Risiken der vernetzten Welt – Teil 1 Datensicherheit im Gesundheitswesen

Autor / Redakteur: Joachim Jakobs/Stephan Augsten / Jürgen Sprenzinger

Die Medizin hat sich aufgrund von Forschung und Technik sehr rasch entwickelt. Die Vernetzung könnte nun den nächsten großen Sprung einleiten. Dabei darf aber die Datensicherheit nicht zu kurz kommen, sonst ist die ärztliche Schweigepflicht nicht mehr als lediglich ein leeres Versprechen.

Firma zum Thema

Die Technik hat das Gesundheitswesen vorangetrieben, die Vernetzung könnte nun für den nächsten Sprung sorgen.
Die Technik hat das Gesundheitswesen vorangetrieben, die Vernetzung könnte nun für den nächsten Sprung sorgen.
(Bild: Archiv)

Ein halbes Dutzend Mal täglich müssen Diabetiker ein Messgerät mit einem Blutstropfen füttern. Auf dieser Basis wird die Menge des benötigten Insulin berechnet. Trotzdem besteht jederzeit die Gefahr, dass die Blutzuckerwerte durch die Gabe einer falschen Insulindosis zu stark abgesenkt werden oder aber sehr ansteigen. „Beide Stoffwechselsituationen sind bedrohlich – im Extremfall sogar lebensgefährlich“, warnt der Arzt Jochen H. Kubitschek.

Doch zumindest dürfen die Patienten auf Erleichterung hoffen – künftig soll eine „künstliche Bauchspeicheldrüse“ die Funktion des menschlichen Organs übernehmen: Dazu soll ein Sensor den Blutzuckerspiegel permanent unter der Haut messen und an einen Computer übertragen; dieser wiederum soll einer Pumpe mitteilen, wie viel Insulin sie auszuspucken hat.

Als problematisch könnte es sich aber erweisen, künstliche Organe per Bluetooth mit Hilfsgeräten zu vernetzen. Im Dezember 2014 wurde darüber berichtet, dass Bluetooth erfolgreich kompromittiert wurde. Und auch die künstliche Bauchspeicheldrüse lässt sich angreifen – per Funksignal und angeblich aus einer Distanz von bis zu 60 Metern. Jerome Radcliffe, Diabetiker und Softwareentwickler, verlangt von der Industrie, von Beginn an über die Sicherheit der Systeme nachzudenken und nicht erst im Nachhinein.

Was die Medizinische Informatik leisten soll

Sollte das Leben tatsächlich für Millionen Betroffene rund um den Globus auf diese Weise weniger kompliziert werden, hätten sie das der „medizinischen Informatik“ zu verdanken. Das Ziel der wissenschaftlichen Fachdisziplin an der Schnittstelle zwischen Medizin und Informatik ist es laut Wikipedia, „die richtige Information zur richtigen Zeit am richtigen Ort der richtigen Person im richtigen Kontext richtig zu präsentieren und zu interpretieren, um Entscheidungen und Prozesse in der Medizin und im Gesundheitswesen zu unterstützen […].“

Daten, Informationen und Wissen sollen die Arbeitsprozesse der im Gesundheitswesen Tätigen unterstützen – in der Hoffnung, dass auf diese Weise auch medizinische Diagnostik, Therapie, Dokumentation, Abrechnung, Epidemiologie (früher: „Seuchenkunde“) und Krankheitsprävention profitieren. Und wenn Vorgänge maschinell verarbeitet werden, wird die Leistung der Beteiligten nebenbei auch noch kontrollierbar.

Mit der Breite der Definition bietet die Wissenschaft der Wirtschaft eine Steilvorlage. August-Wilhelm Scheer, der frühere Vorsitzende des IT-Branchenverbandes BITKOM vertraute der Ärztezeitung vor Jahren an: „Wir wissen seit Jahren, wie man mit IT-Unterstützung ein Auto mit Tausenden von Teilen sekundengenau zusammenbaut oder wie man die Prozesse in einem Lager steuert.“

Analog dazu kommt es für Scheer darauf an, die Prozesse im Krankenhaus mit Hilfe der Informationstechnik zu steuern. Und die Prozesse beginnen für das Ärzteblatt nicht erst in der Notaufnahme: „Durch die intelligente Verarbeitung und Verteilung von EKG-Daten mittels etablierter Kommunikationstechnologien lässt sich die Kommunikation zwischen Notarzt, Klinikarzt und dem Herzkatheterteam optimieren – zum Nutzen des Patienten.“

Überwachung kritischer Situationen

Alle medizinischen Prozesse, vom Notfall über Dauerbetreuung und Krankenhausaufenthalt bis hin zu Reha und Nachsorge ließen sich prinzipiell automatisieren. Florian Schumacher, einer der Protagonisten in Deutschland, sagt: „Auch in Deutschland gibt es zahlreiche Ärzte, die ihre Patienten zur Aufzeichnung von Werten wie Blutdruck oder Blutzucker auffordern.“

Mithilfe entsprechend hoch aufgelöster Elektrokardiogramme wollen Wissenschaftler des MIT und der Harvard Medical School sogar einen kommenden Herzinfarkt und dadurch bedingte Todesfälle „vorhersagen“. Wissenschaftler der Universität Potsdam wollen dank „intelligenter“ Kameras erkennen, ob (ältere) Menschen in ihrer Wohnung stürzen, in welcher Position sie sich anschließend befinden und ob ein Krankenwagen gerufen werden muss.

Überwachen lassen sich die Menschen aber auch unterwegs: SAP will unsere Innenstädte mit schlauen Kameras ausstatten, um bei Verkehrsunfällen Hilfe zu holen. Allerdings will auch das Einrichten von Überwachungskameras und Verkehrsleitsystemen gelernt sein – so berichtete die Britsche Zeitung Mirror von Überwachungskameras, deren Aufnahmen live auf Russischen Internetseiten auftauchen.

Krankheiten ohne Zeitverzögerung feststellen

Als nächstes kommt die Diagnose: Mit ein klein wenig Zubehör sollen Patienten ihren eigenen Herzinfarkt feststellen können. Doch kann der Patient im Notfall das EKG-Kabel ans Smartphone klemmen, die Elektroden an Brustbein und -korb befestigen und dann auch noch das Programm starten. Hier könnte womöglich die „EKG-Weste“ helfen: Diese misst in Verbindung mit dem Handy permanent Körperwerte des Trägers, lenkt im Notfall das Auto an den Straßenrand und ruft den Notarzt.

Ist der Infarkt noch unbestätigt, so verschafft spätestens der Rettungsdienst Klarheit – früher diente der Krankenwagen dem Personentransport, heute handelt es sich dabei um eine Notaufnahme auf Rädern: So soll das Krankenhauspersonal von der Straße aus mit den Daten des Patienten versorgt werden „Bei einem Herzinfarkt zählt jede Minute“, weiß Cisco und erklärt: „Die schnelle Verfügbarkeit der ersten EKG-Daten verkürzt die Reaktionszeit von bisher zwei bis drei Stunden auf 20 bis 30 Minuten.“

Da es im Rettungswagen bereits moderne Defibrillatoren gebe, könne der Rettungsdienst schon beim Patienten zu Hause oder im Krankenwagen ein Elektrokardiogramm (EKG) ableiten. „Dieses wird direkt an den Notarzt der Spitalregion übermittelt“, so Cisco. „Anhand dieser Daten lässt sich bereits während der Fahrt im Rettungswagen eine Verlegung des Patienten in das Herzkatheterlabor des Kantonsspitals vorbereiten.“

Das Problem fahrender Rechenzentren besteht nach Ansicht von Andry Rakotonirainy, Professor der Australischen Queensland University, in einem Mangel an Authentizität, Integrität und Vertrauenswürdigkeit. Aktuelle „intelligente“ Fahrzeuge seien auf dem Sicherheitsstand der Desktop-PC aus den 1980er Jahren. Dadurch bestünde die Möglichkeit für Angreifer, die Kontrolle über das Fahrzeug aus der Ferne zu übernehmen.

Digitalisierung und Vernetzung in der Medizin

Vollelektronisch geht es im Krankenhaus weiter – die Landesregierung von Nordrhein-Westfalen schreibt in einer Broschüre: „Herzmonitor, Endoskop, digitale Krankenakte, Wundmanagement, Abrechnungssoftware – Krankenhaus oder Arztpraxis der Zukunft bestehen aus Medizingeräten und IT-Systemen, die untereinander Informationen austauschen und die Ärzte unterstützen.“

Auch der Herzschrittmacher ist gesprächig – er verschickt „Kreislauf- und Systemdaten vom Schrittmacher zu festgelegten Zeiten automatisch über ein Mobiltelefon an die behandelnden Ärzte“ wie derwesten.de berichtet. Kabellos arbeiten mittlerweile auch implantierbare Defibrillatoren, Hirnschrittmacher und Mittelohrimplantate. Ganz abgesehen vom „künstlichen Auge“, für das der Österreicher Dieter P. Gruber im vergangenen Herbst ausgezeichnet wurde.

Das Ziel ist das papierlose Gesundheitswesen – mit Hilfe des „HIMSS EMRAM Modells“ wird gemessen, wie weit die Krankenhäuser auf dem Weg der Digitalisierung fortgeschritten sind. Das Universitätsklinikum Hamburg Eppendorf soll als erste Einrichtung in Europa die höchstmögliche Digitalisierungsstufe 7 erreicht haben.

Wer nach einer stationären Behandlung wegen eines Herzinfarkts aus dem Krankenhaus entlassen wird, erfreut sich doch immer noch der Aufmerksamkeit des behandelnden Arztes; dazu bietet die EvoCare Telemedizin GmbH Nürnberg entsprechende Dienste per „Telemonitoring“ an.

Ergänzendes zum Thema
Gebäudesteuerung und Zugangsschutz im Gesundheitswesen

Nicht nur medizinische und kaufmännische Prozesse lassen sich in der Medizin mithilfe der IT lenken und verbessern. Im Krankenhaus kommt die Steuerung des Gebäudes hinzu. Als einer der Experten in diesem Geschäft sieht sich der US-Anbieter Honeywell – der Konzern wirbt mit „Beispiele für Honeywell Systeme in Krankenhäusern:

  • Integrierte Gesamtlösungen einschließlich Videoüberwachung, Zutrittskontrolle, Zeiterfassung, Brand- und Einbruchmeldetechnik sowie der Hindernisbefeuerung des Hubschrauberlandeplatzes für niedrige Betriebskosten und maximalen Nutzerkomfort.
  • Sicherheits- oder gebäudetechnische Anwendungen mittels drahtloser Signalübertragung. Damit lassen sich Analysegeräte oder Betten schnell lokalisieren oder Brandmeldetechnik im laufenden Betrieb kostengünstig und ohne Belästigung der Patienten nachrüsten.“

Apropos Sicherheit – für Honeywell ist das ein leidiges Thema: Deren Tochter „Tridium“ ist durch ein Leck in seiner Software „Niagara“ aufgefallen; obwohl die US-Heimatschutzbehörde 2012 vor dem Einsatz von Niagara warnte, wurde Google ein Jahr später in seinem australischen Hauptquartier der Gebäudegrundriss geklaut. Das war nur möglich, weil dieser an einer Stelle hinterlegt war, die über Niagara zugänglich war. Millionen Heizungen, Überwachungskameras und Brandmelder weltweit sollen mit Hilfe von Niagara vernetzt sein – auch in Krankenhäusern.

Solche Geschichten können Karsten Becker nicht schrecken – wenn der Internist seine Praxis im Niederrheinischen Wesel betreten möchte, wird er zunächst an Hand seiner Netzhaut erkannt; gleichzeitig gehen in den 20 Behandlungszimmern alle 22 Rechner an und rufen die Patientenakten auf. Im Winter geht die Heizung an, im Sommer soll die Klimaanlage für Abkühlung sorgen. Lichtsensoren passen die Innenbeleuchtung an die Stärke des Tageslichts an. Für die Zukunft plant Becker, auch noch die Espressomaschine zu vernetzen.

Nun wurde kürzlich auf einem Kongress in Berlin demonstriert, wie sich die Iris-Zugangserkennung überlisten lässt – ein Verfahren, das der Internationalen Standardisierungsorganisation ISO bis heute eine eigene Norm wert ist. Ob und wie lang die Erkennung der Netzhaut tatsächlich noch als sicheres Verfahren zur Zugangserkennung dienen kann, ist ungewiss.

Vor Jahren hat sich die Firma Insteon an einem mittlerweile eingestellten Produkt zur Heimvernetzung die Finger verbrannt. Heute denkt das Unternehmen konservativ und warnt seine Kunden in den Bedienungsanleitungen. Unter anderem sollten die Kunden „unnötige Verbindungen“ zwischen Funktionen kappen, die sie nicht benötigen und lieber eine „Luftlücke“ lassen. Andere halten es für gefährlich, Sicherheitsfunktionen mit wichtigen betrieblichen Anwendungen zu verknüpfen.

Die Frage an Becker ist nun, ob er seine Patientendaten für wichtig hält. Falls ja, sollte er vielleicht nochmal drüber nachdenken, ob er wirklich Alles mit Allem vernetzen möchte.

Die elektronische Gesundheitskarte als Bindeglied

Alles mit Allem zu vernetzen – das scheint im größeren Maßstab der Grundsatz zu sein: Mit der elektronischen Gesundheitskarte (eGK) haben sich die Protagonisten große Ziele gesetzt: „Mit der Einführung der eGK werden ca. 72 Millionen Versicherte, 22.000 Apotheken, 135.000 niedergelassene Ärzte, 55.000 Zahnärzte, 2.100 Krankenhäuser und 145 Krankenkassen miteinander vernetzt“, lässt die Actimonda Krankenkasse aus Aachen wissen.

Um sich im vernetzten Gesundheitswesen als berechtigt auszuweisen, sollen sich Ärzte mit einem 'elektronischen Heilberufsausweis' und ihre Patienten mit einer 'elektronischen Gesundheitskarte' ausweisen. Der Arzt und Informatiker Ralf Heydenbluth kritisiert insbesondere den Online-Ausbau der schlauen Karte: „Anstelle eines Systems, in dem der Patient Herr seiner Daten bleibe, werde ein System installiert, in dem Daten herrenlos im Internet abgefragt werden können.“

Die großen Möglichkeiten aus der technischen Praxis beflügeln die Phantasie in der großen Politik – damit die Daten reibungslos zwischen Heilberufen, Apotheken, Krankenkassen und Patienten noch schneller hin- und herflutschen können, plant Gesundheitsminister Hermann Gröhe entsprechend ein Gesetz, um den elektronischen Datenaustausch zu befördern. „Die Datenschützer Rhein Main“ sehen Gröhe dabei unter Druck der IT-Industrie, das Datenschutzrecht aufzuweichen.

Wohin das führen kann, zeigen die wirtschaftsfreundlichen USA: 2014 wurden dort 83 Millionen Patientendaten gestohlen. 2012 waren es noch 17 Millionen. Nach Erkenntnissen der Schufa ist hierzulande bis 2013 bereits jeder fünfte Opfer von Datenkriminalität geworden. Weitere 27 Prozent können das nicht ausschließen und 85 Prozent sollen „Angst“ haben, Opfer zu werden.

Die Wirtschaftauskunftei (die bislang nicht zu den Chorknaben des Datenschutzes zählte) ist der Ansicht: „Wir sehen in den immer häufiger vorkommenden Identitätsdelikten eine Bedrohung für das Bestehen des zukünftigen Wirtschaftslebens.“ Die Schufa hat schon die Hosen voll, obwohl die Vernetzung unseres Lebens gerade erst begonnen hat: HP hat im vergangenen Sommer geschätzt, dass bis 2020 26 Milliarden Geräte am Internet hängen könnten – wovon vermutlich 70 Prozent löchrig sein werden.

Mit jedem Sicherheitsleck bietet sich den Angreifern ein Einblick in Lebensstandard und Gewohnheiten seiner Opfer. Die damit verbundene informationstechnische Bedeutung erläutert Healthcare Computing im zweiten Teil dieses Artikels.

(ID:43193476)