Der „NSA-Skandal“ hat vielen wohl die Augen geöffnet. Ein Gerücht wurde öffentlich bestätigt. Und ich war überrascht, wie viele Menschen überrascht waren! Nicht ohne Grund schreibe ich seit über einem Jahr auch über die Medical-IT-Security. Die Menge der elektronischen Daten nimmt exorbitant zu. Und sehr viele Menschen haben nicht verstanden, dass sie bereits heute mit einem virtuellen „Post it“ auf der Stirn umher laufen. Wer sich etwas anstrengt, kann über fast jeden von uns ein umfangreiches Profil erstellen. Das wird dank der neuesten „Enthüllungen“ auch immer mehr Privatnutzern bewusst. Schon jetzt sprießen „digitale Selbstverteidigungskurse“ aus dem Boden. Die bekanntesten Vertreter sind die Cryptopartys, die dem Otto-Normal-PC-Benutzer die Verschlüsselung von privater Kommunikation beibringen. Ich finde die Idee super, habe ich doch schon selbst vor einem Jahr ein Fernstudium „IT-Security“ begonnen.
Aber wenn so viele Menschen über die Gefährdungen der eigenen Informationssicherheit unwissend sind, wie soll dann die „digitale Verteidigung“ der Daten von Patienten im Gesundheitswesen funktionieren?
Ja, je sensibler die Menschen mit ihrem persönlichen Informationsschutz umgehen, umso eher sind sie sensibel auch andere zu schützen. Hier wird gern von Awereness gesprochen und diese ist meiner Meinung nach der Schlüssel zum Thema.
Aber auch die Tools müssen in den Gesundheitsunternehmen zu Verfügung stehen. Haben Sie schon eine Gesundheitseinrichtung verschlüsselte Emails austauschen sehen? Das krasse Gegenteil habe ich schon einige Male erlebt, wenn medizinische Dokumentation oder Ausschnitte aus Röntgenbildern umher gemailt werden. Die Verschlüsselungstechnologie ist auf dem Markt, das Handling kaum noch umständlich und doch fehlt die Umsetzung.
Sicherlich haben die meisten großen Anbieter von Mail-Software nie ein großes Interesse an Mail-Verschlüsselung gehabt – die Anwender aber auch nicht. Sonst wäre dies sicher bereits Alltag.
Ich muss dabei an einen guten Freund denken. Er lebt förmlich die „Datenvermeidung“ und versucht sich stetig pseudonym durch das Netz zu bewegen. Anfangs habe ich ihn belächelt, später für seine Konsequenz bewundert. Und was passiert mit seinen Daten wenn er mal in einer Klinik behandelt werden muss? Unter einem Pseudonym wird die Behandlung nicht funktionieren. Seine Stammdaten werden via HL7 in viele Subsysteme gepostet. Und er muss auf einen gewissenhaften und hochqualitativen Schutz hoffen.
Die meisten von uns haben heute ein reales und ein digitales „Ich“. Ideal wäre es, beide Welten konsequent voneinander trennen zu können. Da dies nicht geht, wäre es sinnvoll, das digitale Profil pseudonym zu betreiben. Die benötigten Technologien stehen kostenfrei zur Verfügung. Es wird jedoch immer Schnittstellen zwischen dem realen und digitalen Profil geben. Wenn zum Beispiel Zahlungen von Produkten über die gängigen Bezahlarten getätigt werden, kann leicht eine Depsydonomisierung erfolgen. Diese Gateways zwischen realen und virtuellen Profilen sind wichtige und besonders schützenswerte Bereiche. Ein Nutzer kann sich noch so bemühen Daten über sich im Internet zu verhindern, wenn Dritte diese persönlichen Daten nicht ausreichend schützen oder gar aus politischen Gründen darauf zugreifen dürfen.
Die Art der Daten, die in Gesundheitseinrichtungen von den Patienten erzeugt werden, sind mittlerweile so hoch sensibel, dass sie auch geeignet wären, ein Menschenleben zu zerstören. Ein Beispiel ist die zunehmende Gen-Analyse bei Patienten mit vermutlicher erblicher Disposition. An sich eine geniale Sache! Aber was passiert, wenn diese Daten eines Patienten in falsche Hände gelangen oder für andere Zwecke missbraucht werden? Die höheren Krankenkassengebühren oder die ausbleibende Beförderung im Job, weil Sie eine hohe Disposition für einen Lungenkrebs haben? Fiktion? Sie würden sich wundern, wer heute schon wissen will, ob Sie bereits eine Genanalyse durchführen lassen haben.
Es wird immer wichtiger, frühzeitig die digitalen Informationen unserer Patienten zu schützen und dies bewusster, konsequenter und qualitativer als es heute der Durchschnitt macht. Die DIN EN 80001-1 ist hier ein guter Ansatz, den Nachweis zu führen, dass man sich als Betreiber u.a. mit den Risiken der Informationssicherheit in medizinischen Netzwerken auseinander gesetzt hat.
Ich werde in den kommenden Wochen über Technologien berichten, die jeder zum eigenen Schutz seines digitalen „Ich“ einsetzen kann und die oft kostenfrei erhältlich sind. Dieser Beitrag soll keine Panik erzeugen, sondern sensibilisieren.
Wie stehen Sie zum Thema?
Über engadget.de bin ich auf eine Anleitung eines Reddit-User gestoßen, die den 3D-Ausdruck des Gehirns auf Basis eines MRT beschreibt. Alles was man benötigt ist: 
Medical-IT-Blog 