Sicherheit im elektronischen Datenverkehr – heißes Thema der MEDICA

Bringt die Zukunft der Medizin den gläsernen Patienten? Werden neue technische Möglichkeiten bei der Übermittlung und beim Speichern von Daten den Datenschutz aushebeln? Angesichts der Entwicklung der vergangenen Jahre könnte das mancher meinen, der sich mit der Materie beschäftigt: Mehr als 50 Prozent der Ärzte in Deutschland gehen ins Internet. Neue Entwicklungen bei Software und in der Standardisierung der elektronischen Kommunikation zwischen Ärzten werden in nicht allzu ferner Zukunft dazu führen, dass immer mehr Patientendaten über das Internet oder über andere Datennetze verschickt werden. Ärzte werden in Zukunft online miteinander kommunizieren, und sie werden ihre Daten so speichern, dass sie für Kollegen im Prinzip abrufbereit sind, wenn die darauf zugreifen müssen.

Der elektronische Arztausweis kommt

Doch so viel Geld in diese Neuentwicklungen fließt, um in Zukunft Doppeluntersuchungen überflüssig zu machen und die Behandlungsqualität zu verbessern, so viel fließt auch in die Sicherheitstechnik. In ein bis eineinhalb Jahren werden Mediziner nach einmütigen Schätzungen aus Industrie und Ärzteschaft mit einem elektronischen Arztausweis ausgestattet sein. Dieser Ausweis wird eine Chipkarte sein, die es zum Beispiel ermöglicht, dass elektronische Arztbriefe so verschlüsselt werden, dass nur der vorgesehene Empfänger diese Nachricht entschlüsseln und lesen kann. Außerdem werden Ärzte ihre elektronischen Nachrichten mit einer rechtswirksamen digitalen Signatur versehen, die es für den Empfänger zweifelsfrei macht, von wem die Nachricht stammt und dass sie nach dem Versand nicht durch einen unbekannten Dritten verändert worden ist. Die dritte Funktion dieses Ausweises wird dem Besitzer ermöglichen, auf Patientendaten zuzugreifen, die auf einem Server gespeichert sind. Er kann auf einem solchen Server nur die Daten lesen, für die er eine Zugriffsberechtigung hat.

Trustcenter helfen – Thema der MEDICA 2001 in Düsseldorf

Dieses kleine Wunderwerk der Technik kann nur funktionieren, wenn die Inhaber solcher Chipkarten – das werden außer Ärzten wahrscheinlich auch Apotheker, Arzthelferinnen, Krankenschwestern und Angehörige anderer Gesundheitsberufe sein – sicher sein können, dass die beschriebenen Funktionen auch tatsächlich vollkommen verlässlich sind. Dafür sind vertrauenswürdige Institutionen erforderlich, die eine Garantie dafür übernehmen. Diese so genannte Trusted Third Party – auch Trustcenter genannt – erstellt die Chipkarten, verwaltet die Schlüssel, und sie muss über alle Daten des Melderegisters verfügen. Im Melderegister wird fest gehalten und ständig aktualisiert, welche Weiterbildung die Ärzte gemacht haben, wer welcher Fachgruppe angehört, und es wird registriert, wenn einem Arzt die Approbation entzogen wird.

Im Rahmen der MEDICA 2001 in Düsseldorf, der mit über 3.500 Ausstellern weltgrößten Medizinmesse (21. bis 24. November), wird einer der Schwerpunkte die Sicherheit bei der elektronischen Kommunikation zwischen Ärzten sein. In den Messehallen werden sich einige Unternehmen den Messebesuchern vorstellen, die Konzepte für solche Trustcenter für das Gesundheitswesen entwickelt haben. Auf der Sonderschau MEDICA MEDIA (Halle 14) und in angeschlossenen Workshops wird das Thema Chipkarten im Gesundheitswesen und Datensicherheit ausführlich zur Sprache kommen.

Hoher finanzieller Aufwand und strenge Auflagen

Wer ein Trustcenter betreiben möchte, muss erhebliche Aufwendungen für die Sicherheit leisten. Vorgaben dafür sind unter anderem im Gesetz über die digitale Signatur festgelegt. Um ein Zertifikat für ein nach Signaturgesetz akkreditiertes Trustcenter zu bekommen, müssen die Organisationsstrukturen einer solchen Institution genauestens daraufhin durchleuchtet werden, dass es keine Sicherheitslücken gibt. Zu den Bedingungen gehören auch bauliche Maßnahmen wie abhörsichere Wände, eine Videoüberwachung und eine besonders gute Sicherung gegen Feuer. Der Grund für diese besonderen Sicherheitsmaßnahmen liegt darin, dass die Daten zum einen ständig verfügbar sein müssen, dass sie aber zum anderen niemandem zugänglich sein dürfen, der keine Berechtigung hat. Bei jedem Versand eines Arztbriefes wird automatisch online beim Trustcenter erfragt, ob der Inhaber des Schlüssels auch der ist, der er zu sein vorgibt. Die Investitionen für solche Maßnahmen liegen im zweistelligen Millionenbereich.

Die Ärztekammern, die den neuen Arztausweis ausgeben werden und die gleichzeitig die Melderegister führen, könnten theoretisch solche Trustcenter selbst betreiben, viele der Kammern wären aber durch die erforderlichen Investitionen überfordert. Denn es herrscht Konsens in den ärztlichen Körperschaften, dass für die Kommunikation unter Ärzten der höchste Sicherheitsstandard gelten muss. Das ist die Chance für private Betreiber von Trustcentern, die diesen Sicherheitsanforderungen genügen. Noch wird um den Standard für einen solchen Arztausweis gerungen. Einen Entwurf haben die ärztlichen Körperschaften vor gut einem Jahr vorgelegt, bisher gibt es allerdings keinen Anbieter, der genau diese Anforderungen vollständig erfüllt.

Gut im Rennen ist bisher die Deutsche Post Signtrust, die gemeinsam mit dem Unternehmen Medizon AG ein Trustcenter für das Gesundheitswesen gegründet hat, das bereits durch die Regulierungsbehörde zertifiziert worden ist. Sie ist dabei, in Sachsen 1000 Ärzte mit elektronischen Arztausweisen auszustatten. Hauptkonkurrent ist die Deutsche Telekom, die ebenfalls in einigen Pilotprojekten die Versorgung mit Chipkarten übernommen hat. Die Lösungen der Telekom werden bei der MEDICA in Messehalle 14 zu sehen sein.

Vorbild Mobilfunktnetz: Kompatibilität muss Gewähr leistet sein

Wer am Ende die Ausstattung der Ärzte mit elektronischen Arztausweisen übernehmen wird, steht noch in den Sternen. Auch andere Unternehmen könnten noch Trustcenter für das Gesundheitswesen aufbauen, und es ist nicht unbedingt zu erwarten, dass in allen 17 Ärztekammern dasselbe Unternehmen zum Zuge kommt. In diesem Falle müsste allerdings Gewähr leistet sein, dass die Arztausweise verschiedener Trustcenter miteinander kompatibel sind. Bisher ist es noch so, dass ein Arztbrief, der von einem Arzt mit einer Chipkarte von dem einen Trustcenter verschlüsselt worden ist, von einem Arzt mit einer Chipkarte von dem anderen Trustcenter nicht gelesen werden kann. Was im Mobilfunkbereich selbstverständlich ist – dass von einem Netz ins andere telefoniert werden kann -, das muss bei der elektronischen Kommunikation noch mühsam erarbeitet werden.

Ein elektronischer Arztausweis wird mit all seinen Sicherheitsfunktionen dann seinen Sinn verlieren, wenn keine Anwendungen für diesen Ausweis existieren. Software, die in Kliniken und Praxen läuft, muss mit den verschlüsselten Nachrichten zurechtkommen. Standards für elektronische Überweisungen, für elektronische Rezepte und für die vielen Formulare, die in Zukunft auch elektronisch verschickt werden könnten, müssen noch entwickelt werden. Erste Schritte in diese Richtung hat die Medizon AG gemacht, die in diversen Kooperationen mit Krankenhaus- und Praxissoftware-Häusern vereinbart hat, dass die Karte integriert wird. Bei der MEDICA können die Besucher die ersten Anwendungen bei den Partnerunternehmen in Augenschein nehmen.

Sicher ist: Zertifizierte Trustcenter und die Nutzung des elektronischen Arztausweises durch die Mediziner werden verhindern, dass durch die elektronische Kommunikation der Patient gläsern und der Datenschutz durchlöchert wird.

ots Originaltext: Messe Düsseldorf GmbH
Im Internet recherchierbar: http://www.presseportal.de

Messe Düsseldorf GmbH
Pressereferat MEDICA/ ComPaMED 2001
Martin-Ulf Koch/ Kerstin Schmidt (Assistenz)
Tel. 0211-45 60-444
FAX 0211-45 60-8548
Email. KochM@messe-duesseldorf.de