Es braucht endlich eine transparente und proaktive Kommunikation

Es ist nun mehr als drei Wochen her, dass es bei einem Anbieter von Signatur- und Zugangskarten, der D-Trust GmbH, zum sogenannten Datenschutzvorfall kam. Dabei wurden dem Vernehmen nach personalisierte Daten von mindestens 65.000 Ärztinnen, Ärzten und sonstigem medizinischen Fachpersonal ausgelesen. Sowohl die offenbar mangelnde Sicherheit als auch die Kommunikation sorgt für Irritationen – nicht nur, aber auch beim Thüringer Hartmannbund.

„Stand heute sind wir Ärztinnen und Ärzte immer noch in Unkenntnis über das Ausmaß des Datenlecks. Wir wissen immer noch nicht, ob über den anonymen Forscher hinaus weitere Unbefugte auf Daten zugreifen konnten. Auch die Frage, wie viele personalisierte Daten insgesamt ausgelesen wurden, ist unbeantwortet – die im Raum stehende Zahl von 65.000 Personen ist ja leider nur eine Mindestangabe. Pikant auch: wenn man die Statements aufmerksam liest, wurden von D-Trust Sofortmaßnahmen ergriffen, um den Schutz der Daten im Portal sicherzustellen – eine Wortwahl, die eben das tatsächliche Schließen der Sicherheitslücken offenlässt. Nach wie vor bestehen Fragen über Fragen. Vor allem aber bereitet es Sorgen mit Blick auf die Sicherheitsarchitektur insgesamt, wenn von den Experten des Chaos Computer Clubs zu vernehmen ist, dass das Sicherheitsleck bei jedem seriösen Test hätte auffallen müssen“, heißt es in einer aktuellen Erklärung des Vorstands des Thüringer Hartmannbundes.

Kritisch sieht der Thüringer Hartmannbund auch die Kommunikationspolitik der Landesärztekammern. „Bisher ist es immer noch so, dass jede Ärztin und jeder Arzt einzeln bei der Ärztekammer anfragen muss, ob er oder sie betroffen ist. D-Trust beantwortet ja keine Anfragen einzelner Ärztinnen und Ärzte. Wünschenswert wäre es, dass die Ärztekammern aktiv auf D-Trust zugehen, um die Daten der Mitglieder zu erhalten und letztere dann informieren zu können. Sollte dies noch nicht erfolgt sein, sollten die Kammern hier dringend tätig werden.”

Mit Blick auf den im März geplanten Rollout der elektronischen Patientenakte (ePA) erklärt der Thüringer Hartmannbund weiter: „Auch wenn wir die ePA an sich befürworten, können wir sie unseren Patienten im Moment nicht guten Gewissens empfehlen. Dafür ist zuletzt zu viel Vertrauen in die Kompetenz der verantwortlichen Akteure verloren gegangen. „Es ist für uns unverständlich, wie leichtfertig die Verantwortlichen aktuell das Vertrauen der Nutzer in die Telematikinfrastruktur und in der Folge auch in deren Herzstück, die elektronische Patientenakte verspielen. Wie es in einem Schreiben der Gematik an die KBV heißt, machte der Chaos Computer Club (CCC) bereits im August letzten Jahres auf die bestehenden Sicherheitslücken aufmerksam. Die Verantwortlichen in der Gematik hielten es jedoch für unwahrscheinlich, dass Unbefugte in Besitz eines für den Zugriff benötigen elektronischen Institutionsausweises (SMC-B) gelangen könnten. Diese Gutgläubigkeit – man könnte es auch Naivität nennen – in einer mehrheitlich vom Bundesgesundheitsministerium kontrollierten  Gesellschaft macht einen schier fassungslos. Es braucht sicher nicht viel Fantasie, um sich auszumalen, dass es zahlreiche Akteure gibt – auch aus dem Ausland – die ein ausgeprägtes Interesse an einem solchen Zugriff haben und alle Hebel in Bewegung setzen würden, um an einen SMC-B zu gelangen. Würde dieser sie doch in die Lage versetzen, potentiell rund 70 Millionen Patientendaten der gesetzlich Versicherten abgreifen zu können, wie der CCC kürzlich aufzeigte.“

Abschließend geht der Thüringer Hartmannbund noch auf die Voraussetzungen ein, die aus seiner Sicht vor dem Ausrollen der ePA zwingend erfüllt sein müssten. „Unabdingbar wäre nach unserem Dafürhalten, dass erstens die derzeit in der Pilotphase zu Tage beförderten technischen Probleme beseitigt werden und zweitens unabhängige Experten – beispielsweise vom CCC – die zusätzlichen Features der ePA-Sicherheitsarchitektur, die vor dem Rollout der ePA noch eingerichtet werden sollen, final noch einmal auf Herz und Nieren prüfen.“