"Freundliche Angriffe" auf Patientendaten

Die ITSV GmbH ist als IT-Dienstleister der Österreichischen Sozialversicherung unter anderem für den Schutz der Versichertendaten verantwortlich. Sie koordiniert und steuert sämtliche IT-Aktivitäten der österreichischen Sozialversicherungsträger und ist für die Entwicklung zentraler Services sowie dem Rechenzentrumsbetrieb betraut. Außerdem betreibt die ITSV GmbH das Customer Care Center, welches sich unter anderem für Anfragen von Versicherten und Vertragspartner zur Thema „E-Card“ verantwortlich zeigt. Die ITSV GmbH ist seit dem Jahr 2011 nach ISO 27001 zertifiziert. Hubert Wackerle und Erwin Fleischhacker vertreten als Geschäftsführer die Agenden der ITSV GmbH.

Wie werden die österreichischen Versichertendaten bei der ITSV GmbH geschützt? Welche konkreten Maßnahmen werden zum Schutz getroffen?
Wackerle: Der Schutz der Daten spielt sich auf vielen Dimensionen ab. Das fängt damit an, dass wir durchaus einen hohen Stellenwert auf einen eigenen Bereich im Unternehmen legen, der sich um die Themen „Sicherheit- und Risikomanagement“ kümmert. Ein weiterer Aspekt ist, dass wir viel Wert darauf legen, dass es auf Mitarbeiter-Ebene laufend bewusstseinsbildende Sicherheitsschulungen gibt. Wir führen auch interne Wettbewerbe durch, die sich mit dem Thema „Sicherheit und Mitarbeiter“ auseinandersetzen. Eine der größten Sicherheitslücken in Unternehmen ist ja bekanntlich der Mensch selbst.

Da stimme ich Ihnen zu, aber Bewusstseinsbildung alleine reicht nicht. Was wird noch getan?
Wackerle: Eine weitere Sicherheitsmaßnahme, die die ITSV GmbH zum Schutze von Daten getroffen hat, ist die Einführung hoher Sicherheitsstandards im Bereich Infrastrukturtechnologie. Somit sind alle Büroräumlichkeiten nur über ein spezielles Zutrittsberechtigungssystem mittels Chip zu erreichen. Ein Zutritt in einem unserer Rechenzentrumsstandorte ist z.B. neben einer Personenidentifizierung nur über einen Venenscanner möglich.

Wir betreiben außerdem den zentralen Internet-Knoten für alle Sozialversicherungsträger und da kann man relativ viel tun, um diesen abzusichern. Es kommt alles zum Einsatz, was marktmöglich ist – von Anti-Viren-Systemen bis zu Verschlüsselungssystemen und Intrusion Detection-Modellen. Innerhalb der Sozialversicherung betreiben wir das Corporate Network der Sozialversicherungen (CNSV). Das ist ein geschlossenes Netz ohne Zugang nach außen, um die sichere Kommunikation zwischen den Sozialversicherungsträgern zu gewährleisten.

Sie lassen auch simuliarte Hacker-Angriffe durchführen. Spiegeln diese reale Angriffe wider?
Wackerle: In der Realität sind wir derzeit kein primäres Ziel von Angreifern. Wir werden nicht wirklich attackiert. Wenn wir von der Meldestelle CERT einen Alarm bekommen, gehen wir dem selbstverständlich genau nach. Es gab Hacker-Angriffs-Versuche, aber davon war bisher keiner erfolgreich. Die Attacken, die wir selbst initiieren, sind genauso, wie jene eines echten Angreifers.

Die White-Hat-Hacker arbeiten mit denselben Methoden wie die Black-Hat-Hacker. Der Unterschied liegt darin, dass man über die durchgeführten Test-Angriffe ein Protokoll erhält, indem angeführt ist, was genau durchgeführt wurde, wie weit jemand gekommen ist, wo es Möglichkeiten eines Systemzugriffes gibt und wo man am ehesten nachrüsten muss. Diese Protokolle nehmen wir zum Anlass, um sofortige Verbesserungs-Maßnahmen zu ergreifen und umzusetzen. Das ist für uns auch immer relativ spannend, weil wir den Zeitpunkt dieser "freundlichen Angriffe" selbst nicht kennen.

Wo werden die Versichertendaten genau gespeichert? Gibt es mehr als ein Rechenzentrum und ein Backup der Daten?
Wackerle: Wir haben drei Rechenzentrums-Standorte zur Speicherung der Versichertendaten und bezeichnen diese als ein Rechenzentrum. Davon sind zwei Standorte in Wien, die synchron und gespiegelt sind sowie einen dritten Standort in Linz, der asynchron Daten hält. Der dritte Rechenzentrumsstandort ist in erster Linie für unsere Test- und Entwicklungsumgebungen aufgebaut. Dieser Rechenzentrumsstandort wäre jedoch in der Lage, würde Wien mit den beiden Standorten komplett ausfallen, den Notbetrieb für den "Next Business Day" zu übernehmen, damit die wichtigsten Funktionalitäten der Sozialversicherungsträger wieder funktionieren, jedoch ist das nur für den Katastrophenfall gedacht.

Im vergangenen Jahr wurden die Rechenzentrumsstandorte in Wien übersiedelt. Die Übersiedelung stellte sich durchaus als sehr komplex heraus. Die Standorte sind in der Regel unbemannt, außer bei den hardware-seitigen Betreuungen durch Techniker. Wenn wir beim Thema Sicherheit sind – bei all unseren Rechenzentrumsstandorten gibt es keinen automatischen Zutritt, sondern nur bei Voranmeldung und entsprechender Ausweisung.

In einem unserer Standorte muss sich die Person sogar einem Venenscan unterziehen, bekommt erst dann eine Zutrittskarte und kann über eine Vereinzelungsanlage den Vorraum des Standortes betreten. Dort werden die Zutrittskarte und die Venen nochmals überprüft. Nur wenn das Ergebnis deckungsgleich ist, geht die Schleuse auf, in der nur eine Person Platz hat. Dann geht die Türe wieder zu und die zweite Türe geht auf, durch die man in den Standort gelangt. Das ist so hochsicherheitsmäßig wie bei "Mission Impossible“. Es kommt niemand rein, es gibt ganz wenige Personen mit Dauerberechtigungen. Alle anderen, auch wir, müssen sich am Vortag anmelden und seinen Ausweis hinterlegen. Alles wird genau protokolliert und dann bekommt man für einen bestimmten Zeitraum eine Zugriffsberechtigung erteilt.

Von welchen Datenmengen sprechen wir hier eigentlich? Kann man diese Mengen schon als „Big Data“ bezeichnen?
Fleischhacker: Wir verfügen über ca. 14 Millionen Stammdatensätze von Sozialversicherten. Diese Stammdatensätze sind sehr aktuell, weil die Daten tagtäglich aktualisiert werden. Wir haben auch ein hohes Interesse daran, die Stammdaten so aktuell wie möglich zu halten. Das war mit ein Grund, warum wir ein Partner für ELGA geworden sind. Ein weiterer Punkt war und ist sicherlich auch der Zentrale Patientenindex (ZPI), der von uns betrieben wird. Dieser enthält alle wichtigen Stammdaten, die für ELGA benötigt werden.

Wackerle: Insgesamt haben wir eine Kapazität von 1,3 Petabyte, gespiegelt kommen wir auf fast drei Petabyte. Das ist schon recht viel und ja, ich würde von „Big Data“ sprechen. Durchschnittlich gibt es jährlich eine Steigerung des Datenvolumens von 25 bis 30 Prozent. Das Datenwachstum ist in den vergangenen Jahren extrem angestiegen. Wir können mit relativ vielen strukturierten Daten arbeiten. Sekundärdaten, wie z.B. von sozialen Netzwerken wie Facebook, sind bei uns bisher noch irrelevant.

Ist eine Verarbeitung von Sekundärdaten geplant? Es klingt so, als würden Sie darüber nachdenken.
Wackerle: Nein, so unmittelbar nicht, aber die Frage ist immer, wie sich das Geschäftsmodell eines Sozialversicherungsträgers entwickelt. Wünscht dieser auf einmal Kontakt mit Versicherten über Apps und Smartphones? Soll das mit Social Media verknüpft werden, weil die Leute sich das so wünschen? Die Entwicklung geht so rasant schnell, das man das zum derzeitigen Zeitpunkt nicht ausschließen kann. Im Moment glauben wir jedoch nicht daran, dass wir mit Social Networks arbeiten werden, aber man wird sehen.

Man schützt die Daten, in dem sie explizit nur in österreichischen Rechenzentren liegen, dann denkt man darüber nach, Daten aus Portalen wie Facebook auszuwerten, die es mit dem Datenschutz nicht so genau nehmen. Will man das als Österreichische Sozialversicherung?
Wackerle: Natürlich nicht! Datensicherheit ist ein hohes Gut. Der Versicherte soll darauf vertrauen können, dass die Daten physisch innerhalb Österreichs liegen, was die Sozialversicherung betrifft und dass hier keinerlei Anstalten gemacht werden, die Daten auszulagern.

Es klingt insgesamt so, als wären die Versichertendaten deutlich sicherer aufgehoben, als es unsere Gesundheitsdaten bei den Ärzten sind. Bei manchen Ärzten erscheint ein Datensatz mit Patientendaten beim Arzt direkt vor einem offen am Computerbildschirm, während der Arzt im Nebenraum den Patienten behandelt. Wie sicher sind die Daten bei den Ärzten?
Fleischhacker: Dies geht über unseren Zuständigkeitsbereich hinaus. Dafür ist der Arzt selbst zuständig und dieser hat sich um die Sicherheit seiner Daten zu kümmern. Da wollen wir aber auch nicht mehr dazu sagen.

Nachdem rund 350 Ärzte Medikamentendaten ihrer Patienten verkauft haben sollen, fragen sich manche Versicherte, ob ihre Daten mit der in Aufbau befindlichen Elektronischen Gesundheitsakte sicher sein werden. Was ist Ihre Meinung dazu?
Fleischhacker: Es wird Aufgabe der ELGA GmbH sein, die sicherheitsrelevanten Anforderungen für die Teilnahme an ELGA zu definieren und laufend sicherzustellen. Da ELGA ein dezentrales System ist, wird jeder Betreiber und Teilnehmer, darunter auch die ITSV GmbH, diese Sicherheitsanforderungen umzusetzen und einzuhalten haben, um an ELGA teilnehmen zu können. Verletzungen dieser Anforderungen könnten zum temporären Ausschluss führen, um die Sicherheit des Gesamtsystems hoch zu halten.

Einer der größten Kritikpunkte von Sicherheitsexperten an ELGA ist, dass die Daten zwar verschlüsselt übertragen, aber nicht verschlüsselt gespeichert werden.
Wackerle: Die Daten werden bei ELGA dort gespeichert, wo sie auch heute schon gespeichert werden. ELGA ermöglicht nur die Vernetzung dieser Daten zueinander, aber das heißt nicht, dass es eine zentrale Datenspeicherung gibt. Es gibt auch kein Rechenzentrum, wo zentral alle ELGA-Daten abgelegt werden. ELGA ermöglicht nur die Sichtung der Daten, die dort liegen. Nicht verschlüsselt speichern ist dort relevant, wo heute schon nicht verschlüsselt gespeichert wird. Da sind wir wieder beim Thema, das wir vorher angesprochen haben.

Welche Daten werden in Ihren Rechenzentren im Zusammenhang mit ELGA gespeichert?
Fleischhacker: Die Stammdaten, der Zentrale Patientenindex und die Protokollierungsdaten, speziell wer wohin zugreift oder was dieser abgefragt hat. Die Gesundheitsdaten werden nicht bei uns abgelegt, sondern dort, wo sie anfallen.

Was kann man sich genau unter einem Zentralen Patientenindex vorstellen?
Fleischhacker: Der Zentrale Patientenindex ermöglicht durch eine Abfrage im System nachzusehen, wo überall ELGA-relevante Gesundheitsdaten zu einer Person liegen. Wenn Sie mit dem Namen einsteigen, wird nachgeschaut, wer Sie sind und wo von Ihnen noch ELGA-relevante Gesundheitsdaten liegen. Sollte ein Arzt im Zuge der Behandlung auf die Patientendaten zugreifen wollen, so hat der Patient selbst die Möglichkeit, Daten freizugeben.

Wackerle: In erster Linie geht es um die eindeutige Identifikation der Person. Das System weiß dann, dass es da und dort Daten über Sie gibt. Die Identifikation ist komplex. Im Krankenhaus X ist man vielleicht abgespeichert unter Wackerle H. in einem anderen Krankenhaus wiederum unter Hubert Wackerle und anderswo unter Wackerle Hubert. Das jeweilige System einer Krankenanstalt kennt mich als gleiche Person, aber die übergreifende Zuordnung ist nicht so einfach. Der Zentrale Patientenindex führt diese Datensätze zusammen und man kann dadurch eindeutig eine Person identifizieren.

Das ELGA-Webportal für den Patienten – wird das nicht eine lukrative Adresse für Angreifer?
Fleischhacker: Verwenden Sie Online-Banking?

Wackerle: Natürlich ist das ELGA-Portal selbst eine lukrative Hack-Adresse, da dort sensible Daten zu finden sind. Das wird die Aufgabe der ELGA GmbH sein, hier sämtliche Sicherheitsmaßnahmen zu treffen, um jeglichen Missbrauch zu vermeiden. Hierzu gibt es auch erstmals per Gesetz sehr strenge Strafbestimmungen. Nachdem alles von Menschen konstruiert und gebaut wird, kann man davon ausgehen, dass es auch von Menschen geknackt werden kann. Daher muss man möglichst alles tun, um das zu verhindern.

Sind die Bedenken wegen ELGA aus Ihrer Sicht gerechtfertigt?
Fleischhacker: Ich glaube, dass die Bürger nach wie vor und vor allem aufgrund der falschen und noch nicht aufgeklärten Geschichten rund um ELGA beunruhigt sind. Aber im zweiten Halbjahr 2013 wird es dazu eine umfassende Informationskampagne geben, um die Bürger rechtzeitig zum Start von ELGA (01.01.2014) umfassend aufzuklären.

Überwiegen Ihrer Meinung nach die Vorteile?
Fleischhacker: Ich bin davon überzeugt, dass die Vorteile überwiegen. Ihr Beispiel mit dem Arzt gibt es wie Sand am Meer und zu glauben, dass die Daten derzeit sicherer sind, als danach bei ELGA, halte ich für falsch. Es gibt keine Gefahr von Doppeluntersuchungen mehr, man kann Kontraindikationen vermeiden, das sind alles Dinge, die ich persönlich als Bürger begrüße.

Werden die Bürger durch ELGA nicht gläserner?
Wackerle: Ich glaube nicht, dass der Patient dadurch gläserner wird. Die Daten gibt es heute ja auch schon. Für mich ist ELGA ein Quantensprung im Gesundheitswesen.