Nach Hackerangriff in Finnland – Psychotherapeuten kritisieren ePA

Bonn/Helsinki. In die Datenschutz-Debatten um die Telematikinfrastruktur und die geplante elektronische Patientenakte kommt neuer Wind. Grund ist ein Hackerangriff auf psychotherapeutische Behandlungsdaten in Finnland.

Medienberichten zufolge wurden durch den Angriff womöglich zehntausende vertrauliche Datensätze eines privaten Psychotherapieanbieters gestohlen. Dazu zählten offenbar unter anderem Tagebücher, Diagnosen, Notizen aus Therapiegesprächen und Kontaktinformationen. Der Anbieter soll insgesamt 25 Therapiezentren in Finnland betreiben.

Mit den Daten wird nun offenbar nicht nur das betroffene Unternehmen erpresst. Auch betroffene Patienten geben den Berichten zufolge an, Erpresserschreiben per E-Mail erhalten zu haben. Darin würden sie aufgefordert, eine Summe von 200 Euro in Bitcoin zu zahlen. Andernfalls würden ihre Datensätze veröffentlicht.

Im Darknet kursieren den Angaben zufolge bereits Notizen aus Therapiesitzungen von rund 2000 Patienten. Der Angriff soll schon 2018 stattgefunden haben. Weitere Hintergründe und Ursachen seien derzeit noch nicht bekannt. Berichten zufolge legten tausende Finnen bei der Polizei Beschwerde über den Verstoß ein.

Psychotherapeuten: „Digitales Desaster“

Die Deutschen Psychotherapeuten zeigen sich in einer Mitteilung von Dienstag schockiert über den Vorfall in Finnland. „Die Datenverletzung ist umso schlimmer, trifft sie doch einige der schwächsten Mitglieder der Gesellschaft“, kommentiert Dieter Adler, Vorsitzender des Deutschen Psychotherapeuten-Netzwerks (DPNW).

„Das finnische Daten-Desaster führt uns anschaulich vor Augen, wie angreifbar die Speicherung von Patientendaten auf zentralen Servern ist“, so Adler in Anspielung auf die elektronische Patientenakte (ePA), die im kommenden Jahr in Deutschland eingeführt werden soll.

In der ePA ist eine zentrale Datenspeicherung beim Anbieter des Versicherten vorgesehen. Innerhalb der ePA werden einzelnen Rollen, wie beispielsweise Versichertem, Leistungserbringer oder Betreiber, unterschiedliche Zugriffsrechte auf die Daten zugesprochen. Eine Rolle, die Zugriff auf alle Daten hat, soll nicht bestehen. Das erhöhe die Sicherheit.

Kritik an zentraler Datenspeicherung

Vergangene Woche hat die gematik eine Sicherheitsanalyse der Technischen Universität Graz veröffentlicht, wonach der ePA eine Grundstruktur attestiert wurde, die „solide und gut durchdacht“ ist. Die Wissenschaftler sollten „konkret prüfen, ob getroffene Sicherheitsmaßnahmen in den Spezifikationen für kritische Komponenten der elektronischen Patientenakte (...) ausreichen, um ein entsprechendes Sicherheitsniveau gegen ein definiertes Angriffspotenzial zu erzielen“.

Das DPNW bezeichnet die zentrale Datenspeicherung dennoch als „falschen Weg“, den Bundesgesundheitsminister Jens Spahn (CDU) „trotz aller Datenschutz-Bedenken und negativen Erfahrungen im Ausland“ weiter geht. „Wir lehnen die zentrale Datenspeicherung ab. Daten über Psychotherapie gehören in die Praxis des Psychotherapeuten, sonst nirgendwo hin. Eine dezentrale ePA, auf die nur der Patient Zugriff hat ohne psychotherapeutische Daten, wäre akzeptabel“, so Adler auf Nachfrage.