Wie die Blockchain das Schweizer Gesundheitswesen sicherer machen könnte
Mangelnde IT-Sicherheit und ein heikler Umgang mit Daten sind grosse Probleme im Gesundheitswesen – auch in der Schweiz. Das zeigte Medidatas EDI-Podium in Luzern. Eine schnelle Lösung ist nicht in Sicht. Die Blockchain könnte aber helfen, das Gesundheitswesen sicherer zu machen.
"Wenn man auf einem Medizingerät Netflix schauen kann, ist etwas schiefgelaufen", sagte Marc Ruef, IT-Sicherheitsexperte der Zürcher Firma Scip, am EDI-Podium von Medidata. Früher undenkbar, heute eine reale Gefahr, da viele Medizingeräte mit dem Internet verbunden sind. Für Patienten kann das gravierende Folgen haben. "Malware wird heute nicht mehr aus Freude geschrieben, sondern um Daten zu stehlen und Schaden anzurichten», erklärte Ruef im Luzerner Kantonsratssaal.
Marc Ruef, IT-Sicherheitsexperte der Zürcher Firma Scip, am EDI-Podium 2018 von Medidata (Quelle: Netzmedien)
Scip beobachtet den Untergrundmarkt im Darknet. Schweizer Patientendaten habe das Unternehmen da zwar noch keine gefunden, sagte Ruef. Viele Medizinalgeräte seien aber löchrig – auch in Schweizer Spitälern. Oft dauere es viel zu lange, bis die Hersteller Patches lieferten. Bei der Entwicklung der Geräte spiele IT-Sicherheit fast keine Rolle, bei der Implementierung und beim Betrieb ebenfalls nicht, so Ruef.
Sicherheitslücken in Schweizer Spitälern
Thomas Friedli, Chief Information Security Officer und ICT-Riskmanager des Inselspitals Bern, schlug in die gleiche Kerbe. Whitescope habe 2017 über 8000 Schwachstellen in Herzschrittmachern gefunden. Laut Trend Micro waren im gleichen Jahr über 36'000 medizintechnische Geräte über die Suchmaschine Shodan zugänglich. 2016 sei das Jahr des Datenklaus gewesen, 2017 das Jahr der Erpressungen, und 2018 werde das Jahr der Spionage – auch im Gesundheitswesen.
Thomas Friedli, Chief Information Security Officer und ICT-Riskmanager des Inselspitals Bern (Quelle: Netzmedien)
Auch im Inselspital habe es Sicherheitslücken gegeben, die allerdings frühzeitig erkannt worden seien. Das Admin-Passwort einer Spritzenpumpe habe man im Internet finden können. Angreifer hätten so theoretisch die Dosierung von Medikamenten verändern können, erklärte Friedli. Ein Patientenmonitor sei zudem an die falsche Security-Zone angeschlossen gewesen.
"Warum haben medizintechnische Geräte kein Ablaufdatum?", fragte Friedli. "Hersteller von Medizintechnik-Geräten müssen endlich sichere Software auf aktuellen Betriebssystemen entwickeln!" Swissmedic könnte einschreiten und ähnlich wie die Finma stärkere Vorschriften machen, so Friedli.
Thomas Friedli (links) und Marc Ruef beantworten Fragen des Publikums (Quelle: Netzmedien)
Blockchain im Gesundheitswesen
"Wir sind sehr unvorsichtig, wenn es um die Sicherheit von Daten im Gesundheitswesen geht", sagte Stefan Klauser, der an der ETH am Lehrstuhl für Computational Social Science arbeitet. Die Blockchain könne den Umgang mit Daten im Gesundheitswesen sicherer machen, sagte Klauser. Sie sei vor allem dann sinnvoll, wenn Vertrauen, Transparenz, Privatsphäre und die Unveränderbarkeit von Daten im Vordergrund stünden. Darum eigne sich die Blockchain besonders für das Gesundheitswesen. Oft würden in der Branche unterschiedliche Partner mit unterschiedlichen Interessen und mangelndem Vertrauen an einem Tisch sitzen.
Stefan Klauser vom Lehrstuhl für Computational Social Science der ETH (Quelle: Netzmedien)
Die Blockchain könnte in der Lieferkette, beim E-Patientendossier, im Markt für Daten oder in Quantified-Self-Anwendungen zum Einsatz kommen, sagte Klauser. Sie sei ideal in Kombination mit digitalen Identitäten. Klauser nannte ein Beispiel für einen Smart Contract: Die Blockchain könnte sicherstellen, dass temperaturabhängige Medikamente nur ausgeliefert würden, wenn es weniger als 30 Grad warm sei.
Der Nutzer entscheidet über die Daten
Mathias Bucher von der Hochschule Luzern ging auf Schwächen der Blockchain ein: Die Latenzzeit sei oft zu hoch, die Skalierbarkeit mässig und das Bild der Blockchain als Weltcomputer irreführend. Speicher sei zum Beispiel im Vergleich zu herkömmlichen Speicherlösungen viel zu teuer, so Bucher. Er bezeichnete Bitcoin als Blockchain 1.0, Ethereum mit seinen Smart Contracts als Blockchain 2.0.
Mathias Bucher von der Hochschule Luzern (Quelle: Netzmedien)
Auch Bucher sieht viele Vorteile der Blockchain, gerade im Gesundheitswesen. Die Technologie habe eine grosse Widerstandsfähigkeit, die Fälschung von Identitäten sei fast unmöglich, die Vertrauenswürdigkeit der Daten hoch. "In der alten Welt mussten wir den Autoritäten oder einem Server vertrauen. Mit der Blockchain ist das nicht mehr der Fall." Da die Daten in der Blockchain über mehrere Geräte verteilt seien, laufe zum Beispiel eine Denial-of-Service-Attacke ins Leere.
Zugs E-Identity-Initiative sei die erste Identity-Lösung auf Blockchain-Basis weltweit, die von einer Regierung akzeptiert werde. Sie soll Fälschungssicherheit von Daten und Identitäten gewährleisten. Der Grundgedanke dabei sei, dass der Nutzer immer der "Master seiner Daten" bleibe. Er könne entscheiden, welche Daten in der Blockchain gespeichert würden und für wie lange, sagte Bucher.
Stefan Klauser (links) und Mathias Bucher beantworten Fragen des Publikums (Quelle: Netzmedien)