Flop beim elektronischen Patientendossier: Was ist da wirklich los?

Der Start des elektronischen Patientendossiers im Wallis musste Knall auf Fall abgeblasen werden: Denn die Piratenpartei hatte ernsthafte Sicherheitslücken entdeckt. Wie das? Der Versuch einer genaueren Erklärung.

, 2. September 2015 um 15:35
image
  • e-health
  • trends
  • wallis
  • patientendossier
Es war in der Tat ein ungewöhnlicher Vorgang: Eine Kleinstpartei gibt bekannt, dass ein Patienteninformations-System nicht funktioniert. Ein Datenschutz-Beauftragter gibt der Partei recht und empfiehlt, den Start des E-Dossier-Systems zu verschieben. Und die zuständige Regierung folgt auf dem Fuss und bricht die Übung ab.
So gestern geschehen: Zum Septemberbeginn hätte das neue elektronische Patientendossier im Kanton Wallis starten sollen – doch daraus wurde nichts. Wie die Walliser Gesundheitsdirektorin Esther Waeber-Kalbermatten entschieden hat, sollen externe Spezialisten nochmals die Sicherheit des Systems Infomed überprüfen.

«Freiwild für Hacker?»

Doch was heisst das konkret? Wären die Walliser Patienten ohne die Warnung aus der Piratenpartei zum «Freiwild für Hacker» geworden, wie die «Neue Zürcher Zeitung» in einer Schlagzeile rätselte?
Solche Fragen sind umso drängender, als recherchierenden Piraten auch befinden, dass das andere aktive E-Patientendossier in der Schweiz, jenes von Genf, ebenfalls zu unsicher sei.
Konkret benennen die Experten zwei Lücken:
Zum einen würden die Infomed-Websiten nach veralteten Standards verschlüsselt, so Piratenpartei-Co-Präsident Stefan Thöni zur NZZ. «Damit ist das System nicht genügend gegen Hackerangriffe geschützt»; und es sei denkbar, dass gewiefte Übeltäter die Gesundheitsdaten der Walliser Bevölkerung einsehen oder sogar abändern könnten.

«So sicher, wie es sein kann»

Der andere Punkt: Infomed verwendet den Dienst Google Analytics, um seine Zahlen und Nutzerdaten zu analysieren. Dabei werden aber auch IP-Adressen und Browserdaten an Google übermittelt – also präzise Hinweise auf die Benutzer, in diesem Fall also auf die Walliser Patienten oder Ärzte. Damit wird es zumindest leicht einsichtig, wer wann auf die Infomed-Seite zugegriffen hat.
Ist dies kritisch? Ist es sehr bedenklich? An einer Podiumsdiskussion im Rahmen des Forums «Health 2.015» äusserte der Direktor des Bundesamts für Gesundheit, Pascal Strupler, gestern die Ansicht, das Infomed-System sei trotz allem «vermutlich so sicher, wie es sein kann» – und das Problem sei wohl effizient unter Kontrolle zu bringen. Doch solch ein Fall koste Vertrauen. Was wiederum die ganze Idee der E-Patientendossiers schädige.

«Weit entfernt von aktuellen guten Praktiken»

Tatsächlich scheint ein Problem nicht in der vorhandenen Technologie selber zu liegen, sondern in deren Auswahl und Anwendung. Das welsche Fachportal «ICT Journal» erkundigte sich beim Computersicherheits-Professor Pascal Junod nach einer Einschätzung – und der Befund war ernüchternd: Nur schon auf den Zugängen zur Website scheine es grosse Sicherheitslücken zu geben. Gewisse Technologien seien vier oder fünf Jahre alt, teils würden sie gar nicht mehr unterstützt, so dass Verbesserungen und Updates nicht mehr möglich sind.
Insgesamt, so Junods Einschätzung, sei die Sicherheit nicht richtig berücksichtigt worden («Cela demontre que la sécurité n'a probablement pas été prise en consideration»). Und weiter: Das Infomed-System sei «weit entfernt von aktuellen guten Praktiken im Sicherheitsbereich.»
Dies erinnert dann doch an eine Einschätzung, welche Guillaume Saouli gestern geäussert hatte, der andere Co-Präsident der Piratenpartei: «Schlamperei». 

«Wenn schon so einfache Sachen schiefgehen…»

Gegenüber der Fachseite «Computerworld» monierte Stefan Thöni obendrein, dass die Nutzer gar nicht über die Einbindung von Google Analytics informiert würden. Auch fehlten auf Infomed die Informationen, wie man seine persönlichen Daten bearbeiten oder löschen könne.
Auf die heiklen Punkte seien die Piraten gestossen, indem sie lediglich die öffentlich zugänglichen Informationen ausgewertet habe, erläuterte Thöni in der NZZ: «Wenn schon so einfache Sachen schiefgehen, muss man leider annehmen, dass doch andere gravierende Sicherheitslücken bestehen.»
Artikel teilen

Loading

Comment

2 x pro Woche
Abonnieren Sie unseren Newsletter.

oder

Mehr zum Thema

image

Erste Transplantation mit«DaVinci-Xi-System» am Kantonsspital St. Gallen

Erstmals wurde am KSSG die Niere eines Lebendspenders mit Hilfe chirurgischer Robotik entnommen.

image

Effizienz durch digitale Prozesse

Schwarzwald-Baar Klinikum meistert Hürden der Anbindung von HYDMedia an das LE-Portal

image

Knieprothetik: KSBL setzt auf J&J Robotertechnik

Damit kann eine noch höhere Präzision erreicht werden.

image

Diese klinischen Studien könnten 2024 den Durchbruch schaffen

Neue Impfungen, eine Stammzelltherapie, ein vielfältiger Einsatz von Künstlicher Intelligenz: All das könnte sich demnächst durchsetzen.

image

Forschung: Brustkrebs-Früherkennung mit Fingerabdruck?

Ein Fingerabruck könnte in Zukunft die Mammografie zur Brustkrebs-Früherkennung ersetzen.

image

Festtage: Edles ist gefragt

Das Festtagssaison naht, und viele Menschen freuen sich auf besondere kulinarische Erlebnisse. Wie wird man diesen Erwartungen gerecht und schafft würdige Festtagsmenüs?

Vom gleichen Autor

image

Kantone haben die Hausaufgaben gemacht - aber es fehlt an der Finanzierung

Palliative Care löst nicht alle Probleme im Gesundheitswesen: … Palliative Care kann jedoch ein Hebel sein.

image

Brust-Zentrum Zürich geht an belgische Investment-Holding

Kennen Sie Affidea? Der Healthcare-Konzern expandiert rasant. Jetzt auch in der Deutschschweiz. Mit 320 Zentren in 15 Ländern beschäftigt er über 7000 Ärzte.

image

Wer will bei den Helios-Kliniken einsteigen?

Der deutsche Healthcare-Konzern Fresenius sucht offenbar Interessenten für den Privatspital-Riesen Helios.