eHealth: IT-Sicherheit und Digitalisierungsvorhaben aus Sicht einer Krankenkasse

Bei der Digitalisierung des Gesundheitswesens geht es voran, wenn auch holprig. Gleichzeitig steigt die Bedrohungslage. Über die Erkenntnisse aus dem Cyberangriff auf Bitmarck, wo es bei der Digitalisierung hakt, und Pläne des Gesundheitsministeriums haben wir mit dem IT-Bereichsleiter der Siemens-Betriebskrankenkasse (SBK), Dr. Christian Ullrich gesprochen. Er verantwortet den Betrieb von Anwendungen und die Infrastruktur bei der SBK.

heise online: Wie haben Sie und Ihre Mitarbeiter den Cyberangriff auf Bitmarck als Krankenkasse damals wahrgenommen?

Christian Ullrich: Das war natürlich erst einmal ein Schock für uns. Relativ schnell haben wir dann in Absprache mit dem Rechenzentrum gesagt: "Wir gehen jetzt vom Netz". Zu diesem Zeitpunkt war auch noch nicht klar, ob Daten abgeflossen sind, aber das war zum Glück nicht der Fall. Mehr als 40 zu diesem Zeitpunkt an das Rechenzentrum in München angeschlossene Krankenkassen waren ebenfalls offline. Kurz darauf saßen wir vor schwarzen Bildschirmen, selbst die Mobiltelefone konnten wir nur sehr eingeschränkt nutzen. Da wir viele Services von Bitmarck genutzt haben, waren wir vollumfänglich betroffen. Ab diesem Zeitpunkt mussten wir auf externe Kommunikationsmittel wie Messenger zurückgreifen.

Wie lange hat es gedauert, bis die Dienste wieder funktionierten?

Es hat insgesamt 47 Tage gedauert, bis wir wieder im Normalbetrieb waren, einschließlich der Abarbeitung unserer Rückstände. In der Zwischenzeit haben wir für unsere Versicherten einen Notbetrieb eingerichtet. Zahlungen wie Kranken- oder Pflegegeld und lebenswichtige Anträge konnten wir auf diese Weise bearbeiten. Aber Papierpost blieb zu Beginn liegen. Nach knapp vier Wochen liefen die internen Systeme wieder. Wir konnten unsere üblichen Kommunikationsmittel nutzen und nach und nach die App-Services wieder in Betrieb nehmen. Wir haben dann noch eine gewisse Zeit gebraucht, um die Rückstände abzuarbeiten. Das geschah neben dem Tagesgeschäft, alle haben mit angepackt.

Was haben Sie aus dem Vorfall gelernt?

Unsere Maßnahmen und Vorkehrungen waren wirkungsvoll. Es sind keine Daten entwendet oder verschlüsselt worden, das ist eine gute Nachricht. Aber natürlich haben wir uns jetzt etwas vorgenommen: Wir wollen widerstandsfähiger werden und auch während eines Cyberangriffs möglichst viele IT-Dienstleistungen anbieten können. Dazu arbeiten wir sehr eng mit Bitmarck zusammen und sind jetzt auf einem anderen Stand als vor dem Angriff, aber noch nicht am Ende der Fahnenstange. Eine Diversifizierung unserer Dienstleister – die zu mehr Resilienz beiträgt – macht die Steuerung der IT-Landschaft auch deutlich komplexer.

Zusammenfassend haben wir drei Aspekte, die wir verbessern wollen. Mit den neuen Erfahrungen legen wir eine klare Prioritäten-Liste fest, welche Systeme trotz Angriff laufen müssen und bei welchen Dienstleistern. Ein weiterer Aspekt ist das Thema Wiederanlauf. Wir spielen zum Beispiel die Notfallkonzepte, die wir vorher hatten, nun auch regelmäßig praktisch durch. Der letzte Aspekt betrifft alle Themen rund um die IT-Sicherheit, da bauen wir den Zaun höher und den Burggraben tiefer. Gleichzeitig schulen wir unsere Mitarbeiterinnen und Mitarbeiter auch weiterhin permanent, wie wir es bereits vor dem Cyberangriff getan haben, und schaffen so ein Bewusstsein für das Thema Phishing. Unsere Erkennungsrate bei Phishing-Versuchen liegt bei 90 Prozent.

Wie gehen Sie mit künftigen Bedrohungen um?

Wir bereiten uns bestmöglich vor, denn eine hundertprozentige Sicherheit gibt es nicht. Denn natürlich ist es so, dass wir auch zukünftig mit Dienstleistern oder anderen Unternehmen Daten austauschen. Dabei ist standardmäßig vorgesehen, dass bei einem Cybervorfall in einem anderen Unternehmen aus Sicherheitsgründen zunächst die Datenleitungen getrennt werden. Die Datendienste dürfen keinen Schadcode übertragen. Um diese Maßnahmen zu beenden und die Verbindung wiederherzustellen, muss das Unternehmen nachweisen, dass die IT-Systeme seines Dienstleisters nicht mehr kompromittiert sind. Erst dann ist der Datenaustausch wieder möglich. Die Folgen dieser Betriebsunterbrechungen gilt es zu minimieren.

Manchmal, wie bei Bitmarck, ist die Ursache nicht feststellbar und es ist unklar, wer dafür verantwortlich ist. Haben Sie diesbezüglich Wünsche an den Gesetzgeber?

Der Gesetzgeber arbeitet aktuell an verschiedenen Gesetzen und Verordnungen. Die KRITIS-Verordnung zum Beispiel besteht aus mehreren Teilen. Der eine Teil ist die eigene Dokumentation. Das heißt, man dokumentiert, was die kritischen Prozesse sind, geht dann runter auf die technische Ebene und definiert, was die technischen organisatorischen Sicherheitsmaßnahmen sind. Dazu gehört zum Beispiel ein Notfallplan, Wiederanlaufpläne und alles, was dazugehört, um das System herunter- und wieder hochzufahren. Es ist auch so, dass die KRITIS-Verordnung vorsieht, dass in kritischen Geschäftsprozessen nicht nur Krankenkassen zertifiziert sein müssen, sondern auch die jeweiligen Dienstleister, die einen Teil der Leistungen in diesem kritischen Geschäftsprozess erbringen. Das sind alles gute Maßnahmen, aber aus unserer Sicht noch nicht ausreichend. Was wir brauchen, ist zuallererst eine gesamtheitliche Strategie, die den gesamten Prozess von Anfang bis Ende und alle Prozessbeteiligten mit einbezieht. Wir brauchen eine Entkopplung der Finanz- und der Versorgungsströme sowie Fall-Back-Lösungen für den Fall der Fälle.

Zur ganzheitlichen Strategie noch ein paar Worte: Wir müssen das System als Ganzes betrachten. Es reicht nicht, wenn sich da jeder einzelne in irgendeiner Form bestmöglich absichert. Das sieht man unter anderem am Beispiel des E-Rezepts. Der Kunde kommt beim E-Rezept unwissentlich mit verschiedenen Anbietern in Berührung. Bei der elektronischen Arbeitsunfähigkeitsbescheinigung ist es ähnlich. Die Frage ist dann, wie halten wir den Prozess weiterhin im Laufen, auch wenn ein einzelner Teilnehmer ausfällt? Das ist genau die Schwierigkeit. Momentan sind die Prozesse eher synchron ausgerichtet, man schickt etwas und der Empfänger muss da sein. Wenn er nicht da ist, wird es eine gewisse Zeit zwischengepuffert und dann ist es weg. Da müssen wir uns im Gesundheitswesen überlegen, wie es trotzdem funktioniert, auch wenn ein Teilnehmer ausfällt. Es gibt Mechanismen.

Spielen Sie damit auf das E-Rezept an?

Ja, die Apotheken berichten beispielsweise immer wieder, dass E-Rezepte nicht abrufbar sind. Es kommt wiederholt zu Abrufproblemen. Die Telematikinfrastruktur arbeitet mit mehreren Teilnehmern und jeder Teilnehmer verantwortet lediglich einen bestimmten Anteil an der Gesamtfunktionalität. Nur dieser Teil wird von der Gematik spezifiziert und abgenommen. Der Trugschluss ist, dass das Gesamtsystem stabil läuft, weil jedes einzelne Element stabil ist. Das funktioniert aber nicht, weil Probleme oft zwischen den Elementen oder im Zusammenspiel auftreten. Dieses Zusammenspiel wird dann nicht als Ganzes abgenommen und auch nicht getestet. Das heißt, wir brauchen eigentlich Verantwortung für diese Prozesse von Anfang bis Ende. Jemand, der sich das Ganze anschaut und schaut, wie spielen die verschiedenen Elemente einfach zusammen. Das ist ein ständiges Ping-Pong-Spiel. Hier brauchen wir klare Verantwortlichkeiten.

Meinen Sie, das ändert sich mit dem Umbau der Gematik zu einer staatlichen Gesundheitsagentur?

Das kommt auf die Ausgestaltung des Gesetzes an. Wenn es richtig gemacht wird, dann ja. Eine Gesundheitsagentur sollte zuvorderst als Rahmengeberin und Projektmanagerin für die TI fungieren, deren Hauptaufgaben die Formulierung von Vorgaben, die Erstellung der Spezifikationen, die Zulassung und die Aufsicht sind. Sie sollte jedoch nicht selbst zur Marktteilnehmerin werden und Produkte entwickeln. Die aktuelle Vermischung unterschiedlicher Rollen in der Gematik muss aufgelöst werden, wenn wir die Digitalisierung des Gesundheitswesens zügig und nutzerorientiert voranbringen wollen.

Haben Sie Bedenken, wenn in Zukunft noch mehr Daten in die elektronische Patientenakte gelangen, etwa von den Krankenhäusern?

Nein! Trotz unserer Erfahrungen glauben wir fest an die ePA und die Chancen, die sie uns im Gesundheitswesen bietet. Der Datenschutz wird für die Telematikinfrastruktur maximal hoch angesetzt.

Das gilt auch für die Weitergabe der Daten für die Forschung: Zunächst werden die Daten pseudonymisiert und anonymisiert. Damit ist im Fall eines Datenabzugs ohne zusätzlichen Aufwand nicht nachvollziehbar, von wem die Daten stammen. Die Täter müssten schon investieren und beispielsweise Hintergrundwissen dazukaufen, um Personen zu re-identifizieren. Idealerweise erfolgt die Pseudonymisierung und Anonymisierung daher so früh wie möglich im Prozess, damit die Datenübertragung entsprechend sicher ist. Wie das genau funktionieren wird, wird in den Spezifikationen der Gematik festgelegt. Diese zertifiziert dann auch die Umsetzung der verschiedenen Hersteller.

Wir würden uns wünschen, nicht nur zu Beginn, sondern auch während des Spezifikationsprozesses regelmäßig eingebunden zu werden, damit die Prozesse für die Versicherten gut funktionieren. Insgesamt wäre es uns allerdings noch lieber, wenn die Gematik lediglich den Entwicklungsrahmen vorgibt, wir dort freier in der Ausgestaltung sind und nicht jede kleine Änderung erst genehmigen lassen müssen.

Kritisiert wird auch, dass Krankenkassen mit den Abrechnungsdaten Empfehlungen aussprechen können. Was sagen Sie dazu?

Wir haben einen Beratungsauftrag gegenüber unseren Versicherten. Deshalb ist es aus unserer Sicht wichtig und richtig, dass wir vorliegende Daten nutzen können, um unseren Versicherten Angebote zu machen. Allerdings ist das Zukunftsmusik. Um dieses Potenzial für die Versicherten zu heben, müssen wir im System gemeinsam daran arbeiten, die Datenqualität erheblich zu verbessern. Unsere Daten dienen derzeit in erster Linie der Abrechnung und sind für inhaltliche Beratung oft nicht gut geeignet. Wir bekommen die Abrechnungsdaten zum Teil sehr zeitverzögert, manchmal sogar zwei oder drei Quartale später. Dann ist es für eine Kundenberatung oft schon zu spät.

Für wie realistisch halten Sie es, dass es bis 2025 eine elektronische Patientenakte gibt, die verschiedene Anforderungen erfüllt, etwa welche an die Barrierefreiheit?

Mit der "ePA für alle" starten wir 2025. Ob sie die Anforderungen der Beteiligten und Nutzer trifft, würde ich nicht versprechen. Solange wir diesen starren Prozess haben, die Gematik spezifiziert und wir das dann umsetzen, glaube ich nicht, dass die ePA in Zukunft nutzerzentriert sein wird. Dafür sind auch die Entwicklungszyklen zu lang. Die Zertifizierung dauert mehrere Monate, schnelle Anpassungen, zum Beispiel als Reaktion auf Nutzerfeedback, sind daher nicht möglich. Zudem muss sich auch etwas beim Zugriff auf die ePA ändern, vor allem bei der Identifizierung, die ja Stand jetzt regelmäßig wiederkehrend notwendig wird. Aus unserer Sicht ist es wünschenswert, dass die Versicherten das Schutzniveau ihrer Gesundheitsdaten nach der Identifizierung reduzieren können, wenn sie nach entsprechender Aufklärung so entscheiden – etwa auf das Niveau einer Banking-App. Das entspricht dem Schutzniveau "substanziell" nach der eIDAs-Verordnung. In der Verordnung wird zwischen "substanziell" und "hoch" unterschieden.

Es gibt die Befürchtung, dass die Krankenkassen in Zukunft auf Basis der Daten maßgeschneiderte Verträge anbieten oder die Menschen perspektivisch mehr zahlen müssen, wenn sie ihre Daten nicht hergeben wollen. Wie sehen Sie das?

Das ist eher für private Krankenversicherungen relevant. Mit den gesetzlichen Krankenkassen wird es das nicht geben. Wir stehen zu 100 Prozent hinter dem Solidarsystem, das alle absichert, unabhängig von Alter, Vorerkrankung, Lebenswandel oder Beitragshöhe. Wir haben auch keine unterschiedlichen Tarife für unsere Versicherten, also auch keine, die mit der Zeit anwachsen. Bevor so etwas passiert, müsste es eine grundsätzliche Änderung in der gesamten Sozialversicherung geben, die zuvor vom Gesetzgeber beschlossen wird. Das halte ich für vollkommen illusorisch. Aktuell geht es mit der Diskussion um die Bürgerversicherung eher in eine andere Richtung.

(mack)