Überhastete Digitalisierung gefährdet das Gesundheitssystem

Angriff auf Medatixx

Inhaltsverzeichnis

Wie abhängig das deutsche Gesundheitssystem inzwischen von reibungslos funktionierenden Praxisverwaltungsprogrammen ist, zeigt der Fall des Softwareherstellers Medatixx, der Anfang November Opfer einer Ransomware-Attacke wurde. Medatixx ist nach der Compugroup die Nummer zwei im PVS-Markt. Jeder vierte bis fünfte niedergelassene Arzt setzt Medatixx-Software ein, die es in verschiedenen Versionen unter verschiedenen Namen gibt. Aufgrund des Angriffs mit einem Erpressungstrojaner waren sowohl die Firma als auch der Support nicht mehr erreichbar. Die Öffentlichkeit informierte das Unternehmen erst eine Woche später: "Nach jetzigem Stand richtete sich der Angriff gegen Medatixx als Unternehmen, nicht gegen unsere Kunden", teilte die Firma am 8. November auf ihrer Homepage mit.

Dennoch riet das Unternehmen den rund 25.000 Praxen, die Medatixx-Software einsetzen, vorsorglich die Passwörter der Windows-Rechner, der Firewall und des Konnektors zu ändern, mit denen die Praxen an die TI angeschlossen sind. "Ob und in welchem Umfang Daten auch entwendet wurden, ist zum heutigen Zeitpunkt nicht bekannt. Es kann daher nicht ausgeschlossen werden, dass bei uns gespeicherte Daten entwendet wurden", heißt es auf der Homepage nebst einer Kurzanleitung zur Passwortänderung. Eine Erklärung, ob man der Ransomware Herr geworden ist, stand bei Redaktionsschluss noch aus. Am 22. November, also über zwei Wochen nach der Attacke, war immerhin die Support-Hotline von Medatixx wieder erreichbar.

Die Ratschläge von Medatixx zum Ändern der Passwörter deuten darauf hin, dass der Hersteller nicht ausschließen kann, dass die Hacker womöglich Login-Informationen der Kunden abgegriffen haben. Damit könnten die Angreifer von Medatixx als Nächstes die Praxen attackieren, Gesundheitsdaten stehlen oder verschlüsseln sowie Ärzte und Patienten erpressen.

Das von Medizinern in Bayern gegründete "Bündnis für Datenschutz und Schweigepflicht" (gesundheitsdaten-in-gefahr.de) schlug deshalb Alarm. Mangels weiterer Informationen müsse man von einem Worst-Case-Szenario ausgehen und entsprechende Vorkehrungen treffen: "Einzig sinnvolle Maßnahme ist sofortige Systemabschaltung, Netzwerktrennung, selektiver Backup am abgeschalteten System, Neuaufbau." Letzterer müsste erfolgen, wenn Medatixx einen Lieferkettenangriff nicht verbindlich ausschließen kann.

Um zu prüfen, ob bereits Patientendaten abgeflossen sind, rät ein vom Bündnis befragter Informatiker zu einer Inspektion und Archivierung der Netzwerkvolumen-Protokolle in Firewall oder DSL-Router. Bis Medatixx endgültig geklärt hat, wie tief die Angreifer in das System eingedrungen sind und womöglich die Code-Basis infiltriert haben, sollten Kliniken und Praxen die PVS-Systeme von Medatixx zumindest vom Internet trennen, damit eine eventuell vorhandene Malware nicht nach außen kommunizieren kann.

In einem offenen Brief an die kassenärztlichen Vereinigungen kritisiert das "Bündnis für Datenschutz und Schweigepflicht" deren Verhalten auf Landes- und auf Bundesebene. Es vermisst vor allem offizielle Empfehlungen, wie Medatixx-Kunden reagieren sollen. Die Gematik erklärte lediglich, dass die aktuelle TI-Sicherheitsrichtlinie beachtet werden müsse.

Das Bündnis befürchtet, dass mit dem nächsten Update der Medatixx-Software weitere Erpressungstrojaner an die Praxen verschickt werden könnten. Eine ähnliche Lieferkettenattacke hatte die Hackergruppe REvil im Juli gegen Kunden der Softwarefirma Kaseya ausgeführt. Die Münchener Ärztin Alexandra Obermeier fordert als Sprecherin des Bündnisses daher, die Anschlusspflicht der Praxen und Kliniken an die TI auszusetzen, bis die offenen Sicherheitsfragen und möglichen Auswirkungen durch eine Datenschutzfolgeabschätzung geklärt sind.

Der Medatixx-Angriff ist bei weitem kein Einzelfall, der das Vertrauen vieler Ärzte in die Sicherheit der IT erschüttert hat. Zahlen des just von der Gematik veröffentlichten "TI-Atlas" (TI-Atlas.de), zeigen einen desolaten Zustand. Demnach sind zwar 88 Prozent aller Kliniken in Deutschland an die TI angeschlossen, davon seien aber nur 5 Prozent "voll TI-ready". Nur 13 Prozent der Krankenhäuser könnten den Notfalldatensatz (NFD) eines Versicherten von der eGK auslesen und nur 9 Prozent den elektronischen Medikationsplan (eMP) in ihre Systeme übernehmen.

Für den TI-Atlas wurden 3000 niedergelassene Ärzte und 500 Krankenhäuser per Stichprobe ausgewählt und befragt. Abseits der reinen Anschlusszahlen hegen sie große Vorbehalte: Nur 43 Prozent der befragten Mediziner vertrauen der TI und nur 30 Prozent sind der Meinung, dass die elektronische Patientenakte (ePA) über die nötige Datensicherheit verfügt.

Dass das Vertrauen in die TI bei den Leistungserbringern so niedrig ist, hat vor allem mit den Ausfällen zu tun, die den täglichen Arbeitsablauf in einer Praxis hemmen. Entsprechend mies ist die Stimmung unter den Ärzten. Exemplarisch klagte uns ein Diplom-Informatiker, dessen Frau als niedergelassene Hausärztin arbeitet: "Selbst für gestandene Profis ist die Komplexität des Gesamtsystems und Inbetriebnahme wie Integration neuer Komponenten nur durch intensives Literaturstudium und Internetrecherche nachzuvollziehen. Es kostet irre Zeit und ich frage mich wirklich, wie ein normaler Arzt in Coronazeiten das noch stemmen soll. Zumal die Hilfe durch die Dienstleister vor Ort häufig frei von jeder Sachkenntnis ist."

Ein Bielefelder Arzt berichtete: "Die Anleitung zum Einrichten der KIM-Adresse in meiner Praxissoftware umfasst schlanke 14 DIN-A4-Seiten und beim Einrichten bin ich mehrfach auf obskure, nicht selbsterklärende Fehlermeldungen gestoßen." Ein Kollege untermauerte das: "Zentrale Komponenten der TI fallen aktuell so oft aus, dass man oft nicht eingrenzen kann, wo Fehler liegen." Ein Arzt aus der Region Osnabrück resignierte bereits: "Soll die TI gegen die Wand fahren. Ich wurde nie gefragt, was ich will, was sinnvoll wäre. Die Politik hat nur Mehraufwand und Mehrkosten bei mir abgeladen. Also mache ich bei der TI nur noch Dienst nach Vorschrift, gehe Fehlern nicht mehr nach und warte ab."

Bundesdatenschützer Ulrich Kelber (SPD) beklagte die Flut von Gesetzesentwürfen, die seiner Behörde oft nur wenige Stunden Zeit zur Reaktion gaben, und mangelhafte Kooperation der Regierung im Sicherheitsbereich.

(Bild: Bernd von Jutrczenka/dpa)

Von all diesen Problemen lässt sich Gematik-Chef Markus Leyck Dieken aber offenbar nicht aus der Ruhe bringen. Auf der Medizinmesse Medica in Düsseldorf stellte der oberste TI-Planer fest, dass die TI "deutlich nach vorne gerückt" sei. Im Blick hat Leyck Dieken bereits die TI 2.0, in der der Hardware-Konnektor ab 2025 von einer Software abgelöst werden soll: "Der Zugang zur TI ist bislang nur für einen geschlossenen Kreis von Nutzern gedacht. Dazu vertrauen wir dem Konnektor. Wir wollen aber jetzt Lebendigkeit."

Nach der bisherigen Vorgeschichte stellt sich jedoch die Frage, ob es der Gematik denn in den kommenden drei Jahren gelingen kann, eine lebendige digitale Infrastruktur aufzubauen, die Ärzte tatsächlich bei ihrer Arbeit unterstützt. Denn unter Jens Spahn sind in der telematischen Infrastruktur nicht nur besonders enge Termine gesetzt, sondern auch Dinge vorangetrieben worden, die primär der Gesundheitswirtschaft nutzten.

Die kassenärztliche Vereinigung Bayern hat eine Petition gestartet, die eine einjährige Testphase für alle TI-Anwendungen fordert. Sie kann bis zum 16. Dezember von Ärzten unterzeichnet werden. Was bei der Patientenakte 2.0 passiert, die eigentlich zum 1. Januar 2022 starten soll, ist unklar. Hier mag die App bei den vier ePA-Anbietern der deutschen Krankenkassen fertig sein, die Konnektoren sind es nicht: Kein einziger hat bis Redaktionsschluss die für ePA 2.0 notwendige PTV5-Zulassung erhalten.

(Bild: Nach dem Hackerangriff fordert Medatixx Praxen und Kliniken eindringlich auf, Kennwörter für die Praxis-Software, Windows-PCs und Konnektoren zu ändern.)

Im Unterschied zur aktuellen Akte der ersten Generation kann der Versicherte bei der ePA 2.0 bestimmen, welche Daten ein Arzt sieht und welche nicht, wenn er seinen Ärzten den Zugriff gestattet. Wer seine Gesundheitsdaten künftig nicht in der ePA speichern will, muss dem aktiv widersprechen. Die kommende Ampel-Regierung plant hier lediglich ein Opt-out und kein Opt-in.

Für die erzwungene Zugriffskontrolle der Patienten hatte Jens Spahn noch im November den Bundesdatenschützer Ulrich Kelber heftig kritisiert, der genau diesen Punkt eines granularen Datenschutzes bei der ePA immer wieder gefordert hatte. "Der Bundesbeauftragte für Datenschutz hat die Digitalisierung nicht einfacher gemacht. Da wünsche ich der neuen Koalition eine konstruktivere Zusammenarbeit", sagte Spahn dem Handelsblatt im Abschiedsinterview.

Für Spahn sind also nicht die unrealistischen Terminvorgaben der Regierung sowie die unzureichenden Zulassungen und Support-Reaktionen der Gematik schuld an der stockenden Digitalisierung, sondern die in seinen Augen übertriebenen Forderungen der Datenschützer. Mit einer derartigen Ignoranz wird aber auch die nächste Ministerin oder der Minister aus den Reihen der SPD die anhaltenden Probleme bei der Digitalisierung des Gesundheitssystems nicht lösen, sondern eher verschlimmern. Statt einen Gang höher zu schalten und Helm und Sicherheitsgurte als "unnötigen Ballast" über Bord zu werfen, sollte die Ampelkoalition auf Ärzte und Entwickler hören, die die Vorgaben letztlich umsetzen und Patienten besser versorgen sollen. Es geht nur mit ihnen und nicht gegen sie.

Tempolimit bei der Digitalisierung

Hartmut Gieselmann

Man stelle sich vor, die Regierung würde heute eine Impfpflicht für einen neu entwickelten Impfstoff zum 1. Januar einführen, der bislang weder seine Wirksamkeit noch seine Unbedenklichkeit in klinischen Tests bewiesen hat und noch nicht zugelassen wurde. Geht nicht, denn Pharmakonzerne müssen solche Nachweise erst erbringen und dürfen erst dann mit ihren Pillen auf den Markt.

Bei neuen IT- und Software-Systemen in der Medizin ist es jedoch umgekehrt: Hier schreibt der Gesetzgeber Monate im Voraus fest, ab wann sie jeder Arzt und jede Klinik einsetzen muss – egal, ob sie dann noch Fehler haben oder die Sicherheit der gesamten Klinik-EDV gefährden.

Solange Gesundheitspolitiker denken, sie könnten die Digitalisierung der Medizin durch möglichst enge Terminvorgaben beschleunigen, wird sich an der desolaten Situation nichts ändern. Sie sollten den Entwicklern vielmehr Zeit und Planungssicherheit geben, damit sie gute und sichere Software programmieren. Ihren Einsatz darf sie in den Praxen und Kliniken erst dann erzwingen, wenn alle Kinderkrankheiten beseitigt und ein reibungsloser Betrieb gesichert ist. Während einer Beta- oder Early-Access-Phase, in der sich die TI derzeit befindet, muss die Teilnahme jedoch freiwillig sein.

c't Ausgabe 26/2021

In c’t 26/2021 zeigen wir, wie der Umstieg von Windows 10 auf 11 in wenigen Mausklicks gelingt – und wie Sie höhere Hürden nehmen, etwa wenn Ihr PC die Harware-Anforderungen nicht erfüllt. Außerdem haben wir auf sechs Doppelseiten handverlesene Geschenketipps der c't-Redaktion zusammengetragen und schlaue Saugbots mit Objekterkennung getestet. Ausgabe 26/2021 finden Sie ab dem 3. Dezember im Heise-Shop und am gut sortierten Zeitschriftenkiosk.

(hag)