Zivilgesellschaftliche Organisationen schlagen noch einmal Alarm wegen der UN-Konvention gegen Cyberkriminalität (UNCC), deren Unterzeichnungszeremonie am Samstag in Vietnams Hauptstadt Hanoi startete. Die Bedenkenträger, zu denen Access Now, die Electronic Frontier Foundation (EFF), Human Rights Watch, Privacy International und Epicenter.works gehören, sind tief besorgt: das erste globale Abkommen dieser Art erleichtere grenzüberschreitende Menschenrechtsverletzungen. Sie fordern die Staatengemeinschaft auf, von der Unterzeichnung und Ratifizierung abzusehen. Alternativ müssten sie zumindest die Wahrung der Menschenrechte bei der Umsetzung des Vertrages hervorheben.

Die Kritik richtet sich vor allem gegen den zu weiten Geltungsbereich der Konvention. Die UNCC geht über die reine Cyberkriminalität in Form von Angriffen auf Computernetzwerke und Daten hinaus und verpflichtet die Teilnehmer zu umfassender elektronischer Überwachung sowie zur Untersuchung und Kooperation bei einer Vielzahl schwerer Straftaten. Auch wenn diese nicht direkt mit Informations- und Kommunikationssystemen in Verbindung stehen.

Als „schwere Straftat“ gilt dabei jedes Vergehen, das nach nationalem Recht mit mindestens vier Jahren Freiheitsentzug geahndet werden kann. Dies eröffnet laut dem offenen Brief der Organisationen die Gefahr, dass die Konvention zur Kriminalisierung von international geschützten Aktivitäten missbraucht werden könnte. Genannt werden dabei Regierungskritik, friedliche Proteste, investigativer Journalismus oder Whistleblowing.

Mangelnde Schutzmaßnahmen

Das Abkommen fordert die Regierungen den NGOs zufolge auf, elektronische Beweismittel (E-Evidence) zu sammeln und diese mit ausländischen Behörden zu teilen, ohne ausreichende Schutzbestimmungen zu verankern. Dies schaffe einen Rechtsrahmen, der das Vertrauen in sichere Kommunikation untergrabe und Grundrechte verletze. Die Schwächen würden dadurch verschärft, dass es keinen Mechanismus zum Suspendieren von Staaten gebe, die systematisch Menschenrechte oder Rechtsstaatlichkeit missachten.

Der internationale Vertrag geht auf einen Vorschlag von Russland und China von 2017 zurück. Er war von Anfang an umkämpft.

Andrang am Unterzeichnertisch

Auf der Zeremonie in Hanoi haben laut Agenturberichten bereits mehr als 60 Staaten das Abkommen unterzeichnet. Für EU-Mitglieder hatte der Ministerrat dafür den Weg freigemacht. UN-Generalsekretär António Guterres feierte die Konvention als Meilenstein im Kampf gegen die digitale Kriminalität. Er unterstrich die Notwendigkeit einer „starken global-vernetzten Antwort“ und verwies auf das tägliche Ausmaß von „raffinierten Betrügereien“, die Familien schädigten und der Wirtschaft Milliarden von US-Dollar entzögen.

Als Beispiel für die Bedrohung nennt die UN die Leichtigkeit, mit der Bürger in die Falle von Cyberkriminellen tappen können. Eine geringfügige Abweichung in einer URL bei einer Online-Bestellung reiche aus.

Auch Tech-Unternehmen sind gegen die Übereinkunft. Ein Industrieverband, dem Größen wie Meta und Dell angehören, sagte die Teilnahme an der Zeremonie ab. Er bemängelte, dass die Konvention den Staaten die Befugnis gebe, „bei fast jeder Straftat ihrer Wahl“ zusammenzuarbeiten. Für zusätzliche Kritik sorgte der Ort der Unterzeichnung. Human Rights Watch beanstandete, dass die vietnamesischen Behörden gezielt die Meinungsfreiheit im Internet unterdrückten.

(nie)

Nach dem Erscheinen der komplett neu geschriebenen Version 4 unseres Backup-Skripts erreichten uns viele Fragen dazu: Gibt es Ausnahmelisten? Lassen sich Dateien aus einer Sicherung einzeln wiederherstellen? Warum wird der USB-Datenträger genau so eingerichtet und nicht anders? Was ist mit Windows on ARM? Lässt sich das Skript erweitern? Hier finden Sie die wichtigsten Antworten.

Erste und zweite Hilfe

Mir ist bei c’t-WIMage etwas unklar geblieben. Wo finde ich Hilfe?

Die erste Anlaufstelle ist stets die Projekt-Website ct.de/wimage. Dort finden Sie nicht nur das Skript selbst, sondern auch alle von c’t veröffentlichten Artikel dazu. Falls es etwas Neues zu berichten gibt (aktualisierte Version, neue Anleitung veröffentlicht, Bug gefunden …), lesen Sie es dort zuerst. Falls Ihnen der korrekte Link zur Projektseite gerade nicht einfällt, reicht es übrigens, kurzerhand mal das Setup- oder das Sicherungsskript aufzurufen. Die Begrüßungsdialoge enthalten den Link, Sie brauchen nur draufzuklicken.

Das war die Leseprobe unseres heise-Plus-Artikels „Windows sichern mit c’t-WIMage 4: Tipps & Tricks zu unserem Backup-Skript“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Die Ausgangssituation ist komplex: Während die aktuelle Chipkrise rund um Nexperia die Medizingerätehersteller zumindest nicht kurzfristig zu treffen scheint, wird auch diese Branche erneut an ihre Abhängigkeit erinnert. Vor allem ein Hardwareaspekt macht dem Bundesverband Medizintechnik (BVMed) sorgen: Sollte es erneut zu einer Chipmangelsituation kommen, brauche es „mehr Transparenz“ bei der Verteilung der verfügbaren Chips: „In Deutschland wäre beispielsweise eine Absprache zwischen dem Bundesgesundheitsministerium und dem Bundeswirtschaftsministerium vorstellbar, um vorrangigen Zuteilung von Halbleitern an den Gesundheitsbereich zu erreichen“, schildert BVMed-Sprecher Manfred Beeres die Vorstellungen seines Verbandes. Nur ein Aspekt, der auf dem Weg zu mehr digitaler Souveränität von Nicht-EU-Staaten bedacht werden will – angesichts der derzeitigen Auseinandersetzungen zwischen China und den USA und der EU allerdings kein einfacher.

Während die EU bei einem chinesisch-amerikanischen Handelskrieg nur zuschauen kann, hat die Nexperia-Episode die enge Lieferkettenverflechtung zwischen Firmen in der EU und der Volksrepublik noch einmal ins Bewusstsein gerufen. Ein Problem dabei: Medizintechnik zählt zu Europas wichtigsten Exportschlagern – auch in die USA. Damit gerät die EU in eine doppelte Abhängigkeit: von Chips und integrierten Komponenten aus China einerseits und von ihrem größten Absatzmarkt jenseits des Atlantiks andererseits.

Darüber hinaus drängen Anbieter aus den USA in den digitalen EU-Gesundheitsmarkt. Angesichts der politischen Wünsche werden hier derzeit neue Abhängigkeiten geschaffen. Und das in einer Zeit, in der diese politisch eigentlich als heikel gelten. Doch vieles bleibt unklar – etwa, wenn es um den Betrieb der elektronischen Patientenakte geht.

„Wenn nach eigenen Aussagen das Bundesministerium für Gesundheit keine Kenntnis über die Verträge zwischen den ePA-Betreiberfirmen IBM und Rise hat, stärkt das nicht das Vertrauen der Ärztinnen und Ärzte“, sagt etwa Silke Lüder, stellvertretende Bundesvorsitzende der Freien Ärzteschaft. Datensicherheitsexperten wie Manuel Atug von der AG Kritis oder der ehemalige Datenschutzbeauftragte Ulrich Kelber sehen das ähnlich. Nachdem sowohl dem Bundesamt für Sicherheit in der Informationstechnik als auch der Bundesbeauftragten für Datenschutz und Informationsfreiheit das Veto-Recht entzogen wurde, kommt es maßgeblich auf das Vertrauen in die Beteiligten an.

Aber ist ein strukturelles Vertrauen in Betreiber in Zeiten von Zero-Trust-Ansätzen noch zeitgemäß? Das Gesundheitsministerium sieht bei der Sicherheit der elektronischen Patientenakte jedenfalls keine Probleme, es seien laut Antwort auf die Kleine Anfrage „umfangreiche technische und organisatorische Sicherheitsmaßnahmen umgesetzt. Die Daten der ePA werden immer verschlüsselt auf Servern in der Bundesrepublik Deutschland gespeichert und können ohne den Schlüssel des Versicherten nicht durch Unbefugte gelesen werden“.

Eine Sprecherin des Bundesgesundheitsministeriums erklärt auf Nachfrage von heise online: Die „Schlüssel für den Zugriff auf die ePA eines Versicherten liegen in einem Hardware Security Module (HSM) bzw. in der virtuellen Ausführungsumgebung (VAU) beim Betreiber der ePA“ in einer sicheren Umgebung. Hierin habe „nur die Software selbst Zugriff, der Betreiber jedoch nicht“.

Jede Menge lose Enden

Insbesondere im Zusammenwirken der vielen unterschiedlichen Abhängigkeiten im Gesundheitssystem und dem forcierten Ineinandergreifen der Systeme könnten neue Probleme entstehen. Denn eigentlich sollen nicht nur die Abrechnungsdaten der Krankenkassen, Daten aus Praxisverwaltungssystemen und aus der ePA der gesetzlich Versicherten miteinander verknüpft werden können, sondern auch die Daten aus Krankenhausinformationssystemen stärker einbezogen werden.

Nach dem Aus für SAPs Krankenhaussoftware konkurrieren die übrigen Wettbewerber um Marktanteile, auch US-Unternehmen mischen mit. Das sorgt für Bewegung in einem profitablen, von Übernahmen und neuen und allen EU-Anbietern wie Avelios, Dedalus, CGM und Meierhofer geprägten Markt. Für die finanziell oft angeschlagenen deutschen Kliniken kommt die ePA-Einführung mitten in einer ohnehin schon schwierigen Zeit. Bisher konnte etwa die Hälfte der Krankenhäuser die ePA testen.

Es gibt immer wieder große Zweifel, ob bei so vielen verschiedenen Soft- und Hardwarelösungen die Datensicherheit wirklich gewährleistet ist – und ob die Vorgaben der Telematikinfrastruktur dafür überhaupt ausreichen.

Patientenschutz vor Datenfluss

Einen sehr konsequenten Weg beschreitet dabei die Zahnärztin Annette Apel. „Wir arbeiten viel manuell“, schildert sie vor wenigen Tagen bei einer Veranstaltung der Interessengemeinschaft Medizin (IG Med) in Berlin. Sie sieht ihre Verweigerungshaltung gegenüber digitaler Übermittlung als Teil ihrer Patientenfürsorge. Selbst bei einer auf den ersten Blick harmlos wirkenden Behandlung würden teils höchstpersönliche Fragen eine Rolle spielen und dokumentiert werden müssen – etwa Ängste oder finanzielle Aspekte, wenn Zuzahlungen nötig sind.

Bei ihr würden etwa Röntgenbilder nicht automatisch digital weitergegeben, schildert Apel. Ihre Praxis sei, soweit es ginge, eben offline. Sie würde konsequent keine Befunde über das Internet übermitteln, und die gesetzlichen Vorschriften würden sie dazu auch nicht verpflichten können. Sie selbst erfahre dafür weniger Kritik, aber ihre Patientinnen und Patienten würden deshalb drangsaliert, wenn sie diesen etwa ausgedruckte Befunde mitgebe. Die ärztliche Schweigepflicht könne hochgehalten werden, wenn die digitalen Möglichkeiten so genutzt würden, dass die Ärztinnen und Ärzte diese selbst sichern würden, so Apel.

Die Kosten, die sie durch die Sanktionen aufgrund des fehlenden Anschlusses an die Telematikinfrastruktur habe, seien geringer als die mit der TI verbundenen Kosten und nötigen Doppelstrukturen. Solche Abwägungen dürfen jedoch nicht dazu führen, dass die Digitalisierung des Gesundheitswesens scheitert und Patienten weiterhin auf ausgedruckte Dokumente angewiesen sind.

Die zahlreichen offenen Fragen zu Verantwortlichkeiten, Versorgungssicherheit und tatsächlicher digitaler Souveränität zeigen: Es fehlt eine klare politische Linie, wie tiefgreifend und in welcher Richtung die Digitalisierung des Gesundheitswesens gesteuert werden soll. Spätestens hier rückt die nationale Digitalstrategie in den Blick – und deren Aktualisierung ist längst überfällig.

Digitalisierungsstrategie: Update dringend benötigt

Für das bereits angekündigte Update der Digitalisierungsstrategie durch Bundesgesundheitsministerin Nina Warken (CDU) drängt sich ein weiterer Aspekt auf: Klarheit zu schaffen, inwieweit bei der Digitalisierung auch ein stärkerer Fokus auf EU-Lösungen gelegt werden soll. Erst im Juni hatte die EU-Kommission beschlossen, dass chinesische Anbieter von Medizinprodukten bei öffentlichen Aufträgen oberhalb von 5 Millionen Euro Beschaffungswert ausgeschlossen werden – einer reziproken Entscheidung, nachdem China seinen Markt strategisch abgeschottet hat. Derartige Maßnahmen wären im Zuge weiterer Handelsauseinandersetzungen durchaus denkbar – in alle Himmelsrichtungen.

Nur was das für die Verfügbarkeiten im deutschen Gesundheitssystem bedeutet, ist derweil unklar. Dass Teilausfälle der Telematikinfrastruktur für E-Rezept und Elektronische Patientenakte zeitlich fast deckungsgleich mit dem Amazon-Ausfall zu verzeichnen waren, könnte dafür ein Warnschuss sein.

(mack)