Chronik/Österreich

Elga ist laut Experten leicht zu hacken

Grobe Sicherheitsmängel bei Elga ortet die Ärztekammer, seit jeher ein vehementer Kritiker der elektronischen Gesundheitsakte. Sie hat den IT-Sicherheitsexperten TS Management Consulting beauftragt, Elga unter die Lupe zu nehmen.

Dieser fand gleich mehrere Schwachstellen: Wer seitens des Gesundheitspersonals zugreift, melde sich lediglich mit Usernamen und Passwort an. "Wie man weiß, können aber Passwörter sehr leicht gestohlen werden. Deshalb ist ein derartiges System unsicher und unzeitgemäß", kritisiert Studienautor Thomas Stubbings.

Es brauche eine starke sogenannte Zweifaktor-Authentifizierung – etwa eine zusätzliche TAN-Eingabe oder ein Hardware-Token – wie dies beispielsweise beim Online-Banking üblich ist.

Probleme ortet Stubbings vor allem an den Endpunkten des Elga-Systems, also bei den Krankenhäusern, Ärzten oder Apotheken. "Elga geht davon aus, dass jeder davon ein korrektes und sicheres Identitäts- und Berechtigungsmanagement hat, bei dem niemals ein Passwort gestohlen wird. Das ist aber komplett unrealistisch", warnt Stubbings vor unbefugtem Zugriff auf die Patientendaten mit dem Ziel sie zu stehlen oder zu manipulieren.

Lukratives Geschäft

Bis dato sind noch keine gezielten Hacker-Angriffe auf Elga bekannt, das System ist aber noch lange vom Vollausbau entfernt. Spätestens dann könnte Elga ein lohnendes Ziel von Cyber-Attacken werden, warnt der Experte. "Daten über Patienten und deren Behandlung sind ein lukratives Geschäft. Laut FBI zahlten Unbekannte 2014 für eine einzige gestohlene digitale Krankenakte 50 Dollar", schildert Stubbings. Entsprechend hohe Summen ließen sich erzielen, wenn gleich auf die Daten ganzer Bevölkerungsgruppen zugegriffen werden könnte.

"Wir sind nicht gegen neue Technologien. Aber wir fordern eine umfassende Evaluierung sowie den Einbau sicherheitsfördernder Maßnahmen, statt Elga in Österreich flächendeckend durchzupeitschen", sagt Ärztekammer-Vizepräsident Johannes Steinhart.

Im Hauptverband der Sozialversicherungsträger teilt man diese Bedenken naturgemäß nicht: „Für die niedergelassenen Ärzte und die Patienten selbst gibt es Zweifaktor-Authentifizierung. Neben den Pin-Code das Stecken der Ordi-Karte bzw. für Patienten die Handy-Signatur oder Bürgerkarte“, sagt der stv. Generaldirektor Volker Schörghofer. Doch auch in den Spitälern sieht er keine Probleme. „Im bestehenden Krankenhausinformationssystem stehen wesentlich mehr Informationen drinnen als in Elga. Trotzdem hat es auch bei ihnen bis jetzt keine Vorfälle gegeben“, sagt Schörghofer.