Flop beim elektronischen Patientendossier: Was ist da wirklich los?

Der Start des elektronischen Patientendossiers im Wallis musste Knall auf Fall abgeblasen werden: Denn die Piratenpartei hatte ernsthafte Sicherheitslücken entdeckt. Wie das? Der Versuch einer genaueren Erklärung.

, 2. September 2015, 15:35
image
  • e-health
  • trends
  • wallis
  • patientendossier
Es war in der Tat ein ungewöhnlicher Vorgang: Eine Kleinstpartei gibt bekannt, dass ein Patienteninformations-System nicht funktioniert. Ein Datenschutz-Beauftragter gibt der Partei recht und empfiehlt, den Start des E-Dossier-Systems zu verschieben. Und die zuständige Regierung folgt auf dem Fuss und bricht die Übung ab.
So gestern geschehen: Zum Septemberbeginn hätte das neue elektronische Patientendossier im Kanton Wallis starten sollen – doch daraus wurde nichts. Wie die Walliser Gesundheitsdirektorin Esther Waeber-Kalbermatten entschieden hat, sollen externe Spezialisten nochmals die Sicherheit des Systems Infomed überprüfen.

«Freiwild für Hacker?»

Doch was heisst das konkret? Wären die Walliser Patienten ohne die Warnung aus der Piratenpartei zum «Freiwild für Hacker» geworden, wie die «Neue Zürcher Zeitung» in einer Schlagzeile rätselte?
Solche Fragen sind umso drängender, als recherchierenden Piraten auch befinden, dass das andere aktive E-Patientendossier in der Schweiz, jenes von Genf, ebenfalls zu unsicher sei.
Konkret benennen die Experten zwei Lücken:
Zum einen würden die Infomed-Websiten nach veralteten Standards verschlüsselt, so Piratenpartei-Co-Präsident Stefan Thöni zur NZZ. «Damit ist das System nicht genügend gegen Hackerangriffe geschützt»; und es sei denkbar, dass gewiefte Übeltäter die Gesundheitsdaten der Walliser Bevölkerung einsehen oder sogar abändern könnten.

«So sicher, wie es sein kann»

Der andere Punkt: Infomed verwendet den Dienst Google Analytics, um seine Zahlen und Nutzerdaten zu analysieren. Dabei werden aber auch IP-Adressen und Browserdaten an Google übermittelt – also präzise Hinweise auf die Benutzer, in diesem Fall also auf die Walliser Patienten oder Ärzte. Damit wird es zumindest leicht einsichtig, wer wann auf die Infomed-Seite zugegriffen hat.
Ist dies kritisch? Ist es sehr bedenklich? An einer Podiumsdiskussion im Rahmen des Forums «Health 2.015» äusserte der Direktor des Bundesamts für Gesundheit, Pascal Strupler, gestern die Ansicht, das Infomed-System sei trotz allem «vermutlich so sicher, wie es sein kann» – und das Problem sei wohl effizient unter Kontrolle zu bringen. Doch solch ein Fall koste Vertrauen. Was wiederum die ganze Idee der E-Patientendossiers schädige.

«Weit entfernt von aktuellen guten Praktiken»

Tatsächlich scheint ein Problem nicht in der vorhandenen Technologie selber zu liegen, sondern in deren Auswahl und Anwendung. Das welsche Fachportal «ICT Journal» erkundigte sich beim Computersicherheits-Professor Pascal Junod nach einer Einschätzung – und der Befund war ernüchternd: Nur schon auf den Zugängen zur Website scheine es grosse Sicherheitslücken zu geben. Gewisse Technologien seien vier oder fünf Jahre alt, teils würden sie gar nicht mehr unterstützt, so dass Verbesserungen und Updates nicht mehr möglich sind.
Insgesamt, so Junods Einschätzung, sei die Sicherheit nicht richtig berücksichtigt worden («Cela demontre que la sécurité n'a probablement pas été prise en consideration»). Und weiter: Das Infomed-System sei «weit entfernt von aktuellen guten Praktiken im Sicherheitsbereich.»
Dies erinnert dann doch an eine Einschätzung, welche Guillaume Saouli gestern geäussert hatte, der andere Co-Präsident der Piratenpartei: «Schlamperei». 

«Wenn schon so einfache Sachen schiefgehen…»

Gegenüber der Fachseite «Computerworld» monierte Stefan Thöni obendrein, dass die Nutzer gar nicht über die Einbindung von Google Analytics informiert würden. Auch fehlten auf Infomed die Informationen, wie man seine persönlichen Daten bearbeiten oder löschen könne.
Auf die heiklen Punkte seien die Piraten gestossen, indem sie lediglich die öffentlich zugänglichen Informationen ausgewertet habe, erläuterte Thöni in der NZZ: «Wenn schon so einfache Sachen schiefgehen, muss man leider annehmen, dass doch andere gravierende Sicherheitslücken bestehen.»
Artikel teilen

Loading

Comment

2 x pro Woche
Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image

E-Rezepte sind in Deutschland bisher ein Flop

Deutsche Ärzte wollen keine elektronischen Rezepte ausstellen. Deshalb rückt das Ziel, solche Rezepte bundesweit einzuführen, in weite Ferne.

image

Umdenken von Betriebsmodellen zur Verbesserung der Einhaltung gesetzlicher Vorschriften

Terumo und Alcon haben ihre Systeme umgestaltet, um abteilungsübergreifende Verbindungen zu schaffen und sich auf die Einhaltung gesetzlicher Vorschriften in jeder Phase des Produktlebenszyklus zu konzentrieren.

image

Nun kommt die Foto-Analyse von Mahlzeiten

Forschende der Universitäten Bern und Zürich haben eine App entwickelt, die bewerten kann: Ist eine Mahlzeit gesund oder nicht?

image

Akute Personalnot: Spital verschiebt Operationen

In der Westschweiz fehlen so viele Pflegefachleute und Ärzte, dass das Spital Wallis fünf Operationssäle geschlossen werden. Nicht dringende Eingriffe müssen warten.

image

Viktor 2022 - neue Kategorien, neuer Austragungsort

Am 29. März 2023 wird der Viktor 2022 im Kursaal Bern verliehen! Die Nominationen der fünf Kategorien gehen Ende November los.

image

Das Elektronische Patientendossier wird für alle kommen

Es herrscht breiter Konsens, dass bei der kommenden Revision der Gesetzgebung Elektronisches Patientendossier die Pflicht für ein Dossier eingeführt wird.

Vom gleichen Autor

image

Brust-Zentrum Zürich geht an belgische Investment-Holding

Kennen Sie Affidea? Der Healthcare-Konzern expandiert rasant. Jetzt auch in der Deutschschweiz. Mit 320 Zentren in 15 Ländern beschäftigt er über 7000 Ärzte.

image

Wer will bei den Helios-Kliniken einsteigen?

Der deutsche Healthcare-Konzern Fresenius sucht offenbar Interessenten für den Privatspital-Riesen Helios.

image

Deutschland: Investment-Firmen schlucken hunderte Arztpraxen

Medizin wird zur Spielwiese für internationale Fonds-Gesellschaften. Ärzte fürchten, dass sie zu Zulieferern degradiert werden.