Die Schwachstellen in diversen Gesundheitsakten, zuletzt Vivy, waren auf dem 35. Chaos Communication Congress ein gefundenes Fressen für die anwesenden IT-Sicherheitsleute. Einer der am meisten beachteten Talks des Kongresses ist der von Martin Tschirsich von modzero – der Firma, die die Sicherheitslücken von Vivy im Oktober 2018 aufgedeckt haben: „All Your Gesundheitsakten Are Belong To Us“
Der Vortrag zeigt zweierlei:
Absolute Sicherheit, auch von Gesundheitsdaten, ist nicht möglich.
Im ersten Teil des Vortrags wird zwar dargelegt, auf welchen individuellen Fehlern und Fehlentscheidungen die Sicherheitslücken in den untersuchten Apps beruhen – aber kann es die perfekte, fehlerfreie App-Entwicklung geben? Wohl kaum, oder nur zu so hohen Kosten, dass sie nicht mehr finanziert werden kann (siehe Tschirsichs Kommentar im Vortrag, dass Sicherheit ein Wettbewerbsnachteil ist).
Das Verständnis zwischen ITler*innen und Gesundheitsberufler*innen ist immer noch gering.
Die vorgestellten Sicherheitslücken werden vom Publikum, vom Moderator und mehreren Fragestellenden hämisch aufgenommen – man merkt deutlich die Lust an der Überlegenheit gegenüber Herstellern, Ärzten, Gesundheitspolitik, sogar den Gesundheitssystemen anderer Länder. Zudem wird in der Diskussion deutlich, wie wenig sich einige von denen, die hier gern verurteilen, mit dem Gesundheitssystem beschäftigt haben (siehe „gesetzliche Krankenkassen“ versus „betriebliche Krankenkassen“ versus „Betriebsärzte“ in der Diskussion – die Begriffe gehen bunt durcheinander).
Die gezeigten Reaktionen sind menschlich, aber helfen sie dem Gesundheitswesen und unserer Gesellschaft weiter?
Was in der Diskussion fast untergeht: Martin Tschirsich plädiert nicht für einen Verzicht auf die digitale Speicherung von Gesundheitsdaten, sondern erkennt ausdrücklich deren Potenzial zur Verbesserung der Versorgung an. Und: „Wenn jetzt sich jemand entscheidet, seinen Kindern keine Patientenakte anzulegen, trägt er dann das Risiko dafür, dass die Kinder eine höhere Sterblichkeit haben, oder eine schlechtere Behandlungsqualität?“
Wer diese und weitere Fragestellungen mitdiskutieren möchte, der ist gut auf der neuen Mailingliste digitalhealth@c3 aufgehoben (siehe auch meinen gestrigen Beitrag). Sie steht allen offen, nicht nur Fachleuten aus IT und Gesundheit.
Als Hintergrundinfo und zum besseren Verständnis der Inhalte von Martin Tschirsichs Vortrag haben wir hier schließlich noch ein paar themenverwandte Inhalte aus dem Blog zusammengestellt:
Warum ist Datenklau im Gesundheitswesen ein Problem?
Was sind eigentlich Metadaten?
Was ist der Unterschied zwischen elektronischer Patientenakte und elektronischer Gesundheitsakte?
Was ist eigentlich die ärztliche Schweigepflicht?
Und was ist Zwei-Faktor-Authentifizierung?
Warum verschlüsseln wir nicht längst schon alle unsere Daten?
Warum sind Komfort und Sicherheit oft Gegensätze, kann Nutzerfreundlichkeit aber auch die Sicherheit erhöhen?
2 Trackbacks / Pingbacks
Comments are closed.