Die Telemedizin spielt heute eine wesentliche Rolle im modernen Gesundheitssystem. Vor allem seit der Pandemie hat sie neue Dimensionen in der Kommunikation zwischen Arzt und Patient, der virtuellen medizinischen Konsultation und der Fernbehandlung kleinerer Beschwerden erreicht, ohne andere zu gefährden. Jetzt sind auch Flexibilität und Bequemlichkeit wesentliche Gründe dafür, den Computer hochzufahren und sich in einen Videokonferenzraum mit dem Hausarzt zu begeben – keine Reisen und keine Zeitverschwendung in überfüllten Wartezimmern.
Weiterhin hat die Telemedizin das Potenzial, den Zugang zur Gesundheitsversorgung in ländlichen Gebieten zu verbessern. Hier ist die Dichte an Haus- und Fachärzten viel geringer als in städtischen Gebieten, und auch die Anbindung an den öffentlichen Nahverkehr kann eingeschränkt sein.
Trotz der räumlichen Entfernung können Ärzte, Therapeuten und medizinisches Personal ihre Patienten diagnostizieren, behandeln und beraten, solange die Symptome nicht lebensbedrohlich sind. Dazu sind verschiedene Medien und digitale Hilfsmittel wie Telemedizin-Plattformen, Portale, Videokonferenzen/Chat/Instant Messaging, Software und (mobile) Anwendungen erforderlich. Die Erbringung und Inanspruchnahme von Telegesundheitsdiensten sind jedoch nicht so einfach, wie es vielleicht klingt.
Auch wenn die Patienten der Erfassung, Verarbeitung und Speicherung ihrer persönlichen Gesundheitsdaten zustimmen müssen, stellen Sicherheitsverletzungen und Datenlecks immer noch enorme Risiken bei der Fernbehandlung dar. Je mehr Komponenten und Beteiligte in der Umgebung hinzukommen, desto grösser ist die Angriffsfläche.
Durch Telekonsultationen – entweder zwischen Arzt und Patient oder zwischen Arzt und Arzt für eine zweite Meinung – können medizinische Fachkräfte eine begrenzte Anzahl von Gesundheitsdienstleistungen in Echtzeit aus der Ferne erbringen. Sie eignen sich besonders für jährliche Kontrolluntersuchungen, die Besprechung von Testergebnissen, Diagnosen, Behandlungen und Themen der psychischen Gesundheit. Nach Angaben des Bitkom haben 27 Prozent der deutschen Patienten mindestens einmal per Videochat mit einem Arzt oder Therapeuten kommuniziert. Allerdings birgt die Distanz erhebliche Risiken.
So sind aufgrund der eingeschränkten Untersuchung und möglicher Verbindungs- und Kommunikationsprobleme Diagnosefehler möglich. Wenn der Kommunikationskanal nicht angemessen gesichert ist, können Cyberkriminelle die Übertragung abfangen und PHI und andere sensible Daten auslesen.
Was ist zu tun?
Für medizinisches Personal und Patienten: Wenn Ärzte virtuelle Videosprechstunden anbieten wollen, müssen sie sich an einen Dienstleister wenden, dessen Plattform die von der Kassenärztlichen Bundesvereinigung und dem Spitzenverband Bund der Krankenkassen definierten Anforderungen erfüllt. Gleichzeitig sind die medizinischen Einrichtungen für die Aufklärung der Patienten und der Mitarbeiter verantwortlich. Erstere müssen wissen, dass es zu technischen und betrieblichen Ausfällen kommen kann; letztere sollten an Schulungen zum Sicherheitsbewusstsein teilnehmen, um zu lernen, wie man Gesundheitsdienstleistungen aus der Ferne erbringt und mit Daten verantwortungsvoll umgeht. Ärzte und Patienten sollten über ein VPN auf die virtuelle Videosprechstunde zugreifen, damit die Übertragung sicher ist.
Allgemeiner Hinweis zur Authentifizierung: In Deutschland zeigen Patienten zur Authentifizierung einfach ihre Krankenversicherungskarte vor die Kamera – nicht die sicherste Methode, da diese visuellen Daten möglicherweise abgefangen werden könnten. Die Ärzte müssen jedoch die Identität ihrer Patienten überprüfen, um die Integrität der gesamten Interaktion zu gewährleisten. Die Multi-Faktor-Authentifizierung und die digitale Identität dienen als zusätzliche – oder sogar bessere – Sicherheitsvorkehrungen.
Medizinische Geräte, Wearables und digitale Gesundheitsanwendungen zählen zu den Medizinprodukten. Sie dienen vorwiegend dazu, kontinuierlich Daten zu sammeln, zu überwachen und zu verfolgen. Die aufgezeichneten Informationen werden automatisch an den behandelnden Arzt übermittelt, der sie auswertet und Massnahmen ergreift. Die digitalen Gesundheitsanwendungen (DiGA) haben den gleichen Zweck. Seit drei Jahren können Ärzte und Therapeuten DiGA offiziell als mobile Behandlung (erstattungsfähig) verordnen. Tatsächlich nutzen nach Angaben des Bitkom 69 Prozent der deutschen Patienten mindestens eine solche App.
Da die meisten medizinischen Wearables und Anwendungen über Netzwerkschnittstellen verfügen und höchstwahrscheinlich mit dem Internet verbunden sind, um Daten zu übertragen, müssen netzwerkbezogene Risiken berücksichtigt werden. Unzureichende Gerätesicherheit und ungepatchte Systeme gefährden zudem die Gesundheitsdaten der Patienten.
Was ist zu tun?
Nach einer Testphase in ausgewählten Modellregionen wurde die elektronische Patientenakte (ePA) am 29. April für alle Einwohner Deutschlands eingeführt. Die Krankenkassen richten die ePA automatisch ein und senden die Zugangsdaten, wenn ihre Versicherten den Zugang beantragen. Andernfalls können sie sich immer noch abmelden. Im Normalfall enthält die ePA alle relevanten Gesundheitsdokumente – von Diagnosen, Medikamenten und Impfungen bis zu Laborergebnissen, Rezepten und elektronischen Krankmeldungen. Auf diese Weise können unnötige Doppeluntersuchungen und mögliche Wechselwirkungen mit Medikamenten wirksam verhindert werden. Standardmässig stehen diese Informationen jedem, der über die notwendigen technischen Voraussetzungen für den Zugriff auf die Telematikinfrastruktur verfügt, jederzeit zur Verfügung, ebenso wie ein elektronischer Praxisausweis (Security Module Card Typ B (SMC-B)) und ein elektronischer Heilberufsausweis (eHBA). Dies stellt ein erhebliches Risiko dar.
Nicht nur könnte jedes medizinische Personal die Informationen einsehen und auslesen, sondern auch Cyber-Angreifer könnten die Telematikinfrastruktur und die Praxisverwaltungssysteme kompromittieren und sich so Zugang zu personenbezogenen Daten verschaffen.
Was ist zu tun?
Für das medizinische Personal: Wie bereits erwähnt, müssen Praxen und andere medizinische/pflegerische Einrichtungen sicherstellen, dass alle Systeme und Geräte auf dem neuesten Stand und angemessen gesichert sind. Dies gilt auch für Praxisverwaltungssysteme.
Für Patienten: Mit der ePA behalten die Patienten die absolute Hoheit über ihre PHI. Alles, was sie machen müssen, ist, den Zugang aktiv zu verwalten. In ihren Einstellungen können sie festlegen, wer bestimmte Informationen sehen und bearbeiten darf und wann die Zugriffsrechte enden.