Der Adventskalender auf Twitter mit Daten von Politikern, erstellt von einem 20-Jährigen, schlug Anfang Januar hohe Wellen. Laut BSI-Präsident Arne Schönbohm waren Politiker, nach Parteien sortiert, wie folgt betroffen: „CDU/CSU 425 betroffene Politiker, SPD 318 betroffene Politiker, Bündnis 90 Die Grünen 111 betroffene Politiker, FDP 28 ,Die Linke 112. Von den 994 Betroffenen wurden bei 878 Personen die Telefonnummern, postalische Anschrift und oder die E-Mail-Adresse veröffentlicht. Von 116 Personen wurden Dokumente online gestellt.“

Staatsversagen in Sachen Datensicherheit?

Zu den Bemühungen der Bürger, ihre Daten besser zu schützen, meinte kürzlich der Experte Peter Welchering im Deutschlandfunk: „Da drehte es sich ja meist um die Passwortwahl und um den Einsatz von Passwortmanagern. So etwas kann ein ganz klein wenig mehr Sicherheit bringen. Auch auf andere Dienste auszuweichen, um seien Daten zu schützen, ist kein schlechter Tipp. Also, statt Gmail, die alles mitlesen und analysieren, was wir da so mailen, posteo oder web.de oder einen anderen Dienst. Statt der Google-Suchmaschine DuckDuckgo oder Metasuchmaschinen zu benutzen, die nicht mitprotokollieren. Alles ehrbare Tipps. Aber solange wir ein weitgehendes Staatsversagen in Sachen Datensicherheit und IT-Sicherheit haben, hilft das leider nicht so viel.“

Staatsversagen sei aber ein massiver Vorwurf, entgegnete der Redakteur. Darauf Welchering, auch die elektronischen Gesundheitsakten erwähnend:

Es sind ja auch massive Fehler gemacht worden und die werden weiterhin gemacht. Fehlende Produkthaftung, keine Meldepflicht für IT-Sicherheitslücken, nur unzureichendes Neuaufsetzen der Bundestagssysteme, keine Maßnahme gegen die Datenhehlerei von Facebook & Co, mangelhafte Sicherheit bei den elektronischen Gesundheitsakten, die jetzt auch auf die Patientenakte übertragen werden soll. Ich kann da noch abendfüllend aufzählen. Das Problem dabei ist immer das Gleiche: Es wird zu kurz gedacht. Die Bedenken von Sicherheitsexperten werden weggewischt, weil sie nicht verstanden werden, Investitionen in Sicherheit nach sich ziehen würden, den Unternehmen unliebsame Auflagen machen usw. Deshalb handelt der Staat hier oftmals gar nicht, häufig unzureichend. Und deshalb muss man das Staatsversagen nennen.

Wenigstens Durchführung einer Technikfolgeabschätzung?

Müsste also bei einer so weitreichenden Einführung wie der Telematikinfrastruktur (TI) und jetzt der elektronischen Patientenakte mit Zugang über Smartphone nicht vorher eine Technikfolgeabschätzung gemacht werden? Dafür gibt es ein Institut in Karlsruhe, das auch die Bundesregierung berät. Den Chef, Armin Grunwald, sieht man durchaus auch mal in anspruchsvollen Fernsehsendungen. Zur zunehmenden Abhängigkeit vom Funktionieren großer technischer Infrastrukturen wie Energie, Wasser, Kommunikation oder globale Nahrungsmittelversorgung meinte er vor gut einem Jahr in der SZ:

„Wir haben vor einigen Jahren im Büro für Technikfolgenabschätzung die Konsequenzen eines Blackouts untersucht. Ergebnis: Nach ein paar Tagen wären die ersten Todesfälle zu erwarten. Und diese Abhängigkeit steigt noch. Wenn wir mit der Energiewende Internet und Energieversorgung zusammenführen, dann noch die Elektromobilität dazu nehmen, dann haben wir am Ende nur noch eine große Infrastruktur, von deren Funktionieren alles abhängt. Das macht schon Sorge. Gerade, weil man dann nicht mehr den Stecker ziehen kann. Das Internet ist schon jetzt das Nervensystem, ohne das nichts mehr läuft.“

Da müsste doch eigentlich auch eine Einschätzung zu TI und elektronischer Patientenakte vorliegen. Auf eine Anfrage erwähnte Grunwald ein Projekt, das gerade abgeschlossen werde, wo diese Thematik zumindest berührt worden sei. Er verwies mich zudem auf einen Experten des entsprechenden österreichischen Instituts. Der teilte mir dann mit, dass in Österreich schon 1991 zum Thema der Datenspeicherung auf Gesundheitskarten gearbeitet wurde, dann 1996/97 zur Einführung der digitalen Radiologie und Telemedizin in ihren Anfängen. „Aber seither haben wir keine einschlägige Studie im Gesundheitsbereich gemacht.“

Nochmal etwas kritisch bei Grunwald nachgefragt. Antwort: „Wir sind ein Forschungsinstitut und machen keine Politikevaluation. Wo wir durch Forschung eigene Expertise haben, beziehen wir auch natürlich offensiv Stellung – aber sonst ebenso natürlich nicht. Wir können ja nicht über alles gut Bescheid wissen.“

Nein, das sicher nicht. Aber ich äußerte dann schon mein Erstaunen darüber, dass ein Nebel großen Schweigens über der Telematikinfrastruktur und der elektr. Pat.akte liegt, und dass von den wenigen Ärzteverbänden, die noch einen Widerstand aufrecht erhalten, zu hören sei, dass viele Journalisten nichts bringen wollen, aus Angst, dann eventuell nicht mehr in einem Medium des Bertelsmann-Konzerns unterkommen zu können. Die Politiker selbst würden kaum durchblicken, für Patienten wiederum sei es zu komplex, und viele Ärzte würden resignieren.

Eine Kollegin hat es unabhängig von mir auch bei einer anderen Mitarbeiterin des Karlsruher Instituts probiert, die ihr in der 3sat-Sendung „scobel“ zur Blockchain-Thematik aufgefallen war. Auch sie war aber nicht näher mit TI und Pat.akte befasst, meinte dann aber:

„Ich kann Ihre Befürchtungen gut nachvollziehen und denke, man wird insb. die Ausgestaltung der IT-Sicherheit sehr kritisch beäugen müssen. Was den Datenmüll angeht, wird sich dessen Nutzen mit Big-Data-Analysemöglichkeiten wohl erhöhen (allerdings mit Risiken für den Datenschutz). Leider kann ich Ihnen zu Ihren Fragen spontan nicht viel sagen.“

Folgeabschätzung auch nötig nach DSGVO – wird aber nicht gemacht

Irgendwie scheint keiner so richtig zuständig zu sein. Dabei wäre auch nach der nun gültigen Datenschutzgrundverordnung (DSGVO) eine Folgeabschätzung vor (!) Einführung neuer Techniken nötig, wenn „ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen  besteht.“ Auch wird hier hingewiesen auf möglichen immateriellen Schaden etwa bei Verlust der Vertraulichkeit des Patientengeheimnisses, gerade „wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere von Kindern, verarbeitet werden.“

Freuen wir uns also auf den nächsten Hacker-Skandal. Erst bei konkreten Vorfällen und persönlicher Betroffenheit wird überhaupt erst in Gesellschaft und Politik mehr Sensibilität für diese Themen entstehen. Ein deutscher Politiker ist übrigens schon gehackt worden, was seine Gesundheitsdaten betrifft, die dann auch gegen ihn verwendet worden seien, so kürzlich die IT-Sicherheitsfirma McAfee. Das muss wohl noch öfter passieren … .

Datensicherheit, Folgeabschätzung? Fehlanzeige! Staatsversagen!

3 Gedanken zu „Datensicherheit, Folgeabschätzung? Fehlanzeige! Staatsversagen!

  • 15. Februar 2019 um 11:43
    Permalink

    Aus meiner Sicht trifft der Begriff „Diktat“ zwar zu, nicht aber der Begriff „Staatsversagen“. Wir sollten uns darüber im Klaren sein, dass der Staat mit voller Absicht und mit einer Zielrichtung etwas ändert. Es ist ein sozialistischer Staat der Gleichmacherei und der Gleichschaltung unter dem grünen Motto: kein Volk, kein Recht, kein Diesel. Für 40 Lebensarbeit oder nichts gearbeitet gibt es für die breite Masse dasselbe: 800- 1000 Euro Rente. Der „Einheitstausi“. Hier erkennt jeder, wie radikal ungerecht man ist. Aber nur im Tod sind alle gleich, für das Leben gilt das Gegenteil. Vor diesem Hintergrund sehe ich in dem Bestreben alle und alles „gleichzuschalten“ auf der längeren Zeitachse das klare Vorhaben, hierzulande einen Kommunismus zu etablieren. In so einem chinesischen System ist dann kein Platz für den freien Beruf, sondern nur noch für Untertanen. Logisch ist da nur, dass man auch die Frage der Datensicherheit pfeifen wird. Vielmehr wird man radikal gegen Abweichler vorgehen, um schnell jeden Widerstand gegen die Gleichschaltung zu brechen. Nur das ist logisch. Wer wissen will, wie man sich hierzulande die Zukunft der Ärzteschaft vorstellt, fährt einfach nach China.

    Antworten
    • 15. Februar 2019 um 12:13
      Permalink

      Glaube nicht, dass wir hierzulande absichtlich auf dem Weg in ein sozialistisches oder kommunistisches System à la China wären. Eher drängt unser kapitalistisches Wirtschaftswachstums-Konkurrenzsystem auf eine Digitalisierung von allem und jedem, um mehr schöne Produkte verkaufen und angeblich mit China und anderen „Vorreitern“ mithalten zu können. Das alleine ist schon bedenklich genug! Die Großkonzerne freuen sich über unsere Daten, die IT-Konzerne über viel Arbeit, die Juristen über viele Prozesse, die Haftpflichtversicherungen über zwangsläufig steigende Prämien und so weiter. Nur Ärzte und Patienten, die freuen sich nicht.

      Antworten
  • 14. Februar 2019 um 22:01
    Permalink

    Am vergangenen Wochenende sind hunderte von Unternehmern Opfer von Hackern mit dem neuen Trojaner Gandcrab 5.1 geworden. Darunter sind wie ich auch viele Ärzte und Zahnärzte. Wir haben glücklicherweise unsere Daten nach der Bezahlung des Lösegeldes wieder vollständig entschlüsseln können.
    Der Trojaner kam vielleicht über verschiedene Wege aber in unserem Fall mit Sicherheit über die Remote-Desktop-Verbindung von Microsoft, die geknackt wurde. Diese wird viel genutzt um von zu Hause aus auf dem Praxisserver zu arbeiten. Momentan ist also nur noch VPN (Virtual Private Network) sicher.
    VPN wird uns dann durch die Telematik demnächst alle in einem angeblich sicheren Netz vereinen. Nach dem GAU, den ich an diesem Wochenende erlebt habe, möchte ich mir die Konsequenzen nicht vorstellen wenn hier etwas Ähnliches im passiert. Noch weniger kann ich mir vorstellen, wie Menschen mit Verantwortung so beratungsresitent sein können.
    Bei dieser Gelegeheit stellten wir fest, dass im Landeskriminalamt in Wiesbaden die Abteilung CYBERCRIME am Wochenende nicht arbeitet.
    Die Adresse an die das Bitcoinlösegeld gezahlt wurde, könnte man vielleicht verfolgen wenn sie an einem anderen Ort in Deutschland auftauchen würde. Nach Auskunft der Beamten gibt es aber keine Datenbank für alle deutschen LKA‘s in die die Beamten diese Informationen einspeisen könnten.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.