AA

Wiener Ärztekammer meldete erneut Sicherheitsbedenken wegen ELGA an

Die Elektronische Gesundheitsakte (ELGA) ist nicht unumstritten
Die Elektronische Gesundheitsakte (ELGA) ist nicht unumstritten ©APA/ROBERT JÄGER
Bei einem Pressetermin am Dienstag hat die Wiener Ärztekammer erneut ihre Bedenken gegen die Elektronische Gesundheitsakte (ELGA) geäußert. Sie hat die Datensicherheit durch Cybersecurity-Experten untersuchen lassen und ortet Schwachstellen.
Start für ELGA in Wien
Gesundheit: Änderungen 2017

So ist die Authentifizierung durch ein Passwort aus ihrer Sicht nicht ausreichend, wie Präsident Thomas Szekeres und sein Vize Johannes Steinhart erklärten.

Im Darknet sind Gesundheitsdaten Gold wert

“Gesundheitsdaten sind die heikelsten Daten und werden im Darknet um mehr Geld gehandelt als Kreditkartennummern”, sagte Szekeres. Kommen die Daten in die falschen Hände, könne dies zu negativen Folgen im beruflichen und privaten Leben der Patienten führen – von Rufschädigung bis hin zu finanziellen Schäden und negativen gesundheitlichen Auswirkungen, wenn etwa die Krankengeschichte verfälscht werde, warnte er.

“Mit der Einführung von ELGA haben sich die Angriffsfläche und die Auswirkungen von Angriffen erhöht”, sagte Thomas Stubbings, Cybersecurity-Experte und Geschäftsführer von TS Management Consulting. Er untersuchte gemeinsam mit einem Kollegen die Dokumentenarchitektur von ELGA, und ortete ein “sehr komplexes System”. Grundsätzlich stellte er dabei Positives fest: “Wir haben festgestellt, dass man sich sehr viele Gedanken macht zum Thema Sicherheit und wir haben keine offensichtlichen Schwachstellen entdeckt”, sagte er.

ELGA geht von “komplett unrealistischen” Bedingungen aus

Das Problem sieht Stubbings in den Endpunkten, also bei den Krankenhäusern, Ärzten und Apothekern. “ELGA geht davon aus, dass jeder Gesundheitsdiensteanbieter ein korrektes, sicheres Identitäts- und Berechtigungsmanagement hat, bei dem niemals ein Passwort gestohlen oder weitergegeben wird.” Das sei “komplett unrealistisch”, so Stubbings. “Ein Passwort ist unsicher und unzeitgemäß, es ist aber das Authentifizierungsmittel, auf das sich ELGA verlässt”, kritisierte er.

Als Konsequenz fordert die Wiener Ärztekammer Maßnahmen, die die aus ihrer Sicht bestehenden Schwachstellen abbauen würden. So soll statt der einfachen Anmeldung über Username und Passwort eine Zweifaktor-Authentifizierung eingeführt werden. Außerdem spricht sich die Ärztekammer für eine zentrale Benutzerverwaltung für alle ELGA-berechtigten Anwender und die flächendeckende digitale Signatur von Gesundheitsdokumenten aus.

Ärztekammer fordert Benachrichtigungen der Patienten

Zusätzlich wünscht sich die Ärztekammer, dass die Patienten über Push-Benachrichtigung per E-Mail oder SMS darüber informiert werden, wenn in ihre Akte etwas verändert oder darauf zugegriffen wird. “Wir haben immer wieder darauf hingewiesen, dass wir nicht gegen eine Modernisierung sind, sondern dass es uns darum geht, dass auch die Sicherheitsgestaltung modern ist”, versicherte Steinhart. Derzeit mache man Angreifern “ein zu leichtes Spiel”, zeigte er sich überzeugt.

Die Elektronische Gesundheitsakte wird seit Mitte Dezember 2015 sukzessive in Spitälern und Pflegeeinrichtungen in Österreich eingeführt. In diesem Jahr soll der Rollout in den Spitälern abgeschlossen und jener in den Arztpraxen gestartet werden. ELGA bringt Patienten und Ärzten Zugriff auf Entlassungsbriefe, Labor-und Radiologiebefunde sowie künftig via E-Medikation auf eine Liste der verschriebenen Medikamente.

“Ganze Reihe von Maßnahmen zur Datensicherheit”

Die Verantwortlichen für die Elektronische Gesundheitsakte (ELGA) haben auf die Kritik der Wiener Ärztekammer reagiert. Es gebe eine ganze Reihe von Maßnahmen, um die Datensicherheit zu gewährleisten, versicherte Martin Hurch, der laut eigenen Angaben seit zehn Jahren mit der Errichtung von ELGA beschäftigt ist, am Dienstag gegenüber der APA.Auch die von der Ärztekammer in Auftrag gegebene Studie sei schließlich zu dem Schluss gekommen, dass ELGA von der Gesamtarchitektur her in weiten Bereichen sehr überlegt und sicher aufgestellt sei, meinte Hurch. “Es gibt einen Prozess der ständigen Verbesserung der Sicherheit”, betonte er. So werde etwa bewertet, ob die Passwortverschlüsselung stark genug ist.

Bedrohungsszenario der Ärztekammer “richtig”

Er stimme jedoch zu, dass das Bedrohungsszenario, das die Ärztekammer zeichnete, “richtig” sei und man ständig daran arbeiten müsse, die Sicherheit zu erhöhen. Die Einschätzung, dass Sicherheitsprobleme am ehesten bei der Peripherie, also beim Zugang der Ärzte oder anderen ELGA-Usern zu den Daten, zu erwarten seien, teile er. Dieser Punk sei jedoch in der Vorbereitung “stark betrachtet” worden: “Das ist genau jener Punkt, den wir ernst nehmen müssen, um die Datensicherheit zu gewährleisten.”

Statt einer Zwei-Faktor-Authentifizierung über eine Handkartensignatur oder eine Chipkarte mit Lesegeräte habe man sich dafür entschieden, die Sicherheit der Passwörter hinaufzuschrauben. So müssten diese häufig geändert werden und aus einer Mindestanzahl sowie einer Kombination von Zeichen bestehen. Außerdem dürften seit der Einführung von ELGA keine Sammeluser mehr in den Krankenhausstationen verwendet werden, sondern ausschließlich personenbezogene User, sagte Hurch.

Eine zentrale Benutzerverwaltung für alle ELGA-berechtigten Anwender, wie sie von der Ärztekammer gefordert wird, sei von den ELGA-Partnern abgelehnt worden, da dies einen “enormen Aufwand” bedeuten würde. Dazu müsste “ein riesiger Verwaltungsapparat” aufgezogen werden, meinte Hurch: “Dieser Vorschlag ist in der Praxis undurchführbar.”

>>Pflege und ELGA-Ausbau 2017: Änderungen im Gesundheitsbereich

(apa/red)

  • VIENNA.AT
  • Wien
  • Wiener Ärztekammer meldete erneut Sicherheitsbedenken wegen ELGA an
  • Kommentare
    Kommentare
    Grund der Meldung
    • Werbung
    • Verstoß gegen Nutzungsbedingungen
    • Persönliche Daten veröffentlicht
    Noch 1000 Zeichen