medianet ÖAZ Philips QUALITAS ÖKZ MedAustron

Datum: Dienstag, 16. Juli 2019

Artikel: Schaffler Verlag, ÖKZ: 60. JG (2019) 06-07 / Alexandra Keller

Bildinhalt: Symbolbild

Bildrechte: ClipDealer / stocksnapper

Dieser Artikel wurde 132 mal gelesen.

Angemessene Paranoia

Noch kann nicht behauptet werden, dass der österreichische Gesundheitssektor ausreichend gegen Computerkriminalität geschützt ist. Angesichts der potenziellen Gefahren für die Patienten und ihre Daten drängt die Zeit.  

Ende März 2019 ging Wikipe­dia für einen Tag offline. Aus Protest gegen die EU-­Urhe­berrechtsreform war die deutschspra­chige Version der Online­-Enzyklopädie für 24 Stunden komplett stillgelegt worden und die satirische österreichi­sche Online­-Tageszeitung Die Tagespresse bedachte diesen Tag mit einem Bericht.

„Wikipedia heute offline: Tausende Ärzte können keine Diagnose stellen“ wurde die kurze Satire betitelt, in der nicht nur die Hilflosigkeit der Mediziner ohne Internet aufs Korn ge­nommen, sondern auch ein Kern Wahrheit getroffen wurde. In zahlreichen Bereichen hat sich die Medizin längst von ihren analogen Wurzeln verabschiedet und Schritt für Schritt in die Abhängigkeit „der IT“ begeben.

Ärztezimmer und Ordinationen werden immer weniger von Bü­cherrücken im typischen Dunkelblau, Hellblau und Weiß be­herrscht. Stehen diese Lehrbücher doch noch in den Regalen, so fangen sie dort eher Staub, als dass sie für die Beantwortung diagnostischer Fragen zu Rate gezogen würden. Nachschlagen in Fachbüchern darf oftmals durch „Nachklicken“ im Internet er­setzt werden. Darum trifft die Satire einen Kern. Dass der Gesundheitssektor auf allen Ebenen von einer digita­len Megawelle erfasst wurde, ist nicht neu.

„Computer werden in naher Zukunft 80 Prozent der Funktionen erfüllen, die heute Ärz­te erbringen“, ist etwa der Schweizer Zukunftsforscher Georges T. Roos überzeugt. Während die Hintergründe für seine These zwingend zu einer grundlegenden Debatte über das neue ärzt­liche Selbstverständnis führen, werden allerorts die IT­-Systeme aufgemotzt, um bei der Entwicklung mithalten zu können.

Nicht ausreichend

Wenn ein Krankenhaus ein neues Krankenhaus­Informations­system installiert, dann wird viel Zeit und Energie für Informa­tionen darüber verwendet, was das System alles kann. Meiner Erfahrung nach wird aber nicht ausreichend Zeit und Energie verwendet, um die Sicherheit der Systeme zu diskutieren.

Cornelius Granig
Unternehmensberater und Cybersicherheitsexperte

Granig steht der Ärztekammer in die­sen Fragen zur Seite und deutet mit seinem Anfang April 2019 erschienenen Buch Darknet – Die Welt im Schatten der Computerkriminalität mahnend auf arg kränkelnde Tatsachen. „Die Sicherheit ist stark steigerbar“, sagt Granig zum Status quo der Systeme im heimischen Gesundheitssektor. Die Diplomatie seiner Worte entbehrt nicht einer gewissen Dra­matik. Und dramatisch ist es auch, was die digitalen Welten im Gesundheitswesen für die Patienten im negativen Fall bedeuten können.

Granig umreißt im Gespräch mit der ÖKZ grob das digitale Gesundheitsuniversum, in dem sich auch Kriminelle tum­meln.

Wir haben Telemedizin, elektronische Patientenakten, Fitnesstracker, Pflegeroboter, digitale Unterstützung bei Ope­rationen und zahlreiche Geräte, die in den Bereich Internet der Dinge fallen.

Mit stark steigender Tendenz beziehungsweise Frequenz. Am 2. Mai 2019 erst veröffentlichte das österreichische Innenmi­nisterium die Polizeiliche Kriminalstatistik 2018, und diese weist eine starke Zunahme der Computerkriminalität aus. Gegenüber dem Vorjahr waren die Fälle von Cybercrime um 16,8 Prozent auf fast 20.000 in die Höhe geschnellt. Weil viele Betroffene die Angriffe nicht melden oder keine Anzeige erstatten, ist die Dunkelziffer allerdings sehr hoch.Granig meint:

Datenlecks im Gesundheits­bereich sind besonders heikel. Der Gesundheitsbereich ist ein Anziehungspunkt für viele Straftäter, da hier äußerst sensible, personenbezogene Daten verarbeitet werden, die für viele De­likte genutzt werden können. Die Absicherung dieser Systeme ist sehr wichtig.

Wird beispielsweise ein über Bluetooth an­steuerbarer Herzschrittmacher oder eine Insulinpumpe gehackt, hat der Hacker die Möglichkeit, den Betroffenen krank zu ma­chen oder gar zu töten. Um die Gefahren aufzuzeigen, darf nicht tiefgestapelt werden. Ohne angemessene Sicherheitsmaßnahmen können Spitäler lahmgelegt, Patientendaten gestohlen und ganze Systeme ins Wanken gebracht werden.

Verwundbarkeit des Netzes

Cybersicherheit ist das Schlüsselwort, das sich wie ein roter Faden durch Granigs Buch zieht und auch die Datenlecks im öster­reichischen Gesundheitssektor umspannt. 2009 wurde beispielsweise das Netzwerk der Kärntner Landeskrankenhäuser mit einem Computerwurm infiziert, der rund 3000 Krankenhaus-­PCs lahmlegte und damit auch den Krankenhausbetrieb. 2010 wurde die Website des Tiroler Krankenanstaltenverbundes manipuliert und mit einer Kinderpornografie­-Seite verlinkt, was nicht sicherheitskritisch klingt, wohl aber die Verwundbarkeit des Netzes aufzeigt. 2011 wurde die Tiroler Gebietskrankenkasse (TGKK) beziehungs­weise ihre Versicherten Opfer eines veritablen Angriffs. Den Hacktivisten von Anonymous Austria war es gelungen, an über 600.000 Datensätze der TGKK zu kommen. Die Internet-­Aktivisten gaben an, zufällig über die Daten gestolpert zu sein, der TGKK­-Obmann sprach von einer „kriminellen Ge­schichte“, Anzeige gegen Unbekannt wurde erstattet und in einer ersten Reaktion war ausgeschlossen worden, dass die doppelte Firewall gehackt wurde. „Wie in vielen ähn­lich gelagerten Fällen wurde von der TGKK sofort betont, wie gut die Absicherung nach außen sei. Offenbar denkt man häufig nicht daran, dass die meisten Datendiebstähle intern passieren oder zumindest in Zusam­menarbeit zwischen externen Angreifern und internen Mittätern“, lenkt der Autor den Blick weg von stolz präsentierten Firewalls ins Innere der Gemäuer, wo kriminelle Ener­gie oder das IT­-Know­-how nicht riesig sein müssen, um immensen Schaden anrichten zu können. Granig weiß:

Heute kann man mit einem USB-­Stick in Windeseile tausende Daten mitnehmen. Computerkriminalität ist sehr einfach geworden.

Ein Arbeitscomputer im Netz, ein USB-­Eingang, Frust wegen wem oder was auch immer, ein Quäntchen Rache­durst und ein USB-­Stick um 17,99 Euro. Mehr ist nicht nötig.

"Die Zahl der Menschen, die Daten kopieren dürfen, muss sehr klein gehalten werden. Man muss mitloggen, wer kopiert und man muss laufend Background­Checks machen“, forciert der Experte eine Art angemessene Paranoia und hält fest:

Man muss einfach vorsichtig sein und mehr Respekt vor dieser Be­drohung haben.

Als im Herbst 2013 der Hauptverband der Sozialversicherungs­träger nach anfänglichem Zögern und einem eigentümlichen De­menti­-Reigen ein Datenleck in der Zentralen Partnerverwaltung (ZPV) eingestehen musste, wurde rasch davon ausgegangen, dass ein interner Mitarbeiter die Daten an Anonymous Austria weitergegeben hatte.

Granig, der auch die zahlreichen po­tenziell gefährlichen Designmängel im Zusammenhang mit der Elektronischen Gesundheitsakte (ELGA) kennt, die er in Zusam­menarbeit mit der Wiener Ärztekammer in einer 2016 veröffent­lichten Studie aufgezählt hat und die – wie er schreibt – bisher noch nicht behoben wurden, sagt:

Beim Hauptverband reden wir über die größte und zentralste Datenbank der österreichischen Gesund­heitswelt. Die ZPV hat mehr als 15 Millionen personenbezogene Daten gespeichert.

Von der ÖKZ mit der Mängelliste konfrontiert, klärt die ELGA GmbH auf, dass einzelne Forderun­gen teilweise bereits umgesetzt wurden und andere aufgrund der fehlenden gesetzlichen Grundlagen nicht umgesetzt werden können. Zu der, auch im Buch veröffentlichten Forderung nach „Einführung einer verpflichtenden separaten Authentifizierung beim Einstieg in ELGA, damit beispielsweise in Krankenhäusern die ELGA­-Anmeldung nicht mit der Anmeldung zum Kranken­haus­Informationssystem verknüpft wird (kein Single-­Login)“, wird von der ELGA GmbH beispielsweise festgehalten:

Das wäre eine Usability­-Hürde, die keinen oder kaum einen sicher­heitstechnischen Mehrwert aufweisen würde. Genau dort wer­den sämtliche hausintern erfassten oder hausextern angefor­derten oder vom Patienten mitgebrachten Daten verwaltet und benötigt. Die Daten, die über ELGA­-Services dort für die in Be­handlung stehenden Patientinnen benötigt wer­den, entsprechen von der erforderlichen Sicher­heitsstufe exakt denselben Kriterien.

Jedenfalls Recht behält Granig aber, wenn er sagt:

Es wäre ein absoluter Supergau, wenn das ELGA-­System gehackt wird oder jemand auch nur Teile der Da­ten aus dem System bekommt.

Auch die Zurückhaltung der Institutionen, über bereits erfolgte Angriffe zu sprechen, taucht die Cybersicherheitslage des österreichischen Ge­sundheitssektors in einen eigentümlichen Ne­bel. Um Welten transparenter wird in den USA mit dem Problem umgegangen. Dort gibt es eine Melde­ und Veröffentlichungspflicht für Angriffe auf Krankenhäuser, die mehr als 500 Patienten betreffen.

Das „Breach Portal“ des US­-amerika­nischen Gesundheitsministeriums kann jederzeit und von jedem eingesehen werden. Für April 2019 werden dort beispielsweise 37 Fälle aufge­listet, die der Behörde gemeldet wurden und von ihr untersucht werden. Mit 197.661 betrof­fenen Patienten war der Hackerangriff auf das Netzwerk der kalifornischen Centrelake Medical Group Inc. der größte im April dieses Jahres und es ist gut möglich, dass potenzielle Patienten diese Einrichtung meiden, nachdem sie die Website durchfors­tet haben. Zwischen 2010 und 2016 waren laut einer in Darknet-zitierten norwegischen Studie 171 Millionen US-­Amerikaner von Gesundheits-Datenlecks betroffen, was rund 54 Prozent der Ge­samtbevölkerung entspricht. „Es ist sehr wichtig, diese Informa­tionen öffentlich zu machen. Denn dadurch können einerseits Patienten die Vertrauenswürdigkeit von Krankenhäusern besser beurteilen, und andererseits ist es für die Betreiber ein Ansporn, die Sicherheitsvorkehrungen zu intensivieren“, sagt der Autor, der ein ähnliches System auch in Österreich für „andenkens­wert“ hält und grundsätzlich Folgendes festhält: „Meiner Mei­nung nach müssen die Krankenanstalten massive Investitionen tätigen, um zeitgemäßen Schutz zu erreichen.“

Unheimliche Dimensionen

Der Investitionsstau scheint enorm zu sein und allein das Feh­len diesbezüglich strenger Vorschriften – die Finanzbranche lebt ein solches Modell mit der Finanzmarktaufsicht als Regulator längst vor – stellt die Verantwortlichen vor enorme Herausforde­rungen. Und ein bisschen auch an den Pranger, weil die Folgen von Datenlecks unheimliche Dimensionen für die Betroffenen annehmen können. Ende 2018 begann in Litauen beispielsweise ein Gerichtsprozess gegen Beschuldigte aus dem Umfeld einer Schönheitsklinik. Die Angeklagten hatten 25.000 Fotos und Gesundheitsinformatio­nen aus der von internationalen Patienten frequentierten Klinik gestohlen und im Netz veröffentlicht. „Die Gangster verlangten zwischen 50 und 2000 britische Pfund, die in Bitcoin bezahlt werden sollten – je nachdem, wie sensibel die Fotos waren –, um diese wieder vom Netz zu nehmen“, so der Autor, der den österreichischen Präsidentschaftswahlkampf 2016 an den Be­ginn des Darknet-­Kapitels über die „Kranken Da­ten“ stellt. Damals wurde nicht nur der Gesund­heitszustand des späteren Bundespräsidenten Alexander van der Bellen in Frage gestellt, auch sein Herausforderer Norbert Hofer geriet in Er­klärungsnot, nachdem den Medien infolge eines Datenlecks in der Pensionsversicherungsan­stalt ein abgelehnter Antrag Hofers auf die Ge­währung einer Invaliditätspension zugespielt worden war. Dazu hält Cornelius Granig fest: „Dieser Fall illustriert sehr gut, welch wichtige Rolle Datenlecks aus dem Gesundheitsbereich gerade in heiklen beruflichen Situationen spie­len können.“

Autorin:
Alexandra Keller-Journalistin
Innsbruckalexandra.keller@chello.at


Bildinhalt: ÖKZ
  Ausgabe: 06-07/2019/60.JG
Bildrechte: Schaffler Verlag