Suchen

Wertediskussion zur Digitalisierung im Gesundheitssektor

Hippokrates war kein Nerd

| Autor/ Redakteur: Pierre Gronau / Manfred Klein

Die Digitalisierung im Gesundheitswesen ist unumkehrbar. Diese Entwicklung wirft aber auch neue Fragestellungen bezüglich der IT-Sicherheit auf. Wer aber glaubt, das sei lediglich eine Frage der technischen Umsetzung, liegt falsch. Die Digitalisierung beziehungsweise die Sicherheit der Patientendaten betrifft auch ethische Fragestellungen. Pierre Gronau, Geschäftsführer der Gronau IT Cloud Computing GmbH, beschäftigt sich mit diesem Fragenkomplex.

Firmen zum Thema

Die IT-Sicherheit im Gesundheitswesen verlangt nach massiven Investitionen
Die IT-Sicherheit im Gesundheitswesen verlangt nach massiven Investitionen
(© adam121 – stock.adobe.com)

Menschen im Gesundheitssystem heute – das sind zwiegespaltene Wesen. Einerseits agieren sie als Konsumenten, in deren Welt die Grenzen von Gesundheit und Privatheit verschwimmen; als Beispiele dienen hier die Nutzung von Uhren und Fitness-Apps, die persönliche Gesundheitsdaten wie Herzfrequenz oder Essverhalten auf Smartphones speichern. Andererseits legen sie bei Arzt-Besuchen und Klinikaufenthalten verstärkt Wert auf die Einhaltung des Datenschutzes. Das Thema Elektronische Patientenakte beäugen sie mit Skepsis und erwarten zu Recht, dass ihre Gesundheitsdaten vor Zugriffen von außen geschützt sind und sie jederzeit Einfluss darauf nehmen können, wer diese einsieht und wie Datenströme verlaufen. Wird diese Erwartung erfüllt?

Nach meiner aktuellen Einschätzung agieren Ärzte heute zurückhaltend, wenn es um das Thema Digitalisierung und digitale Transformation geht. Zwar rechnen sie und ihre spezialisierten Dienstleister gegenüber Patienten und Krankenversicherungen digital ab und verwalten Gesundheitsdaten elektronisch, begegnen weitergehenden Schritten jedoch mit Vorbehalten. Das mag soziokulturelle Gründe haben, also daran liegen, dass sie ihren Berufseid vor Augen haben. Dieser sieht IT sowie die digitale Transformation nicht als Helfer, sondern als unberechtigten Mitwisser an. Schließlich ist die ärztliche Schweigepflicht die älteste bekannte Datenschutzregelung, die wir kennen.

Die digitale Zurückhaltung ist in Krankenhausbetrieben auch aus der Not geboren. Laut Eigenangaben verfügt nur ein Drittel der Krankenhäuser, die als kritische Infrastruktur eingestuft wurden, über eine IT, die dem „Stand der Technik“ entspricht. Im Umkehrschluss bedeutet dies, dass Zweidrittel aller Krankenhäuser durch die Anbindung an das Internet Cyber-Angriffen wegen unzureichender IT-Sicherheit ausgesetzt sind. Hier sind patientenseitige Zweifel also berechtigt, werden aber hinuntergeschluckt, weil ihnen der Wunsch nach guter Betreuung durch digitalisierte Patientenakten gegenübersteht.

Effektive Betreuung mittels zentral verfügbarer Patientenakten?

Vom Wunschszenario zentraler Verfügbarkeit aller Patienteninformationen ist das deutsche Gesundheitssystem aus meinem Wissenstand heraus noch meilenweit entfernt. Die 2015 eingeführte Gesundheitskarte berücksichtigt ausschließlich die 73 Millionen gesetzlich Krankenversicherte, wohingegen rund 9 Millionen Privatversicherte hiervon ausgenommen sind.

Aus Patientensicht ergibt die lückenlose und gesicherte Aufzeichnung aller Medizingeräte-Daten für die Behandlung Sinn, da sie Fehlbehandlungen aufgrund von Allergien oder Wechselwirkungen vermeiden können. Diese Vorteile liefern aber auch diverse Szenarien ohne IT-Einsatz wie beispielsweise der Allergiepass. Zudem kann IT-Nutzung auch dann scheitern, wenn eine elektronische Patientenakte vorliegt. So ist es in Unfallsituationen zum Teil unmöglich, die Identität des Patienten festzustellen ─ und keine Identitätszuordnung bedeutet keinen Zugriff auf gespeicherte Patientendaten mit Allergiehinweisen. Mit Haustier-Kennzeichnung vergleichbare RFID-Chips, wie sie sich als Trend in US-Staaten etablieren, oder aber datentragende Tattoos aller Gliedmaßen lösen dieses Problem, sind aber ethisch zumindest zu hinterfragen.

Zur Sicherheit von Patientendaten

Betrachtet man die Sicherheit und damit auch die Sinnhaftigkeit von digitalen Patientenakten, dann muss zunächst unterschieden werden, ob diese in einer Klinik oder in der Arztpraxis vorliegt, und ob die Daten später zentral zur Verfügung stehen sollen. Die lokale Patientenakte ist durch die Vernetzung mit dem Internet und der Telematik-Infrastruktur (TI) zusätzlichen Angriffsszenarien ausgesetzt. Es ist auch bedenklich, dass der Datenschutz gemäß EU-DSGVO und die IT-Sicherheit nicht von unabhängigen Dritten geprüft wurden und werden, sondern weitestgehend auf Selbsteinschätzung fußt.

Sicherheitslücken und wo sie zu finden sind

Krankenhausbetriebe müssen für die Funktionsfähigkeit und die Sicherheit von Hunderten verschiedener Medizingeräte Sorge tragen – vom MRT über Infusionspumpen bis hin zum Herzschrittmacher. Die Anzahl von Geräten am Krankenbett, die miteinander vernetzt sind und Gesundheitsdaten aufzeichnen, steigt kontinuierlich. Dem stehen IT-Strukturen in Kliniken gegenüber, die teilweise eklatante Sicherheitslücken aufweisen. Alleine in Deutschland sind Milliardenbeträge notwendig, um medizinische Geräte und die IT-Infrastruktur parallel zu modernisieren und abzusichern.

Cyberattacken zielen auf Geräte und Systeme ab, die keine Sicherheitsfunktionen in ihrer Produkt-DNA tragen. Je langlebiger das Gerät, je überholter die Technik und je schlechter das Patchmanagement des Systems, desto größer wird das Einfallstor für Angreifer. Erschwerend kommt hinzu, dass jedes vernetzte Medizingerät über das klinikinterne System oder einen Gateway Datenaustausch über die Cloud betreiben muss und damit die Komfortzone, nicht über das Internet erreichbar zu sein, verlässt.

Wertediskussion

Um Patientendaten zu schützen, ist eine Wertediskussion unabdingbar. Unsere Gesellschaft im Ganzen und Protagonisten des Gesundheitssystems im Speziellen sollten bereit sein, für die bessere und geschützte Versorgung mehrere Milliarden Euro zusätzlich auszugeben. Geschieht dies nicht, werden sich Zwischenfälle häufen.

Diese Zwischenfälle können jenseits der Tatsache, dass sie immense wirtschaftliche Schäden anrichten, für das Individuum, den Patienten, lebensgefährliche Konsequenzen nach sich ziehen. So kapern beispielsweise Cyberangreifer Medizingeräte (MEDJACK) mit dem Ziel, hier einen virtuellen Hintereingang einzurichten. Das Phänomen nennt sich „Medjack“. Sobald der Böswillige darüber zum Beispiel die Kontrolle über eine Infusionspumpe für Arznei erlangt und überhöhte Medikamentendosen verabreicht, fügt er einem Patienten unter Umständen schweren Schaden zu. Erlangen Hacker Kontrolle über Herzschrittmacher, kann das tödlich enden.

Auf Basis einer wichtigen Wertediskussion müssen also Prozesse für Datenschutz und IT-Sicherheit etabliert werden, während unabhängige Experten mindestens jährlich auditieren. Hierbei erachte ich sogenannte Penetrations-Tests als wesentlich, um Sicherheitslücken zu entdecken und zu schließen. IT-Sicherheit sollte auf Stand der Technik und Wissenschaft gehoben werden, was bei den Datenansammlungen im Gesundheitswesen Pflicht sein muss. Zu guter Letzt fordere ich dazu auf, dass jeglicher Software-Code veröffentlicht wird, der hierfür auf unsere Kosten, finanziert durch Krankenkassenbeiträge, erstellt und eingesetzt wird. Nur so lassen sich Vertrauen und Sicherheitsgefühle aufbauen.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 46120051)