Die Frage aller Fragen lautet: Wie
sicher sind Patientendaten im Netz?
Und die Antwort ist überraschend
einfach: gar nicht! Wer wagte daran zu zweifeln, nachdem jüngst
Rechner von Abgeordneten im Bundestag gehackt und sensible Daten
entwendet wurden. Unsereiner führt derzeit mit dem
Bundesgesundheitsministerium zum Thema „Sicherheit von
Patientendaten“ eine Korrespondenz. Im hohen Haus ist man
offenkundig der Meinung, alles sei nur eine Frage guter
Verschlüsselungstechnik.
Interessantes Detail am Rande: Meine
Briefe ans Ministerium gehen nachrichtlich unter anderem an den
„Chaos Computer Club“ (CCC) in Hamburg. Das ist
Deutschlands renommierteste Hackervereinigung. Hackervereinigung? Ja
doch, so was gibt’s wirklich. Die Typen dort sind allerdings nicht
kriminell, sondern haben es sich zur Aufgabe gemacht,
Sicherheitslücken im Internet aufzudecken. Und niemand, aber auch
gar niemand in der IT-Branche zweifelt an der Kompetenz des CCC zum
Thema „Datensicherheit im Netz“. Bestimmt auch nicht die
Regierung. Also kurz und gut: Meine Mail nachrichtlich an den CCC
kommt postwendend per „mailer daemon“ als „nicht angenommen“ zurück. Nachfrage bei CCC, Antwort: Die CCC-Rechner nehmen
grundsätzlich keine Mails mit Anhang an, die CCC-Faxnummer lautet
… Tja, soviel zum Thema Datensicherheit im Netz. Sogar der CCC
vertraut aufs gute alte Fax.
Keine Chance gegen Hacker
Was bedeutet das wohl für die
Sicherheit von Patientendaten auf Praxiscomputern, die praktisch
ausnahmslos einen Online-Anschluss haben? Wie sicher sind die
Quartalsabrechnungen der Kassenpatienten, bei denen übers Internet
die Abrechnungsnummern und die Diagnosen (!) der Versicherten von den
Praxen zu den Kassenärztlichen Vereinigungen übertragen werden?
Richtig: Sicher eventuell gegenüber einem unbefugten Zugriff von
Ihnen und mir, aber nie und nimmer geschützt vor dem Angriff eines
talentierten Hackers. Und glauben Sie mir: Nichts ist für Dritte so
interessant wie Ihre Krankheiten.
Denken Sie nur an die Ressentiments
der Versicherer, wenn Sie zum Beispiel eine Lebensversicherung
abschließen wollen, aber unter Bluthochdruck leiden. Oder wenn Sie
als trockener Alkoholiker eine KFZ-Haftpflicht benötigen? Wenn Sie
einen Kredit aufnehmen wollen, die Bank aber bei Ihnen als Diabetiker
ein erhöhtes krankheitsbedingtes Ausfallrisiko erkennt? Sie sagen,
dass es verboten ist, dass sich Banken und Versicherungen Ihre
Gesundheitsdaten besorgen? Tja, was verboten ist, hat Banken und
Versicherer ja schon immer besonders gekümmert, nicht wahr? Die
Deutsche Bank macht’s derzeit vor – außerdem überblicken Sie ja gar
nicht, was ihr Geldinstitut noch alles über Sie weiß. Und diese
illegalen Kenntnisse werden Ihnen mit Sicherheit nicht auf die Nase
gebunden. Wahrscheinlich sind Banken und Versicherer eh zu arm, um
sich Profi-Hacker leisten zu können …
Gesetz wäre nötig
Die Politik ist gefordert: Es braucht
ein Gesetz, das die Online-Anbindung von Rechnern mit Patientendaten
verbietet, gleich, ob diese Rechner in einer Praxis, bei einer
Krankenkasse oder sonst wo stehen. PCs mit Patientendaten nur als
Intranet, keinerlei Verbindung nach außen, Kassenabrechnung per
Stick und Postversand als Einschreiben. Updates von den Systemhäusern
ebenfalls per Stick zum Einlesen. Für den Internetzugang in den
Praxen sollten eigene Rechner ohne Patientendaten eingerichtet
werden. Nur so ist der missbräuchliche Zugriff auf die
Patientendaten zu verhindern, nur so und nicht anders kann der
Patient sicher sein, dass er dem Arzt alles anvertrauen kann, ohne
damit rechnen zu müssen, dass seine Angaben die Räume der Praxis
verlassen.