c't 1/2021
S. 60
Titel
IT-Sicherheit in der Medizin
Bild: Albert Hulm

Digitales Infektionsrisiko

Warum die Medizin-IT ihre Abwehrkräfte stärken muss

Volle Wartezimmer, verlegte Arztbriefe, weite Wege zum Landarzt: Dank der ­Digitalisierung des Gesundheitswesens soll das alles bald der Vergangenheit ­angehören. Analysen aktueller Apps der Krankenkassen sowie der Karten­terminals in den Arztpraxen offenbaren jedoch Sicherheitsmängel.

Von Hartmut Gieselmann

Tempo, Tempo, Tempo: Jahrzehntelang hat die Bundesregierung die Digitalisierung der Medizin verschlafen, jetzt kann es ihr nicht schnell genug gehen. Nachdem der Bundesrat Mitte September das Patientendatenschutzgesetz (PDSG) durchgewunken hatte, steht seit November der Entwurf zum „Digitale Versorgung und Pflege-Modernisierungs-Gesetz“ (DVPMG) bereit.

Von der elektronischen Patientenakte über E-Rezepte bis zur Telesprechstunde soll vom kommenden Jahr an nach und nach alles über Apps auf dem Smartphone laufen. Solche Vereinfachungen sind auch dringend notwendig, um lästige Wege und Wartezeiten für Folgerezepte und Krankschreibungen zu verringern. Wer berufstätig ist, überlegt sich bislang zweimal, ob er zum Arzt geht – und verschleppt womöglich ernsthafte Krankheiten.

Doch die schöne Welt der Digitalisierung muss fortlaufend erneuert werden: Die jüngst angeschaffte Hardware der über 120.000 an die Telematik-Infrastruktur angeschlossenen Praxen und Kliniken im Wert von vorsichtig geschätzten 400 Millionen Euro droht bereits wieder zu veralten, bevor sie richtig zum Einsatz kam. Denn der Entwurf des DVPMG sieht künftig kontaktlose Kartenterminals und „Zukunftskonnektoren“ vor.

Immerhin misst selbiger Entwurf des Bundesministeriums für Gesundheit (BMG) dem Datenschutz und der Datensicherheit „nach wie vor eine herausragende Rolle“ zu – nur kosten dürfen beide offenbar nichts: Während bei den Krankenkassen für die digitale Umstellung rund 100 Millionen Euro angesetzt werden, veranschlagt das BMG für die „Gewährleistung von Datensicherheit bei digitalen Gesundheitsanwendungen“ beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) jährlich gerade einmal 51.000 Euro. Davon kann das BfArM vielleicht ein paar studentische Hilfskräfte, aber gewiss keinen ausgebildeten Informatiker bezahlen.

DiGA-Verzeichnis

Dabei kommt dem BfArM bei der Zulassung der „Apps auf Rezept“ eine zentrale Rolle zu. Will ein Hersteller, dass die gesetzlichen Krankenkassen die Kosten seiner vom Arzt verschriebenen Medizin-App dem Patienten erstatten, muss er ins Verzeichnis für digitale Gesundheitsanwendungen (DiGA) aufgenommen werden. Da es bislang kein einheitliches Gütesiegel für Gesundheitsanwendungen und Medizin-Apps gibt, ist der Blick ins DiGA-Verzeichnis auch die einzige Möglichkeit für Ärzte und Patienten, sich von der Qualität einer solchen App zu überzeugen.

Doch seit dem Start Ende Mai haben es bis Anfang Dezember gerade einmal 6 von 43 beantragten Apps ins DiGA-Verzeichnis geschafft. Bei hunderten weiterer Medizin- und Gesundheits-Apps in den Stores von Apple und Google gibt es für Anwender bislang kaum eine Möglichkeit, deren Qualität zu prüfen.

Warum eine solche Qualitätsprüfung jedoch wichtig ist, zeigt unser Sicherheits-Check von knapp zwei Dutzend Apps deutscher Krankenkassen. Ab Seite 62 lesen Sie, welche haarsträubenden Mängel sich in manche Krankenkassen-Apps eingeschlichen haben. Unser Pentester fand im Code unter anderem Login-Daten und Passwörter im Klartext, veraltete Softwarebibliotheken sowie unverschlüsselte Datenübertragungen. Immerhin gab es aber auch einzelne Apps, die den Tester rundum überzeugten.

Hilfe zur Selbsthilfe

Weil Gesundheits-Apps wie Pilze aus dem Boden schießen, kommen Prüfer und Pentester kaum noch hinterher. Deshalb erklären wir Ihnen ab Seite 67, wie Sie eine Ihnen suspekte App selbst untersuchen. Die dort gezeigten Techniken reichen von der Verschleierung eines Root-Zugriffs bis zur Aushebelung von Certificate Pinning, um verschlüsselte Datenübertragungen zu entziffern.

Das BfArM listet im DiGA-Verzeichis alle Medizin-Apps auf, deren Kosten bei einer Verschreibung durch den Arzt von den gesetzlichen Krankenkassen erstattet werden. Bislang haben nur wenige Apps die Prüfungen bestanden.
Bild: BfArM

Schließlich decken wir in unserem Hacker-Experiment ab Seite 72 auf, mit welchen einfachen Bastelutensilien sich die Sicherheitsvorkehrungen eines in Arztpraxen weit verbreiteten Kartenlesegeräts von Ingenico innerhalb weniger Minuten umgehen lassen. Bemerkenswert ist, dass die Gematik bei der Zulassung der Geräte vor drei Jahren offenbar ahnte, wie leicht ein Angreifer den technischen Schutz überwinden könnte. Doch statt eine robustere Technik zu fordern, begnügte sie sich mit organisatorischen Sicherungsvorgaben – die in Praxen bislang jedoch wenig bekannt sind. Der Artikel erklärt, mit welchen einfachen Mitteln sich die Sicherheit der Terminals verbessern ließe und worauf Ärzte und Klinik­betreiber achten sollten. (hag@ct.de)

Gesetzestexte und Entwürfe: ct.de/yjp8

Kommentieren

Leserbrief schreiben

Artikel als PDF herunterladen

Auf Facebook teilen

Auf X teilen