GKV-Versicherte bald Ziel von Cyberattacken?

Während kaum ein Tag ohne erfolgreiche Cyber-Attacke vergeht, plant die Politik für die GKV die Einführung des "modernsten digitalen Systems in Europa". Schon 2025 soll es soweit sein, doch angesichts des politischen Neulands stellt sich die Frage, ob die Gesundheitsdaten der GKV-Versicherten nicht unnötig gefährdet werden. Abhilfe für den Einzelnen verspricht eine Opt-out-Regelung.

Über die aktuelle Situation

Frage: Was ist derzeit die größte Bedrohung für die IT? Antwort: Ransomware.

Danach kommt lange Zeit nichts, gefolgt von Software- und Hardwareausfällen. Warum sind erfolgreiche Angriffe mit Ransomware an der Tagesordnung? Weil Windows, Office und Outlook von Haus aus mit Sicherheitslücken ausgestattet sind und als Standardsoftware weit verbreitet sind. Man bekommt eine Mail, öffnet den Anhang und installiert ungewollt eine Hintertür. Darüber bekommt die IT dann ungebetenen Besuch und voilà, der Angriff ist erfolgt.

Warum gab es das früher nicht? Sachbearbeiter hatten keine Computer, die waren zu groß und laut, deshalb standen sie im Keller. Der Sachbearbeiter hatte ein Terminal, das war dumm und nur schwarz-weiß oder grün. Terminal und Fax wurden abgeschafft und der Windows-PC eingeführt. Durch die Digitalisierung von Akten stehen jetzt attraktive Daten zur Verfügung. Diese Entwicklungen haben dazu geführt, dass Cyberangriffe heute lukrativer sind als je zuvor. Die wachsende Angriffsfläche durch E-Mail und Web bietet attraktive Daten, von denen aus Angreifer die Kontrolle über das gesamte Netzwerk übernehmen können. Die Abwehr solcher Angriffe ist komplex. Während der Angreifer nur eine einzige Lücke finden muss, muss der Verteidiger sämtliche Schwachstellen entdecken und schließen. Ein möglicher Ansatz besteht darin, möglichst wenige Schnittstellen anzubieten, um die Angriffsfläche zu minimieren.

Fette Beute: Gesundheitsdaten von Millionen Versicherten

In dieser Situation kommt die Politik auf die Idee, die seit 2021 bestehende elektronische Patientenakte in die Cloud zu verlagern. Ab 2025 sollen die Gesundheits- und Behandlungsdaten der Patienten zentral auf einem Server gespeichert werden. Die persönlichsten Daten, die man sich vorstellen kann. Wenn das kein lohnendes Ziel für einen Cyberangriff ist.

Obwohl weniger als ein Prozent der GKV-Versicherten die elektronische Patientenakte (ePA) nutzen, hat McKinsey ein Einsparpotenzial von 42 Milliarden Euro errechnet. Diese Chance für die Versichertengemeinschaft will die Politik nicht ungenutzt lassen. Nebenbei will die Bundesregierung die Gesundheitsdaten der Versicherten der öffentlichen und kommerziellen Forschung zur Auswertung zur Verfügung stellen. Und das nicht nur in der EU, sondern ausdrücklich auch in den USA. Lauterbach hat das auf einer Tagung am 21. Juni 2023 klar zum Ausdruck gebracht. Das Portal Netzpolitik hat die Referentenentwürfe veröffentlicht, nach denen die GKV ab Januar 2025 verpflichtet sind, für alle Versicherten eine ePA anzulegen. Der Versicherte hat jedoch die Möglichkeit, sich in Form einer Opt-Out-Regelung dagegen zu entscheiden.

Karl Lauterbach auf der Data for Health Conference 2023 (Youtube-Screenshot)

Das Gesundheitsministerium betont die Sicherheit der digitalen Infrastruktur. Woher auch immer die Politik diese Zuversicht in Bezug auf ihr Neuland nimmt - die Berliner Zeitung berichtet von einer Vielzahl von Datenpannen im Gesundheitswesen. In Deutschland bei der Einführung der elektronischen AU-Bescheinigung, in Finnland bei elektronischen Patientenakten und in Australien bei den Gesundheitsdaten von 10 Mio. Menschen, die am Ende im Darknet auftauchten.

Es bleibt zu hoffen, dass die Opt-out-Regelung tatsächlich umgesetzt wird. Dann kann jeder Bürger selbst entscheiden, wie viel Vertrauen er in das Versprechen eines Karl Lauterbach setzt: „Wir werden das modernste Digitalsystem in Europa haben“.