{"id":293664,"date":"2024-03-23T11:44:20","date_gmt":"2024-03-23T10:44:20","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=293664"},"modified":"2024-03-23T11:48:01","modified_gmt":"2024-03-23T10:48:01","slug":"digitalisierung-im-gesundheitswesen-kelber-kritisiert-epa-schutzlos-gegen-cyberangriffe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/03\/23\/digitalisierung-im-gesundheitswesen-kelber-kritisiert-epa-schutzlos-gegen-cyberangriffe\/","title":{"rendered":"Digitalisierung im Gesundheitswesen: Kelber kritisiert ePA, Schutzlos gegen Cyberangriffe"},"content":{"rendered":"<p><img decoding=\"async\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" width=\"200\" align=\"left\"\/>Noch ein kleiner \u00dcberblick zum Thema \"Digitalisierung im Gesundheitswesen\". Der Bundesdatenschutzbeauftragte (BfDI), Ulrich Kelber, hat in seinem letzten T\u00e4tigkeitsbericht deutliche Kritik an den Pl\u00e4nen zur elektronischen Patientenakte (ePA) von Gesundheitsminister Lauterbach ge\u00e4u\u00dfert. Wir laufen da in ein datenschutzm\u00e4\u00dfiges und technisches Desaster. Inzwischen wurde auch bekannt, dass dieses gesamte Konzept nicht gegen Cyberangriffe gesch\u00fctzt ist, bzw. es gibt keine Konzepte, was passiert, wenn ein gr\u00f6\u00dferer Cyberangriff die Strukturen lahm legt. <\/p>\n<p><!--more--><\/p>\n<h2>BfDI kritisiert elektron. Patientenakte (ePA)<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg06.met.vgwort.de\/na\/b313ebe1688248f0becee94d11a30862\" width=\"1\" height=\"1\"\/>Der Beauftragte f\u00fcr Datenschutz in der Informationstechnik (BfDI), Ulrich Kelber, hat wohl seinen letzten T\u00e4tigkeitsbericht vorgelegt. Die Politik konnte sich bisher nicht auf eine Verl\u00e4ngerung der Amtszeit von Ulrich Kelber einigen, hat aber auch keinen Nachfolger bestimmt. Kelber ist daher nur noch gesch\u00e4ftsf\u00fchrend im Amt.&nbsp; <\/p>\n<p><a href=\"https:\/\/www.tagesschau.de\/inland\/innenpolitik\/datenschutz-bericht-ki-patientenakten-100.html\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"BfDI-Kritik an ePA\" alt=\"BfDI-Kritik an ePA\" src=\"https:\/\/i.postimg.cc\/3wxMtZ9n\/image.png\"\/><\/a><\/p>\n<p>Einer der Kritikpunkte, die von der Presse aus dem T\u00e4tigkeitsbericht herausgegriffen wurde, betrifft das \"Flagschiffprojekt\" von Gesundheitsminister Lauterbach, die elektronische Patientenakte (ePA). Diese soll bis 2025 als Opt-out-L\u00f6sung kommen &#8211; ich hatte ja mehrfach berichtet. Die Tagesschau hat diesen Punkt in <a href=\"https:\/\/www.tagesschau.de\/inland\/innenpolitik\/datenschutz-bericht-ki-patientenakten-100.html\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> aufgearbeitet. Das Spannungsfeld l\u00e4sst sich so umrei\u00dfen: <\/p>\n<ul>\n<li>Das von Bundesgesundheitsminister Karl Lauterbach (SPD) auf den Weg gebrachte Gesetz (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/12\/15\/gesundheitsgesetze-ii-bundestag-beschliet-digitalisierung-im-gesundheitswesen-gdng-digig\/\">Gesundheitsgesetze II: Bundestag beschlie\u00dft Digitalisierung im Gesundheitswesen (GDNG, DigiG)<\/a>)&nbsp; sieht vor, dass alle gesetzlich Versicherten Anfang 2025 eine elektronische Patientenakte (ePA)&nbsp; bekommen. Wer das nicht will, muss explizit ein Opt-out gegen\u00fcber seiner gesetzlichen Krankenkasse erkl\u00e4ren.  <\/li>\n<li>Ulrich Kelber fordert, dass es ein automatisches Bef\u00fcllen der elektronischen Patientenakte nur mit unkritischen Daten geben d\u00fcrfe. Andere Daten d\u00fcrften nur nach Einwilligung der Versicherten in der elektronische Patientenakte (ePA) gespeichert werden. <\/li>\n<\/ul>\n<p>Die Tagesschau zitiert aus dem Bericht: \"Dies gilt insbesondere fu\u0308r Daten, deren Bekanntwerden zu erheblichen Gef\u00e4hrdungen fu\u0308r die Rechte der Versicherten fu\u0308hren, etwa, weil sie Anlass zur Diskriminierung oder Stigmatisierung geben k\u00f6nnen, darunter Daten zu HIV-Infektionen, Schwangerschaftsabbru\u0308chen oder psychischen Erkrankungen.\" Der Datenschutzbeauftragte begr\u00fc\u00dft zwar die Digitalisierung im Gesundheitswesens und in der Pflege. Aber diese Digitalisierung m\u00fcsse diese datenschutzkonform ablaufen. <\/p>\n<p>Hier stellt Kelber auf eine Bef\u00fcrchtung ab, die mir bereits l\u00e4nger im Hinterkopf herumgeht: Wenn die elektronische Patientenakte nicht datenschutzkonform gestaltet wird &#8211; und eine opt-out-Regelung d\u00fcrfte der DSGVO entgegen laufen, k\u00f6nnte das Ganze juristisch gekippt werden. Dass das Ganze auch technisch wackelig unterwegs ist und bis jetzt kein Datenschutzkonzept \u00f6ffentlich von der gematik bekannt ist, macht es auch nicht besser.<\/p>\n<blockquote>\n<p>Die Deutsche Datenschutzkonferenz hatte bereits im Nov. 2023 klar Regeln f\u00fcr den Zugriff der Forschung auf Gesundheitsdaten gefordert, in der Hoffnung, dass der Gesetzgeber das aufgreift. heise hatte das <a href=\"https:\/\/www.heise.de\/news\/Datenschutzkonferenz-fordert-klare-Regelungen-bei-Forschung-mit-Gesundheitsdaten-9538284.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> angesprochen, passiert ist meines Erachtens nichts. Und in <a href=\"https:\/\/www.heise.de\/news\/Datenschutz-bei-E-Patientenakte-Gesundheitsdaten-Bullerbue-realitaetsfern-9357678.html\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> wird von einem realit\u00e4tsfernen \"Gesundheitsdaten-Bullerb\u00fc\" bei der Patientenakte im Hinblick auf Datenschutz gesprochen. Ge\u00e4ndert hat sich in den letzten Monaten nichts. Im September 2023 wurde <a href=\"https:\/\/www.heise.de\/news\/Datengesetz-sieht-100-jaehrige-Speicherfrist-fuer-Gesundheitsdaten-vor-9290652.html\" target=\"_blank\" rel=\"noopener\">bekannt<\/a>, dass das Gesundheitsministerium per Datengesetz Gesundheitsdaten 100 Jahre zentral speichern will. Zudem liegt mir ein Artikel aus dem \u00c4rztenachrichtendienst vor, dass Gesundheitsminister Lauterbach KI einsetzen will, um Fehlverhalten im Gesundheitssystem aufzudecken. Steckt im Ansatz zur sogenannten Fehlverhaltensbek\u00e4mpfung im&nbsp; Gesundheitsversorgungsst\u00e4rkungsgesetz (GVSG). Dazu sollen auch personenbezogene Daten ausgetauscht werden d\u00fcrfen. <\/p>\n<\/blockquote>\n<h2>Gesundheitssystem auf Cyberangriffe nicht vorbereitet<\/h2>\n<p>Es ist zu beobachten, dass Gesundheitseinrichtungen im In- und Ausland zunehmend Opfer von Cyberangriffen werden. Ich hatte hier im Blog ja h\u00e4ufiger \u00fcber Vorf\u00e4lle im Gesundheitswesen und \u00fcber lahm gelegte Kliniken berichtet. Hier einige gr\u00f6\u00dfere Vorf\u00e4lle, die mir erinnerlich sind. <\/p>\n<ul>\n<li>So gab es im Februar 2024 den erfolgreichen Angriff auf den US-Gesundheitsdienstleister UnitedHealthcare Group (UHG). Bei dessen Tochter Optum war die Change Healthcare-Plattform, die f\u00fcr Abrechnungen zust\u00e4ndig ist, betroffen. Einmal war die Medikamentenversorgung in den USA auf Grund des Cyberangriffs gest\u00f6rt. Und dem BlackCat\/AlphV-Ransomware-Angriff sollen auch gro\u00dfe Datenmengen erbeutet worden sein.  <\/li>\n<li>Im Februar 2024 gab es auch einen Cyberangriff auf die franz\u00f6sischen Gesundheitsdienstleister Viamedis und Almerys, bei dem die pers\u00f6nlichen Versichertendaten von 33 Millionen Franzosen erbeutet wurden (siehe <a href=\"https:\/\/borncity.com\/blog\/2024\/02\/13\/cyberangriff-krankenversicherungsdaten-von-33-millionen-franzosen-abgeflossen\/\">Cyberangriff: Krankenversicherungsdaten von 33 Millionen Franzosen abgeflossen<\/a>).  <\/li>\n<li>Im M\u00e4rz 2023 wurde die BIG Innungskrankenkasse in Dortmund Opfer eines Cyberangriffs. Der IT-Dienstleister Bitmark war gehackt worden, was eine Reihe weiterer Krankenkassen in Mitleidenschaft zog (siehe auch <a href=\"https:\/\/borncity.com\/blog\/2023\/06\/21\/sicherheits-news-big-krankenkasse-hlben-rhein-pfalz-kreis-moveit-21-juni-2023\/\">Sicherheits-News: BIG-Krankenkasse, H\u00fclben, Rhein-Pfalz-Kreis, MOVEit, VMware (21. Juni 2023)<\/a>.<\/li>\n<\/ul>\n<p>In den USA wurden Gesundheitsdaten von Millionen Patienten durch die MOVIit-L\u00fccke geleakt, wie heise <a href=\"https:\/\/www.heise.de\/news\/MOVEit-Luecke-Gesundheitsdaten-von-Millionen-Menschen-in-den-USA-geleakt-9272470.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> anmerkt. Auch in Deutschland waren Patienten betroffen. Aus der \u00c4rzteschaft ist mir noch ein Artikel des \u00c4rztenachrichtendiensts zugegangen, der sich mit der Frage befasst, was eigentlich bei einem Cyberangriff auf das deutsche Gesundheitswesen passiert. Christian Ullrich, IT-Bereichsleiter der SBK Siemens-Betriebskrankenkasse (SBK), wird vom \u00c4rztenachrichtendienst in einem nicht \u00f6ffentlich abrufbaren Artikel dahingehend zitiert, dass das \"Gesundheitssystem nicht auf Cyberangriffe vorbereitet sei\". <\/p>\n<p>Auch die Siemens-Betriebskrankenkasse war von dem Bitmark-Vorfall betroffen. Dort seien die Systeme f\u00fcr die regul\u00e4re interne Kommunikation und Kollaboration 19 Tage lang ausgefallen. Die SBK war sogar 26 Tage f\u00fcr Versicherte regul\u00e4r, etwa per Telefon, nicht erreichbar. Es gab einen Notbetrieb und erst nach 47 Tagen waren die Arbeitsr\u00fcckst\u00e4nde vollst\u00e4ndig abgearbeitet. Christian Ullrich zieht im Artikel des \u00c4rztenachrichtendiensts ein bitteres Fazit: \"Das Gesundheitssystem ist nicht auf Betriebsunterbrechungen infolge von Cyberangriffen vorbereitet.\"<\/p>\n<p>Laut Ullrich gebe es keine Notfallpl\u00e4ne, die regeln, was im Fall der F\u00e4lle zu tun sei. \"Wir brauchen Prozesse und Abl\u00e4ufe, wie die einzelnen Akteure in diesen F\u00e4llen agieren m\u00fcssten, damit im Gesundheitswesen eine Leistung weiterhin funktioniert, auch wenn bestimmte Teile des Gesundheitswesens angegriffen werden.\", lautet die Forderung des IT-Leiters. <\/p>\n<p>Prof. Dennis-Kenji Kipker, Professor f\u00fcr IT-Sicherheitsrecht an der Universit\u00e4t Bremen, wird im Artikel so zitiert, dass vor allem wirtschaftliche \u00dcberlegungen und Akzeptanzprobleme eine ernsthafte Auseinandersetzung mit Cybersicherheit verhindert. Bisher galten nur sehr gro\u00dfe Krankenkassen als \"kritische Infrastruktur\" (KRITIS). In diesem Jahr soll dies auch f\u00fcr Kassen ab 500.000 Versicherten gelten. Ob sich aber viel \u00e4ndert? <\/p>\n<p>Unter dem Aspekt \"da war doch was\" habe ich in meiner Zettelsammlung gew\u00fchlt. heise hat in <a href=\"https:\/\/www.heise.de\/hintergrund\/Interview-IT-Sicherheit-und-Digitalisierung-aus-Krankenkassen-Sicht-9658976.html\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> ein Interview mit Dr. Christian Ullrich von der SBK zum gleichen Thema \"IT-Sicherheit in der Digitalisierung aus Sicht der Krankenkassen\" gef\u00fchrt. Das h\u00f6rt sich dort wesentlich entspannter an. <\/p>\n<p>Mir liegt auch <a href=\"https:\/\/www.rnd.de\/politik\/e-rezept-e-patientenakte-und-co-kliniken-sorgen-sich-vor-cyberangriffen-AQZFZKYCLZCPNNWCP2VUXXHHQY.html\" target=\"_blank\" rel=\"noopener\">dieser Artikel<\/a> des Redaktionsnetzwerk Deutschland von Anfang Februar 2024 vor, wo die Deutsche Krankenhausgesellschaft (DKG) sich Gedanken um die Cybersicherheit macht. Dort wurde der Ball aber an die Politik gespielt, doch bitte f\u00fcr mehr Cybersicherheit zu sorgen. Da passt der Artikel <a href=\"https:\/\/www.heise.de\/news\/Sicherheit-von-Gesundheitsdaten-Politik-hoert-weg-9594970.html\" target=\"_blank\" rel=\"noopener\">Sicherheit von Gesundheitsdaten: Politik h\u00f6rt weg<\/a> von heise von Mitte Januar 2024 gut rein &#8211; die Warnungen von Sicherheitsforscher werden durch die Politik ignoriert. Aktuell habe ich das Gef\u00fchl, dass da mit \"Augen zu und durch\" gewurstelt wird. <\/p>\n<h2>BSI kritisiert TI-Infrastruktur<\/h2>\n<p>Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik deutschlandweit \u00c4rzte zum Thema <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/Studien\/SiRiPrax\/SiRiPrax_2024.html\" target=\"_blank\" rel=\"noopener\">IT-Sicherheit befragt<\/a> und ist zu ern\u00fcchternden Ergebnissen gelangt, wie heise aktuell <a href=\"https:\/\/www.heise.de\/news\/IT-Security-in-Arztpraxen-BSI-sieht-schwerwiegende-Sicherheitsmaengel-9663436.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> berichtet. Eine Umfrage ergab, dass lediglich ein Drittel der Befragten 1.600 \u00c4rzte die in der Richtlinie vorgegebenen IT-Schutzma\u00dfnahmen vollst\u00e4ndig umgesetzt habe. Zudem seien ein Zehntel (zehn Prozent) der Arztpraxen bereits mindestens einmal von einem IT-Sicherheitsvorfall betroffen gewesen, zitiert heise.<\/p>\n<p>Zudem gibt es vom BSI den <a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/DigitaleGesellschaft\/CyberPraxMed_Abschlussbericht.html?nn=132646\" target=\"_blank\" rel=\"noopener\">CyberPraxMed Abschlussbericht<\/a> zur Digitalisierung und sicheren Anbindung der Arztpraxen an eine sichere Telematikinfrastruktur (TI). F\u00fcr den Bericht wurden 16 Arztpraxen ausgew\u00e4hlt, um Cyberrisiken und potenzielle Angriffsm\u00f6glichkeiten zu untersuchen. Das BSI stellte schwerwiegende Sicherheitsm\u00e4ngel (unzureichender Schutz vor Schadsoftware, mangelndes Patchmanagement und fehlende Backups) fest. heise zitiert <a href=\"https:\/\/www.heise.de\/news\/IT-Security-in-Arztpraxen-BSI-sieht-schwerwiegende-Sicherheitsmaengel-9663436.html\" target=\"_blank\" rel=\"noopener\">hier<\/a> aus diesem Bericht, in dem das BSI kritisiert, dass die Praxen den TI-Konnektor zur Anbindung an die Telematikinfrastruktur neben einem gew\u00f6hnlichen Router betreiber, was seine Schutzwirkung beeintr\u00e4chtigt. Auch waren sensible Patientendaten in keiner der Praxen durch Festplattenverschl\u00fcsselung gesch\u00fctzt. IT-Sicherheit at it's best, sind ja keine sensiblen Daten &#8230; und bald wandert eh alles in die elektronische Patientenakte, das ist sicher. <\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/><\/strong><a href=\"https:\/\/borncity.com\/blog\/2023\/12\/15\/gesundheitsgesetze-i-eu-parlament-macht-weg-fr-eu-health-data-space-ehds-frei\/\">Gesundheitsgesetze I: EU-Parlament macht Weg f\u00fcr EU Health Data Space (EHDS) frei<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2023\/12\/15\/gesundheitsgesetze-ii-bundestag-beschliet-digitalisierung-im-gesundheitswesen-gdng-digig\/\">Gesundheitsgesetze II: Bundestag beschlie\u00dft Digitalisierung im Gesundheitswesen (GDNG, DigiG)<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2023\/12\/29\/gesundheitsgesetze-iii-mit-digitalisierung-planlos-ins-desaster\/\">Gesundheitsgesetze III: Mit Digitalisierung planlos ins Desaster?<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2023\/12\/30\/erezept-ab-2024-verpflichtend-ungereimtheiten-fhren-zum-desaster\/\">eRezept ab 2024 verpflichtend \u2013 Ungereimtheiten f\u00fchren zum Desaster<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2024\/03\/15\/europischer-gesundheitsdatenraum-ehds-beschlossen-die-haken-fr-patienten\/\">Europ\u00e4ischer Gesundheitsdatenraum (EHDS) beschlossen \u2013 die Haken f\u00fcr Patienten<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2023\/03\/21\/elektronische-patientenakte-nur-6-der-rzte-nutzten-es-mitte-2022\/\">Elektronische Patientenakte: nur 6 % der \u00c4rzte nutzten es Mitte 2022<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2023\/04\/16\/it-sicherheit-2023-nachholbedarf-im-gesundheitswesen\/\">IT-Sicherheit 2023: Nachholbedarf im Gesundheitswesen<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2023\/09\/20\/desaster-zuverlssigkeit-sicherheit-bei-der-telematik-infrastruktur-im-gesundheitswesen\/\">Desaster (Zuverl\u00e4ssigkeit, Sicherheit) bei der Telematik-Infrastruktur im Gesundheitswesen<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2024\/01\/06\/cybervorflle-im-gesundheitswesen\/\">Cybervorf\u00e4lle im Gesundheitswesen: ESO Solutions; HealthEC<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2022\/10\/26\/facebook-tracking-pixel-verursacht-datenleck-bei-us-health-care-system-3-million-patienten-betroffen\/\">Facebook Tracking Pixel verursacht Datenleck bei US Health Care System, 3 Million Patienten betroffen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Noch ein kleiner \u00dcberblick zum Thema \"Digitalisierung im Gesundheitswesen\". Der Bundesdatenschutzbeauftragte (BfDI), Ulrich Kelber, hat in seinem letzten T\u00e4tigkeitsbericht deutliche Kritik an den Pl\u00e4nen zur elektronischen Patientenakte (ePA) von Gesundheitsminister Lauterbach ge\u00e4u\u00dfert. Wir laufen da in ein datenschutzm\u00e4\u00dfiges und technisches &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/03\/23\/digitalisierung-im-gesundheitswesen-kelber-kritisiert-epa-schutzlos-gegen-cyberangriffe\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5325,4328],"class_list":["post-293664","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-medizin","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293664","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=293664"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293664\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=293664"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=293664"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=293664"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}