08.06.2023: Hintergründe zum AOK-Hack | Ende von Coronaprojekten | Verordnung von DiGA
Handelsblatt Inside Digital Health: Donnerstag, 08. Juni
Falls Sie unsere E-Mail nicht oder nur teilweise lesen können, klicken Sie bitte hier.
Donnerstag, 08.06.2023
Guten Tag
liebe Leserinnen und Leser,
die AOK konnte eine IT-Sicherheitslücke schließen. Hinweise auf einen Abfluss von Sozialdaten gebe es bislang nicht, heißt es in einer Mitteilung. Hinweise, dass bei Moveit Transfer seit 2017 zahlreiche vergleichbare Schwachstellen aufgetreten sind, dagegen schon. Das zeigt eine öffentliche US-Datenbank, die ich mir genauer angesehen habe.
Mit digitalen Anwendungen haben einige Unternehmen während der Coronapandemie viel Geld verdient. Nun laufen die Projekte aus. Lukas Hoffmann hat einige Vorhaben unter die Lupe genommen.
Digitale Gesundheitsanwendungen werden von Ärzten noch selten verordnet und von Patienten nach einer Verschreibung nur selten tatsächlich genutzt. Zu diesem Ergebnis kommt eine von Maike Telgheder zusammengefasste Umfrage.
Wie gefällt Ihnen Ihr Newsletter? Sagen Sie uns, womit Sie zufrieden sind und wo wir noch besser werden können. Wir nutzen Ihr Feedback, um Ihren Newsletter stetig zu verbessern.
Die AOK hat in der vergangenen Woche eine Sicherheitslücke bekannt gegeben.
Grund war eine Schwachstelle in der Software Moveit Transfer, die auch von der AOK genutzt wird.
Laut einer öffentlichen US-Datenbank sind vergleichbare Sicherheitslücken in der Software bereits seit 2017 bekannt.
Die AOK konnte eine IT-Sicherheitslücke schließen. Der Bundesverband meldete in der vergangenen Woche einen möglichen Abfluss von Sozialdaten. Grund war ein Angriff auf den von den Kassen beauftragten IT-Dienstleister Progress aus den USA.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte am 2. Juni einen generellen Datenabfluss bei der Software Moveit Transfer, mit der die Kassen untereinander Daten austauschen. Hinweise auf einen Abfluss von Sozialdaten bei der AOK habe es nicht gegeben, teilte der Bundesverband bereits mit. Das Ergebnis der IT-Untersuchung wird in Kürze vorliegen. Eine öffentliche US-Datenbank zeigt jedoch, dass die Schwächen von Moveit Transfer nicht unbekannt waren.
Seit 2017 war es immer wieder gelungen, mit ganz ähnlichen Angriffen in die Software einzudringen. In der Datenbank Common Vulnerabilities and Exposures (CVE) finden sich für Moveit Transfer 22 Einträge aus sechs Jahren. Neun davon betreffen eine SQL-Injection, also das Ausnutzen einer Sicherheitslücke, die in der Regel auf einen Fehler im Programmcode zurückzuführen ist.
22 Einträge in der CVE-Datenbank
Auch bei der Sicherheitslücke in Moveit Transfer, von der die AOK betroffen war, handelte es sich um eine SQL-Injection. CVE zeigt weltweite Lücken und Schwächen von Software, die von den jeweiligen Herstellern bestätigt werden. Das Referenzsystem ist ein etablierter Standard und wird vom US-Forschungszentrum FFRDC entwickelt.
Eine SQL-Injection ermöglicht es einem Angreifer, Informationen in einer Datenbank einzusehen, zu kopieren und zu löschen. In verschiedenen Medienberichten wird bei der jüngsten Sicherheitslücke auch von einem Zero-Day-Exploit gesprochen. Das bedeutet, dass es die Schwachstelle schon gab, bevor sie bekannt wurde und ein Patch entwickelt werden konnte.
ITler kritisiert Umgang mit vielen Lücken
Der IT-Sicherheitsforscher Martin Tschirsich sagt, dass der Hersteller von Moveit Transfer bei der Überprüfung seiner Software nachlässig gewesen sein könnte, wenn man sich die CVE-Daten anschaut. „Bei einer so hohen Anzahl ähnlicher Angriffe auf sehr ähnliche Sicherheitslücken über mehrere Jahre hinweg hätte man die gesamte Software überprüfen müssen, anstatt immer nur die einzelnen Sicherheitslücken zu schließen“, erklärt er und fügt hinzu: „Im besten Fall hätte man den Unterbau der Software ausgetauscht“.
Alternative Techniken, die einer SQL-Injection keine Angriffsfläche mehr bieten, gibt es laut Tschirsich genug. Der Hersteller von Moveit Transfer teilte Handelsblatt Inside mit, dass das Unternehmen sich bemühe, Schwachstellen zu identifizieren und offenzulegen.
AOK hat sich auf Verbreitung der Software verlassen
Die AOK bewertet die in CVE dokumentierten Fälle offensichtlich anders als der ITler Tschirsich. Moveit Transfer sei eine „Standardsoftware für den Datenaustausch“, die regelmäßig mit Updates und Patches gepflegt werde. „Die Software wird weltweit in rund 2800 Instanzen zum Datenaustausch eingesetzt und wir hatten bisher keinen Anlass, an der grundsätzlichen Eignung der Software zu zweifeln“, teilte der AOK-Bundesverband mit. Ein Managementsystem zur Informationssicherheit kümmere sich um Lücken und Schwächen aller eingesetzter Software.
BSI empfiehlt präventive Maßnahmen
Geprüft habe das BSI Moveit Transfer bislang nicht. Um einen Branchenstandard handelt es sich dabei also nicht. Das BSI betont gegenüber Handelsblatt Inside, dass es keine hundertprozentige Sicherheit für IT-Netzwerke gebe. „Deswegen gibt es im Rahmen von Informationssicherheitsmanagementsystemen (ISMS) zahlreiche weitere präventive Maßnahmen, um die Auswirkungen von IT-Sicherheitsvorfällen zu begrenzen“, so ein Sprecher der Bundesbehörde.
Das BSI-Gesetz empfiehlt Betreibern kritischer Infrastrukturen wie der AOK grundsätzlich, den „Stand der Technik“ einzuhalten. Das gilt zum Beispiel für Software, die für die „Funktionsfähigkeit“ einer Organisation „maßgeblich“ ist. Im BSI-Grundschutz von 2021 werden zudem Anforderungen an Software mit „erhöhtem Schutzbedarf“ formuliert, die eine SQL-Injection verhindern können.
Vor dem Hintergrund, dass die AOK sensible Daten über Moveit Transfer austauscht, stellen sich nun viele in der Branche die Frage, ob die Kassen nicht früher auf die vielen bekannten Schwachstellen der Software hätten reagieren müssen.
Das gemeinnützige Potsdamer Unternehmen Data4Life hat während der Pandemie verschiedene Datenprojekte durchgeführt.
Nun wurde die Zusammenarbeit mit dem Robert-Koch-Institut beendet, was Entlassungen zur Folge hat.
Andere Coronaprojekte wie die Corona-Warn-App wurden bereits in den „Schlafmodus“ versetzt.
Die Partnerschaft zwischen der Potsdamer Firma Data4Life und dem Robert-Koch-Institut (RKI) ging auf den Wunsch zweier Menschen zurück, etwas gegen das Coronavirus zu unternehmen. Zu Beginn der Pandemie schrieb SAP-Mitgründer Hasso Plattner an den damaligen RKI-Chef Lothar Wieler und fragte an, ob man bei der Auswertung von Gesundheitsdaten zusammenarbeiten wolle. So schilderte Data4Life-Geschäftsführer Christian Weiß Handelsblatt Inside vor eineinhalb Jahren die Hintergründe der Zusammenarbeit zwischen Data4Life und dem Robert-Koch-Institut. Jährlich investiere Plattner über seine Hasso-Plattner-Stiftung einen niedrigen zweistelligen Millionenbetrag in Data4Life, sagte Weiß damals.
Data4Life ist ein gemeinnütziges Unternehmen, das Gesundheitssoftware entwickelt. Die verschiedenen Plattformen von Data4Life sollen es Forschern ermöglichen, Erkenntnisse aus Gesundheitsdaten zu gewinnen. Nun wurde die Zusammenarbeit beendet, wie Handelsblatt Inside erfuhr. In der Folge musste das Potsdamer Unternehmen Personal abbauen. Auch andere Projekte, die im Zuge der Pandemie entstanden sind, sind ausgelaufen.
„Leider musste Anfang Mai die Kooperationmit einem unserer wichtigsten Partner, dem RKI,beendet werden“, schreibt das Unternehmen auf Anfrage. „Das hat zu einer Restrukturierung und damit verbundenen deutlichen Verkleinerung unseres Teams geführt.“ Wie viele der rund 100 Mitarbeiter gehen mussten, die noch im Februar dort angestellt waren, wollte das Unternehmen auf Anfrage nicht mitteilen. Auch zu den Gründen für die Beendigung der Partnerschaft äußerte sich das Unternehmen nicht.
Data4Life hat in den vergangenen Jahren verschiedene Projekte durchgeführt, um die Coronapandemie besser zu bewältigen. Gemeinsam mit dem RKI startete das Unternehmen 2021 die sogenannte MEx-Plattform zur Analyse von (Corona-)Daten. Die Inbetriebnahme der Plattform war für Anfang 2023 geplant. „Der gemeinsam angestrebte Pilot-Prototyp dieses Systems konnte erfolgreich entwickelt werden und entsprechend der Planung auch in den Betrieb gehen“, schreibt das RKI auf Anfrage.
Unklar bleibt, ob die Hasso Plattner Foundation die Potsdamer Firma weiterhin finanziert. Im Jahr 2021 teilte Data4Life-Geschäftsführer Weiß Handelsblatt Inside mit, dass im Oktober 2021 eine Drei-Jahres-Planung abgesegnet worden wäre. Sie liefe entsprechend im Oktober des kommenden Jahres aus. Das Unternehmen wollte sich zu dieser Frage gegenüber Handelsblatt Inside nicht äußern. Der Fokus des Unternehmens liege weiterhin auf Themen wie der Digitalisierung des Gesundheitswesens und der personalisierten Medizin.
Corona-Warn-App im „Schlafmodus“
Andere Projekte, die in der Pandemie begonnen wurden, sind ebenfalls ausgelaufen. Anfang Juni wurde die Corona-Warn-App (CWA) in den Schlafmodus versetzt. Ende März bestätigte das Bundesgesundheitsministerium gegenüber der WirtschaftsWoche Gesamtausgaben von mindestens 223 Millionen Euro, die für die Entwicklung und Wartung der App, der Warnplattform und einer CWA-Telefon-Hotline angefallen seien. Die Verträge mit den Dienstleistern SAP und T-Systems endeten am 31. Mai.
Auch die Luca-App, die unter anderem von der IT-Firma Nexenio entwickelt wurde, wird nicht mehr für die Kontaktnachverfolgung eingesetzt. Mindestens zwölf Bundesländer kauften die App in den ersten Jahren der Pandemie ein. Jetzt hat sie einen anderen Zweck: Sie dient zur Buchung und Bezahlung von Aufenthalten in Bars und Restaurants.
Die Videosprechstunde hatte während der Pandemie einen fulminanten Start, verlor dann aber wieder an Popularität. Lag der Anteil der Ärzte und Psychotherapeuten, die eine Videosprechstunde anboten, im Jahr 2020 noch bei 20,1 Prozent, so sank er im Jahr 2021 auf 18,2 Prozent. Die Daten aus dem ersten Halbjahr 2022 ließen vermuten, dass die Inanspruchnahme weiter sinkt, sagte Dominik von Stillfried, Vorstandsvorsitzender des Zentralinstituts für die kassenärztliche Versorgung, im April bei der Vorstellung der Ergebnisse.
Der erhoffte Gewinn blieb bei einigen Telemedizinern trotz zeitweiser hoher Nutzung aus. Das schwedische Start-up Kry hat sich inzwischen wieder aus Deutschland zurückgezogen, der Telemedizin-Anbieter Zava hat sein Angebot eingeschränkt.
Für Unternehmer könnte sich im Bereich der Telemedizin aber bald etwas zum Positiven ändern. Bundesgesundheitsminister Karl Lauterbach (SPD) will Telekonsile in Kliniken - also die Fernberatung von Arzt zu Arzt - in seiner Krankenhausreform gesetzlich verankern. Und das erste Konzeptpapier zur Digitalstrategie des Bundesgesundheitsministeriums sieht vor, dass die 30-Prozent-Limitierung für telemedizinische Leistungen aufgehoben wird. Derzeit dürfen Ärzte nur 30 Prozent ihrer Leistungen als Videosprechstunde abrechnen.
Bei Apps auf Rezept ist Deutschland Vorreiter. Frankreich führt ein ähnliches Erstattungsmodell ein. Trotzdem fehlt es der DiGA an Bekanntheit, wie eine Umfrage zeigt.
Kennen Sie DiGA? Für die Mehrheit der Menschen in Deutschland sind diese vier Buchstaben kein Begriff, zeigt eine für Handelsblatt Inside erstellt Umfrage des Meinungsforschungsinstituts YouGov. Mehr als 62 Prozent der repräsentativ ausgewählten Umfrageteilnehmer geben an, von DiGA – den digitalen Gesundheitsanwendungen – noch nie gehört zu haben. Die Programme für Smartphones, Tablets und Co. helfen beispielsweise dabei, mit depressiven Stimmungen umzugehen, geben Tipps bei Schmerzen und ermuntern zu einer gesunden Lebensführung.
Seit Herbst 2020 können die sogenannten Apps auf Rezept von den gesetzlichen Krankenkassen erstattet werden. Dafür müssen sie erfolgreich ein Prüfverfahren beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) absolvieren. 47 solcher erstattungsfähigen DiGA sind aktuell im Verzeichnis der Behörde aufgeführt.
Laut YouGov-Umfrage kennen immerhin rund 37 Prozent der insgesamt 607 Befragten die DiGA, rund zehn Prozent haben auch schon eine von ihrem Arzt verordnet bekommen. Genutzt werden die digitalen Medizinprodukte dann aber nur von etwas mehr als der Hälfte dieser Patienten: 5,4 Prozent geben laut YouGov-Umfrage an, die ihnen verschriebene DiGA zu nutzen, rund 4,5 Prozent tun das nicht.
Die Zahlen zeigen, dass die DiGA mehr als zweieinhalb Jahre nach Einführung des Angebots noch nicht wirklich im Patientenalltag angekommen sind. Eine Einschätzung, die auch Zahlen der Gesetzlichen Krankenversicherung stützen. Laut dem aktuellen Bericht des GKV-Spitzenverbandes, der die Statistik bis 30. September 2022 umfasst, wurden in den zwei Jahren seit dem Start rund 164.000 DiGA in Anspruch genommen. Dies entspricht im Berichtszeitraum Leistungsausgaben der GKV für DiGA in Höhe von 55,5 Millionen Euro.
Das ist zwar weit weniger als ein Promille der jährlichen Gesamtausgaben der Gesetzlichen Krankenversicherung, die sich 2022 auf rund 289 Milliarden Euro beliefen. Aber dennoch stehen die DiGA in der Kritik, zu teuer zu sein. Auch weil sie, obwohl verschrieben, von vielen Patienten nicht genutzt werden.
Der Klinikkonzern Sana gründet einen Pool für Patientendaten. Partner ist nach einer europaweiten Ausschreibung die Visus Health IT. Ein Rahmenvertrag, der die Anforderungen des Krankenhauszukunftsgesetzes (KHZG) erfüllt, wurde bereits unterzeichnet. In einem ersten Schritt sollen alle Sana-Kliniken mit der Software JiveX ausgestattet werden. Die Visus-Lösungen basieren nach Unternehmensangaben auf einem europaweiten Standard. Britta Rybicki
Der Innovationsausschuss beim Gemeinsamen Bundesausschuss (G-BA) fördert neun Digital-Health-Projekte im Bereich der Versorgungsforschung. Gefördert werden zwei Projekte aus dem Themenfeld „Digitalisierung und Vernetzung von qualitätsgesichertem Leitlinienwissen sowie Weiterentwicklung der Methodik“ und sieben Projekte aus dem Themenfeld „Voraussetzungen für die Entwicklung und Anforderungen an die Implementierung von eHealth in der Patientenversorgung“. Insgesamt erhielten 35 Versorgungsforschungsprojekte einen Zuschlag durch den G-BA.
Über den Innovationsfonds stellen die gesetzlichen Krankenkassen jährlich 200 Millionen Euro zur Verfügung. Für die Entwicklung neuer Versorgungsformen liegt die Fördersumme pro Projekt zwischen einigen hunderttausend Euro und einem zweistelligen Millionenbetrag. Für die jetzt geförderten Projekte im Bereich der Versorgungsforschung wird maximal ein einstelliger Millionenbetrag ausgegeben. Lukas Hoffmann
Die psychologische Betreuung von Krebspatienten soll zukünftig auch digital erfolgen. Dies sieht die überarbeitete und jetzt erschienene S3-Leitlinie „Psychoonkologische Diagnostik, Beratung und Behandlung von erwachsenen Krebspatient*innen“ vor. Im neuen Kapitel „Psychoonkologische E-Health Interventionen“ werden evidenzbasierte, digitale Anwendungen empfohlen, um die psychische Belastung von Krebspatienten zu vermindern, die Lebensqualität zu verbessern und Angstgefühle zu reduzieren.
Die Aktualisierung der Leitlinie wurde koordiniert von Joachim Weis, Professor für Selbsthilfeforschung am Universitätsklinikum Freiburg, und Anja Mehnert-Theuerkauf, Lehrstuhlinhaberin für Medizinische Psychologie und Soziologie an der Universität Leipzig. Insgesamt waren 59 Fachgesellschaften unter Federführung der Arbeitsgemeinschaft für Psychoonkologie (PSO) an der Erarbeitung beteiligt. Lukas Hoffmann
Die während der Coronapandemie entwickelten digitalen Nachweise für Impfungen oder Genesung sollen Grundlage werden für ein globales Zertifizierungsnetz der Weltgesundheitsorganisation (WHO). Mehr lesen Sie hier.
Ärzteblatt
Mehr elektronische Heilberufsausweise ausgegeben
Bis Ende Mai sind bundesweit 219.805 elektronische Heilberufsausweise (eHBA) ausgegeben worden, so die Bundesärztekammer. Das sind knapp 2.000 mehr als im Vormonat. Das Ausgabetempo zog damit im Vergleich zu den Vormonaten wieder etwas an. Mehr lesen Sie hier.
Business Insider
Probatix erfindet sich nach der Pandemie neu
In der Pandemie wurde das Berliner Startup Probatix zu einem der gefragtesten Softwareanbieter für Testzentren. Jetzt wagen die Gründer einen Neuanfang – mit Bluttests. Mehr lesen Sie hier.
Mednic
Mehr Technologie bei Krankenhausreform
Von einer Krankenhausreform erwarten die Menschen in Deutschland nicht nur eine bessere medizinische Versorgung. Laut einer repräsentativen Umfrage ist ihnen auch eine Verknüpfung mit der ambulanten Nachsorge sowie der Einsatz moderner Technologien und Medizinprodukte wichtig. Mehr lesen Sie hier.
Pocket
Apple Health App fördert psychische Gesundheit
Die Apple Health App bekommt mit iOS 17 ein großes Update, das neue Funktionen für die psychische Gesundheit enthält. Dadurch sollen die Auswirkungen von Angstzuständen und Depressionen gemildert werden können. Mehr lesen Sie hier.
Fierce Healthcare
Mayo Clinic kooperiert mit Google
Die gemeinnützige Mayo Clinic in den USA arbeitet mit Google Cloud zusammen, um Suchtools mit generativer KI zu optimieren. (Englischer Artikel)Mehr lesen Sie hier.
Fügen Sie bitte die E-Mail-Adresse Inside.Digital.Health@redaktion.handelsblatt.com Ihrem Adressbuch oder der Liste sicherer Absender hinzu. Dadurch stellen Sie sicher, dass unsere Mail Sie auch in Zukunft erreicht.
