Kommentar: Das Vertrauensparadoxon im digitalen Gesundheitswesen
Für das Gesundheitsnetz sollte das Zero-Trust-Modell gelten – vertraue niemals, verifiziere immer. Details stimmen damit noch nicht überein, meint Bianca Kastl.
(Bild: Nicoleta Raftu/Shutterstock.com (bearbeitet von heise online))
In der "Digitalisierungsstrategie für das Gesundheitswesen und die Pflege" des Bundesgesundheitsministeriums kommt ein Begriff gar nicht vor, der für das Gelingen der weiteren Digitalisierung des Gesundheitswesens wesentlich ist: Vertrauen. Das ist eigentlich gut so, denn mit der Aussprache des uneingeschränkten Vertrauens irgendwem gegenüber ist das so eine Sache. Politisch gesehen hat jemandem sein "vollstes Vertrauen" auszusprechen spätestens nach der Kanzlerinnenschaft Angela Merkels nur zweifelhaften Wert.
Unbeschränktes Vertrauen ist ohnehin keine besonders gute Idee. Daher ist in der IT-Sicherheit ein auf "Zero Trust" basierendes Modell seit einiger Zeit ein wesentlicher Ansatz für die Sicherheit von Systemen. Vertraue niemals, verifiziere alles – ganz egal, woher etwas kommt. In diese IT-Landschaft kommt nun mit der Digitalisierungsstrategie des Bundesgesundheitsministeriums (BMG) der Versuch eines Kulturwandels: Man will "die mehrwertstiftende Nutzung von Gesundheits- und Pflegedaten sowie Anforderungen an Datenschutz beziehungsweise -sicherheit in eine angemessene Balance [...] bringen".
Herunterschrauben von IT-Sicherheit zu kurz gedacht
Das klingt ein wenig wie der Versuch, Datenschutz oder Datensicherheit zu schwächen. Würde aus Sicht der Digitalisierungsstrategie eine Balance vorliegen, müsste ja nicht zwischen zwei Interessen abgewogen werden. "Denn wenn die Sicherheit der Gesundheitsdaten nicht gewährleistet ist, dann ist es letztendlich alles nichts", sagte kürzlich auch die Ethikerin Jessica Heesen. Ein Herunterschrauben der IT-Sicherheit wäre somit sehr kurzfristig gedacht. Einmal verlorenes Vertrauen durch Leaks von Gesundheitsdaten würde schnell dazu führen, dass das digitale Gesundheitswesen sofort jegliches Vertrauen verlieren würde.
Angemessene IT-Sicherheit stellt nicht nur eine technische Säule des digitalen Gesundheitswesens dar, sie bildet ein wichtiges Fundament, um jegliche vertrauenswürdige Anwendungen darauf aufbauen zu können. Dieses Detail geht in der Diskussion um Opt-out-Verfahren im Umgang mit Gesundheitsdaten oftmals unter. Etwa, wenn es um die Forschung an Gesundheitsdaten und oftmals zitierte Datenschätze und deren Datennutzung geht.
Bedrohungslage wird sich nicht ändern
Letztlich ändert sich durch den beschworenen Kulturwandel an der sicherheitstechnisch notwendigen Ausgestaltung des digitalen Gesundheitswesens so gut wie gar nichts. Bedrohungslagen durch Cyberkriminalität oder der angespannten geopolitischen Lage im Cyberraum durch den russischen Angriffskrieg auf die Ukraine orientieren sich ja auch nicht an diesem Kulturwandel und würden damit auch nicht weniger gefährlich.
Was sich durch ein eher auf Opt-out ausgerichtetes Gesundheitswesen aber ändern könnte: Wo wir die Standardauswahl von Datenfreigaben setzen. Zum Beispiel, ob die Forschung mit meinen (meist pseudonymen) Daten forschen kann – ja oder nein und was der Standard ohne aktiven Eingriff der PatientIn sein soll.
Die Kette von zu überprüfenden Eigenschaften der im Hintergrund Agierenden ändert sich dadurch aber nicht. Darf diese entsprechend identifizierte Entität auf die entsprechenden Gesundheitsdaten zugreifen? Ja, weil diese sich bei jedem Zugriff und bei jeder Aktion als dazu berechtigt ausweisen kann und weil entsprechende grundlegende Freigaben seitens der Patienten vorliegen. Wie das dann in Zukunft mit einem "positiven Nutzererlebnis" zusammengeht, kommt auf die konkrete Umsetzung an.
Schlüssel für elektronische Patientenakte
In das beschriebene Vertrauensparadoxon passen auch manche Details der Umsetzung der aktuellen Telematikinfrastruktur nicht mehr. Versteckt etwa hinter der Begrifflichkeit "Schlüsselgenerierungsdienst ePA". Einerseits ist es gut, dass dort die kryptografischen Schlüssel, die zum Zugriff auf Daten meiner elektronischen Patientenakte (ePA) notwendig sind, von zwei unterschiedlichen Diensten erstellt und dort abgelegt werden.
Nur muss ich als PatientIn dabei darauf vertrauen, dass zwei externe Dienste mit meinen persönlichen Schlüsseln schon irgendwie so vertrauenswürdig umgehen, dass auch keine Hintertüren bleiben. Moderne Umsetzungen von Ende-zu-Ende-Verschlüsselung bieten da inzwischen vertrauenswürdigere Möglichkeiten, bei denen kryptografische Schlüssel nur der PatientIn bekannt sein müssen.
Vertrauen erst verdienen
Was mich zum letzten Aspekt des Vertrauens bringt: dem Vertrauen in die Umsetzung seitens der digitalen Gesundheitsagentur, kurz Gematik. Getreu der Strategie wird diese bald "in ihrer Handlungsfähigkeit gestärkt" und zu 100 Prozent vom Bund getragen. Volles Vertrauen in die Gematik als Umsetzungseinheit des BMG. Nur: Bislang wird es der Gematik nicht unbedingt zugetraut, die Problemfelder des digitalen Gesundheitswesens vollends in den Griff zu bekommen. Das Hin und Her um den Konnektorentausch war nicht unbedingt ein Vertrauensbeweis dafür.
Eine Wendung beim millionenschweren Konnektortausch gab es erst, nachdem Sicherheitsforscher auf Möglichkeiten für eine Laufzeitverlängerung bei den besonders sicheren Routern hingewiesen und nach Stillstand in der Diskussion Mitglieder des CCC dies nebenberuflich innerhalb von zwei Wochen Demonstratoren bauten. Erst dann entschieden sich die Gematik und deren Gesellschafter erneut für die von zwei der drei Herstellern bereits implementierte Zertifikatsverlängerung.
Ursprünglich war es in der Zeit unter dem ehemaligen Gesundheitsminister Jens Spahn geplant, die Kryptozertifikate mit einem Software-Update zu erneuern. Die Konnektoren sind für die sichere Anbindung an das Gesundheitsnetz – die Telematikinfrastruktur – gedacht.
Als zentrale Aufgabe des Umsetzungsprozesses der neuen Gematik sieht auch Susanne Ozegowski, Leitung der Abteilung 5 "Digitalisierung und Innovation" im BMG, die Einbeziehung der NutzerInnen, wie diese erst kürzlich in einem Interview sagte. "Diese Arbeitsweise sollte transparent sein und möglichst offen zur Beteiligung für alle Interessierten".
Mit dem Vertrauen in die technische Umsetzung verhält es sich durchaus ähnlich: Sichere und vertrauenswürdige Umsetzung wird nicht sicher durch Verstecken technischer Umsetzungsdetails, es gibt also keine "security by obscurity". Eine Umsetzung kann nur dann sicher und vertrauenswürdig sein, wenn sich technische Details transparent und offen auch extern überprüfen lassen.
Also wäre es folglich eigentlich gar nicht so sinnvoll, der Gematik jetzt das volle Vertrauen auszusprechen, schon gar nicht politisch im Merkelschen Sinne. Denn uneingeschränktes Vertrauen allein führt gar nicht zu einem vertrauenswürdigen Gesundheitswesen. Wir müssen die Vertrauenswürdigkeit schon immer wieder überprüfen.
(mack)
