Zurzeit häufen sich alarmierende Meldungen über Patientendaten, die nicht genügend vor Angriffen geschützt sind oder sogar offen im Netz rumliegen. Die Frage, wer dafür verantwortlich ist, wird dabei häufig so beantwortet: die Telematikinfrastruktur (TI) – also die neue Verbindung zwischen den IT-Systemen von Praxen, Kliniken und anderen Dienstleistern im Gesundheitswesen. Sie wird gerade gebaut, damit unter anderem 2021 die elektronische Patientenakte an den Start gehen kann.

Beim Einbau der dafür notwendigen Geräte in Arztpraxen – den Konnektoren – ist es zu Problemen gekommen. Offenbar wurden Spezifikationen nicht beachtet, die die für die TI zuständige Gesellschaft (gematik) herausgegeben hatte. Das ist in der Tat ein Problem, weil dadurch Praxis-IT in vielen Fällen unsicherer geworden ist. Aber deshalb zu sagen, die TI sei die einzige Ursache für die vielen Sicherheitsprobleme bei Patientendaten, stimmt nicht. Denn die sind im Gesundheitswesen nicht neu.

Auch, wenn es stimmt, dass die neue Struktur neue Sicherheitslücken reißt, ist das Problem größer. Alle Beteiligten schieben sich bei der öffentlichen Diskussion gerne den Schwarzen Peter zu. In Wahrheit tragen viele dazu bei: Gesundheitsministerium, gematik, Arztpraxen, IT-Dienstleister und sogar Telefonanbieter wie die Telekom.

Das zeigt das hier gepiqte Beispiel sehr eindrücklich. Hier haben viele nicht aufgepasst. Der Hersteller der Telekom-Router und die Telekom zuvorderst. Aber auch der IT-Dienstleister und die Praxisbetreiber. So kam es dazu, dass Patientendaten einer orthopädischen Praxis durch einen fehlerhaften Router nicht sicher waren.

An diesem Beispiel lässt sich gut sehen, wie komplex die Ursachen dafür sind und wie problematisch die Haftungsfrage. Denn erst mal sind die Praxisinhaber:innen dran. Sie sind offiziell für die Datensicherheit verantwortlich. Doch eigentlich greift hier wieder mal das Prinzip: Den letzten beißen die Hunde.

Suboptimal!