Die Einführung der elektronischen Patientenakte (ePA) ist überschattet von Meldungen um IT-Sicherheitslücken in deutschen Arztpraxen. Fehlerhafte Sicherheitsmaßnahmen und -einstellungen sollen dazu geführt haben, dass vertrauliche Patientendaten, Diagnosen, Medikationspläne und auch Röntgenbilder im Jahr 2020 – selbst für technisch weniger Versierte – zugänglich waren. „Es ist erschreckend, wie schlecht die Daten in vielen Praxen gesichert sind“, sagt Martin Tschirsich vom Chaos Computer Club dazu dem Spiegel. Der IT-Experte hat die Lücken zusammen mit Christoph Saatjohann von der FH Münster untersucht.
Schwachstellen fanden sich u. a. im System der elektronischen Arztvernetzung (eAV), im staatlichen Datenaustauschsystem Telematikinfrastruktur (TI), in Europas größtem Terminbuchungsportal Doctolib und bei der Anwendung Teamportal. Letztere dient Ärzten dazu, radiologische Befunde wie Röntgenbilder über den Browser anzusehen und zu versenden. Unautorisierte Nutzer hätten die Authentifizierung umgehen und die Röntgenaufnahmen – von bis zu 270.000 Datensätzen ist die Rede – einsehen können.
Wie der Spiegel berichtet, wurden alle aufgedeckten Sicherheitslücken inzwischen geschlossen. Künftig soll eine Richtlinie der Kassenärztlichen Bundesvereinigungen die IT-Sicherheitsanforderungen im Medizinsektor verbindlich regeln und die für die ePA aufgebaute Telematikinfrastruktur sicherer machen. Die für die Telematikinfrastruktur zuständige Betreibergesellschaft will regelmäßig eigene Sicherheitstests durchführen.
Auch für analoge Röntgenbilder ist die sichere Aufbewahrung und der Schutz vor unbefugtem Zugriff vorgeschrieben. Nicht nur bis zum Ablauf der gesetzlichen Aufbewahrungsfrist, sondern bis zur datenschutzkonformen Entsorgung.