Berlin – Bereits seit über einem Jahr ist die elektronische Gesundheitskarte (eGK) Pflicht für alle gesetzlich Krankenversicherten. Dank einer Vielfalt möglicher Anwendungen soll die eGK die Qualität der medizinischen Versorgung verbessern und das Gesundheitswesen ins digitale Zeitalter führen. Mit der Verabschiedung des E-Health-Gesetzes will die Bundesregierung die Implementierung dieser Anwendungen und der notwendigen Telematik-Infrastruktur nun endlich voranbringen. Doch sowohl bei der technischen Umsetzung als auch beim Thema Datenschutz bleiben hier noch einige Fragen offen.

Bereits seit mehr als 10 Jahren strebt die Politik die Umsetzung des Mammut-Projekts eGK an und doch kann die neue Gesundheitskarte gegenwärtig noch nicht mehr als ihr Vorgängermodell. Probleme bei der technischen Umsetzung der komplexen Telematik-Infrastruktur und auch der anhaltende Widerstand von Ärzten, Patienten und Datenschützern haben vielfach zu Verzögerungen geführt.

Mit dem am 4. Dezember 2015 verabschiedeten „Gesetz für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen“, kurz E-Health-Gesetz, will der Bundestag dem Projekt eGK nun neuen Schub geben. Zu Beginn dieses Monats ist das Gesetz in Kraft getreten und schreibt für die Einführung der umfassenden Telematik-Infrastruktur und der zusätzlichen Anwendungen der eGK einen strengen Zeitplan vor.

Welchen Zeitplan sieht das E-Health-Gesetz vor?

Die erste Online-Anwendung, die ab Mitte 2016 getestet und bis Mitte 2018 flächendeckend und verpflichtend eingeführt werden soll, ist das Versichertenstammdaten-Management. Hierbei soll eine Online-Prüfung und Aktualisierung der Stammdaten unmittelbar in Arztpraxen und Krankenhäusern erfolgen. Ebenfalls bis spätestens 2018 sollen die verschiedenen, für den Patienten freiwilligen Anwendungen der eGK umgesetzt werden. Dazu zählen die elektronische Speicherung der medizinischen Notfalldaten, eines Medikationsplans und einer Patientenakte, die dann über die eGK abgerufen werden können. Darüber hinaus will die Bundesregierung die Einführung des eArztbriefs und des Heilberufsausweises mit elektronischer Signatur verstärkt vorantreiben und stellt dafür eine Anschubfinanzierung für das Jahr 2017 bereit.

Anreize und Sanktionen für eine fristgerechte Umsetzung

Um die fristgerechte Umsetzung dieses Zeitplans zu gewährleisten, sieht das Gesetz eine Vielzahl von Sanktionen und Anreizen für die beteiligten Parteien vor. So müssen Ärzte, die ab dem 1. Juli 2018 nicht an der Online-Prüfung der Versichertenstammdaten teilnehmen, mit pauschalen Kürzungen ihrer Vergütung rechnen. Für die Erstellung elektronischer Notfalldatensätze und Arztbriefe wiederum sollen Ärzte und Krankenhäuser eine zusätzliche Vergütung erhalten.

Die Basis für das Funktionieren all dieser Anwendungen ist die elektronische Vernetzung sämtlicher Arztpraxen und Krankenhäuser. Dieser sogenannte Online-Rollout soll ab Mitte 2016 beginnen und bis spätestens 2018 abgeschlossen sein. Der zuständigen Betreibergesellschaft gematik, die sich aus den Spitzenverbänden der Leistungserbringer und Kostenträger zusammensetzt, drohen laut dem E-Health-Gesetz erhebliche finanzielle Kürzungen, sollte der Online-Rollout nicht pünktlich zum 1. Juli 2016 beginnen können.

Technische Probleme verzögern Online-Rollout

Aufgrund von Lieferschwierigkeiten seitens der Industrie hatte die gematik allerdings bereits im Juli 2015 angekündigt, dass es zu Verzögerungen bei den geplanten Feldtests und damit auch beim Online-Rollout kommen wird. Die ursprünglich für das 4. Quartal 2015 angesetzte Erprobung der Telematik-Infrastruktur in zwei Testregionen (Nordrhein-Westfalen, Rheinland-Pfalz und Schleswig-Holstein sowie Bayern und Sachsen) könne deshalb frühestens im 1. Quartal 2016 beginnen, so die gematik. Ursache für die Verzögerung sind die für die Online-Anbindung notwendigen Konnektoren, die von der Telekom-Tochter T-Systems und dem Konsortium Strategy& produziert werden sollen. Laut einem Bericht der Berliner Zeitung vom Dezember 2015, der sich auf interne Unterlagen aus Regierungskreisen beruft, könnte sich die Lieferung dieser Konnektoren sogar um weitere 8 Monate auf März 2017 verschieben.

Immense Mehrkosten und potenzielle Sicherheitslücken

Auch darüber hinaus kämpft das Projekt eGK bei der technischen Umsetzung mit verschiedenen Schwierigkeiten. So müssen mit großer Wahrscheinlichkeit sämtliche Kartenlesegeräte in Arztpraxen und Krankenhäusern nochmals ausgetauscht werden. Dies berichtete das Redaktionsnetzwerk Deutschland (RND) im Oktober letzten Jahres mit Verweis auf Kreise der Bundesregierung. Ursache: Das Plastikgehäuse der derzeit verwendeten Geräte biete keinen ausreichenden Schutz vor möglichen Hackerangriffen, da es die ausgelesenen Patientendaten nicht abschirmen kann. Dies verursache Mehrkosten von fast 100 Millionen Euro, so das RND.

Andererseits erfordern neue Sicherheitsstandards eine Anpassung der Technik der eGK selbst. Nach Vorgabe des Bundesamtes für Sicherheit in der Informationstechnik (BSI) müssen die Gesundheitskarten aller Versicherten durch Chipkarten der 2. Generation ersetzt werden, die mit stärkeren Kryptoschlüsseln ausgestattet sind. Laut Berichten von Heise online darf die gegenwärtige eGK dementsprechend nur noch bis Ende 2017 verwendet werden, danach wird die neue Kartengeneration erforderlich, um eine zeitgemäße Verschlüsselung nach BSI-Vorgaben zu gewährleisten. Dies werde weitere 350 Millionen Euro kosten, gab die Initiative „Stoppt die e-Card“ in einer Pressemitteilung im Dezember 2015 an.

Ob diese Maßnahmen die notwendige Datensicherheit schaffen können, bezweifeln viele Experten und Kritiker der eGK, nicht zuletzt, da im Rahmen der Online-Vernetzung sämtliche Versichertendaten zentral auf verschiedenen Servern gespeichert werden müssen. Welche Gefahren dies bergen kann, zeigt ein aktuelles Beispiel aus den USA: im letzten Jahr ist der zweitgrößte US-Krankenversicherer Anthem Opfer eines Hackerangriffs geworden. Unbekannte hatten sich Zugriff zur Datenbank des Versicherers verschafft und mehrere zehn Millionen Datensätze gestohlen.

Weitere Informationen:

Mitteilung des BMG zur Verabschiedung des E-Health-Gesetzes

Informationen der Betreibergesellschaft gematik zur eGK

Aktion „Stoppt die e-Card“

Mit der zunehmenden Bedeutung der digitalen Vernetzung und Telekommunikation für Krankenhäuser und Arztpraxen werden diese auch immer häufiger zu einem Ziel für Hackerangriffe. Zu den Maschen der Hacker zählen neben der Infizierung von Netzwerken und der Verschlüsselung von Patientendaten auch Angriffe auf Telefonanlagen. Experten und die Polizei warnen bereits seit einigen Jahren vor dieser dreisten und häufig teuren Betrugsmasche, die insbesondere mittelständische Unternehmen und auch Arztpraxen trifft.      

Erste Fälle dieser Art traten bereits 2011 vor allem in Süddeutschland auf. 2014 hackten Betrüger die Telefonanlage einer bayrischen Arztpraxis in der Nähe von Kempten und verursachten einen Schaden von mehr als 13.000 €, wie die Allgäuer Zeitung in ihrem Online-Nachrichtenportal all-in.de berichtete. Doch auch in letzter Zeit häufen sich solche Angriffe erneut, wie die Industrie- und Handelskammer Region Stuttgart warnt.

Die Vorgehensweise der Hacker ist dabei stets dieselbe. Über den laufenden Anrufbeantworter verschaffen sie sich an Wochenenden oder während Feiertagen Zugriff auf die Telefonanlagen von Betrieben oder Praxen und tätigen anschließend innerhalb kurzer Zeit hunderte von kostenpflichtigen Anrufen ins Ausland.

„Die Betrüger rufen Nebenstellen oder schnurlose Telefone an, die mit einem integrierten Anrufbeantworter, also einer Voicemail, ausgestattet sind“, berichtet der IHK-Rechtsexperte Gernot Imgart auf der Website der IHK. Daraufhin testen die Hacker, ob sie sich über eine Standard-PIN in das Telefonsystem einwählen können. Haben sie das geschafft, kann beispielsweise eine Weiterleitung zu einer kostenpflichtigen Nummer eingerichtet werden, die dann mittels eines Wählautomaten ständig angerufen wird. Dies verursacht immense Kosten, die nicht selten im vier- bis fünfstelligen Bereich liegen können.

Die zentrale Sicherheitslücke, der Ärzte schnell und einfach vorbeugen können, sind hierbei die Zugangscodes zu den Telefonanlagen. Alle Anlagen verfügen ab Werk über eine Standard-PIN, die bei der ersten Benutzung unbedingt geändert werden sollte, wie Telefonanbieter und Anlagenhersteller raten. Denn nur durch individuelle Codenummern, die zudem vertraulich gehandhabt werden, sind Telekommunikationsanlagen entsprechend geschützt.

Außerdem sollte bei Anrufbeantwortern das Leistungsmerkmal ‚Rufumleitung extern’ grundsätzlich abgeschaltet sein und nur wenn notwendig aktiviert werden. Wie diese Änderungen vorgenommen werden können, erfahren Sie in der Bedienungsanleitung Ihrer Telefonanlage oder bei Ihrem Telefonanbieter.

Anne Faulmann

Weitere Informationen:

Hinweis der IHK Bezirkskammer Göppingen

Betrugsfall in bayrischer Arztpraxis im Jahr 2014