich die Stellungnahme des ULD Schleswig Holstein auf dieser Webseite<\/a> anzusehen. Ich habe hier mal einen Auszug aus dem Artikel E-Rezept-Verfahren: maschinenlesbare Codes sch\u00fctzen! <\/em>herausgezogen:<\/p>\n

\n

Am 22. August 2022 wurde anl\u00e4sslich einer Pressemitteilung der Kassen\u00e4rztlichen Vereinigung Schleswig-Holstein (KVSH) berichtet, das Unabh\u00e4ngige Landeszentrum f\u00fcr Datenschutz Schleswig-Holstein (ULD) habe das \u201eE-Rezept\" in Schleswig-Holstein<\/strong> untersagt. Stimmt das? Verhindert der Datenschutz sogar gute L\u00f6sungen im Medizinbereich? Nein!<\/h4>\n

Das Verfahren \u201eE-Rezept\" ist auf Bundesebene f\u00fcr ganz Deutschland spezifiziert<\/strong> worden. Es sind mehrere Wege vorgesehen, wie vertrags\u00e4rztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten gelangen, insbesondere:<\/p>\n

    \n
  1. F\u00fcr Nutzende mit einem neueren Smartphone und einer kompatiblen Gesundheitskarte steht die E-Rezept-App<\/strong> zur Verf\u00fcgung.<\/li>\n
  2. Alternativ kann ein Ausdruck<\/strong> erfolgen. Dieser unterscheidet sich vom bisherigen Verfahren (das rosafarbene Papier-Rezept) durch den maschinenlesbaren DataMatrix-Code (\u00e4hnlich einem QR-Code), der von der Apotheke gescannt werden kann.<\/li>\n<\/ol>\n

    Dieses vom Bundesgesetzgeber vorgesehene Verfahren \u201eE-Rezept\" hat das ULD weder aus datenschutzrechtlichen Gr\u00fcnden beanstandet noch wurde eine Untersagung f\u00fcr das E-Rezept ausgesprochen<\/strong>.<\/p><\/blockquote>\n

    Weil nicht alle Nutzer ein neues Smartphone und eine ben\u00f6tigte, kompatible Gesundheitskarte, besitzen, wollten die Protagonisten des eRezepts alternative Verfahren zur \u00dcbermittlung vertrags\u00e4rztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln verwenden. Dazu hei\u00dft es beim ULD:<\/p>\n

    Im Juli wandte sich in diesem Kontext die Kassen\u00e4rztliche Vereinigung Schleswig-Holstein (KVSH) mit der Anfrage an das ULD, ob es datenschutzrechtlich zul\u00e4ssig sei, wenn die Arztpraxen statt der bundesweit vorgesehenen E-Rezept-App den Weg per E-Mail oder SMS<\/strong> nutzten, um vertrags\u00e4rztliche elektronische Verordnungen von apothekenpflichtigen Arzneimitteln an die Patientinnen und Patienten auszuh\u00e4ndigen. Man ging davon aus, dass bei einem unverschl\u00fcsselten Versand des DataMatrix-Codes kein Risiko f\u00fcr die betroffenen Personen bestehe, weil der Code keine sensiblen Daten enthalte.<\/p><\/blockquote>\n

    Das ULD hat dieser Annahme aber vehement widersprochen, da sie unzutreffend ist. Wer im Besitz dieses DataMatrix-Codes ist, kann damit die zentral gespeicherte vollst\u00e4ndige \u00e4rztliche Verordnung mit Namen der versicherten Person, deren Geburtsdatum, Kontaktdaten der \u00c4rztin oder des Arztes, Ausstellungsdatum der Verordnung sowie die verschreibungspflichtigen Arzneimittel einsehen. Dies geh\u00f6rt beispielsweise zu der Funktionalit\u00e4t von Apps im Apothekenumfeld, mit denen man online Medikamente bestellen kann schreibt das ULD. Laut ULD ist ein Schutz gegen Missbrauch \u2013 z. B. eine Pr\u00fcfung, ob jemand berechtigt ist, eine \u00e4rztliche Verordnung einzul\u00f6sen oder auch nur auf deren Inhalte zuzugreifen \u2013 ist bei diesen Apps nicht vorgesehen. Die klare Aussage des ULD:<\/p>\n

    Arztpraxen m\u00fcssen daf\u00fcr Sorge tragen, den Patientinnen und Patienten ihre Verordnungen \u2013 wie bisher auch \u2013 auf sicherem Wege auszuh\u00e4ndigen. Das gilt auch f\u00fcr die \u00dcbertragung des DataMatrix-Codes. Die Arztpraxen d\u00fcrfen nicht auf unsichere Verfahren zur\u00fcckgreifen<\/strong>, bei denen das Risiko besteht, dass solche Daten abgefangen oder kopiert w\u00fcrden. Die Datenschutz-Grundverordnung fordert gerade f\u00fcr die sensiblen Gesundheitsdaten einen hohen Schutz.<\/p><\/blockquote>\n

    Das ULD hat die Kassen\u00e4rztliche Vereinigung Schleswig Holstein (KVSH) hat auf diese Punkte hingewiesen und mehrere m\u00f6gliche L\u00f6sungen aufgezeigt:\u00a0 Anstelle der E-Rezept-App oder dem Ausdruck k\u00e4men beispielsweise die Nutzung des Systems \u201eKommunikation im Medizinwesen\" (KIM) oder ein digitaler Versand z. B. per E-Mail mit zus\u00e4tzlicher Ende-zu-Ende-Verschl\u00fcsselung infrage. Die Pharmazeutische Zeitung hatte seinerzeit hier<\/a> berichtet – und heise hatte die Entwicklung hier skizziert<\/a>. Auf Kritik der Datensch\u00fctzer – auch bei Chaos Computer Club – reagierte die Gematik und deren Chef mit Kritik an Datensch\u00fctzern und Krankenkassen. Eine aktuelle Nachbetrachtung zum eRezept und dessen Umsetzung findet sich bei heise<\/a>.<\/p>\n

    Ich denke, das wird es noch viele \"Geburtswehen\" geben, denn das Thema Digitalisierung im Gesundheitswesen ist in weiten Teilen eine Kopfgeburt und in der Ausf\u00fchrung ziemlich vergurkt. Der Dank geht an Jens\u00a0 Spahn, der das auf Teufel komm raus durchpeitschen wollte, und jetzt die Scherben aufgekehrt werden m\u00fcssen. Das Ganze ist eh zum Selbstbedienungsladen f\u00fcr Anbieter von L\u00f6sungen f\u00fcr die Gematik geworden, die sich an Gesundheitskarten, sowie Hard- und Softwarel\u00f6sungen etc. eine goldene Nase verdienen – da geht es um Millionen-Auftr\u00e4ge.<\/p>\n

    Als Beispiel m\u00f6chte ich den geplanten TI-Konnektoren-Tausch<\/a> wegen ablaufender Zertifikate in Arztpraxen aufgreifen. Da sollten gleich mal 400 Millionen Euro<\/a> auf Kosten der Krankenkassen abgefackelt werden, die Gematik hatte dies zusammen mit dem Lieferanten der Konnektoren so ausgedacht. Erst als heise das Thema aufgriff und nachwies, dass der Tausch der Hardware nicht notwendig wurde, kam Bewegung in die Sache – Ende August 2022 berichtete heise hier<\/a>, dass die Gesellschafter der Gematik eingelenkt und eine Laufzeitverl\u00e4ngerung der TI-Ger\u00e4tekarte erm\u00f6glicht h\u00e4tten. Die Sauerei: Der Beschluss der Gesellschafter l\u00e4sst der Gematik Zeit, die L\u00f6sung bis September 2023 zu finden, w\u00e4hrend aber die TI-Konnektoren in einigen Arztpraxen bereits jetzt ausgetauscht werden. Laut heise sind Konnektoren des Herstellers CompuGroup Medical (CGM) vom Austausch betroffen, dies ist der einzige Hersteller, der bisher kein Update auf die Produkttypversion 5 (PTV 5) bereitgestellt hat.<\/p>\n

    Laut diesem heise-Artikel<\/a> vom September 2022 setzt der Anbieter CGM jetzt \u00c4rzte bez\u00fcglich des TI-Konnektorentauschs unter Druck. Da stehen, laut diesem Bericht<\/a> weiterhin 130 Millionen Euro f\u00fcr den TI-Konnektorentausch im Raum – eine Lizenz zum Geld-drucken f\u00fcr die Beteiligten. Ist ja alles kein Problem, das Defizit der Krankenkassen in Deutschland wird f\u00fcr 2023 ja auch blo\u00df auf 17 Milliarden gesch\u00e4tzt<\/a> – 2025 wird das Defizit sogar auf 33 Milliarden Euro gesch\u00e4tzt<\/a> – da passt so ein Peanut von 130 Millionen locker rein. Zahlen die Versicherten dann mit h\u00f6heren Beitr\u00e4gen.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

    Wie sieht es eigentlich in den Gesundheitseinrichtungen Deutschlands in Bezug auf die Sicherheit, speziell beim Thema E-Mail aus. Da wird noch viel gefaxt – was auch kritisch in Bezug auf Datenschutz ist. Die Datenschutz-Aufsichtsbeh\u00f6rden haben selbst Probleme, die eigenen Vorgaben … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-273194","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273194","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=273194"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/273194\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=273194"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=273194"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=273194"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}