15. Nov 2019

Patientendaten unzureichend geschützt

Nach einem dem NDR und der Süddeutschen Zeitung vorliegenden vertraulichen Papier der Gesellschaft Gematik, bestehen in 90% der an die Telematikinfrastruktur (TI) angeschlossenen Praxen Sicherheitsrisiken in der IT-Infrastruktur.

IT-Techniker Jens Ernst betreut selbst viele Arztpraxen und sagt aus eigener Erfahrung, dass viele Praxen mittels Parallelbetrieb an die TI angeschlossen werden, ohne dass ein ausreichender Schutz gegen Angriffe von außen besteht. Denn in diesem Fall sei der Konnektor keine Sicherheitskomponente, sondern nur eine zusätzliche angreifbare Komponente.

Deshalb ist unsere dringende Empfehlung, nicht nur bei unzureichend geschützten Systemen den Anschluss der Konnektoren ausschließlich im Reihenbetrieb durchzuführen. Denn auch bei nach dem Stand der Technik geschützten Systemen bietet der Reihenbetrieb eine zusätzliche Schicht an Sicherheit. Ausgenommen sind verschiedenen Szenarien in denen der Reihenbetrieb nicht umsetzbar oder nicht effizient. Das kann etwa in einer sehr großen Praxis oder Klinik der Fall sein.

Als Gründe für die aktuellen Sicherheitsprobleme nennt Ernst die pauschale Entlohnung pro Anschluss der IT-Dienstleister, die mangelhaften Schulungen und die fehlende, damals angedachte, dann verworfene (TI-Anschluss-)Zertifizierung der Dienstleister.

Der überwiegende Teil der Praxen wurde im sog. Parallelbetrieb (siehe Abb. 1) an das Netz angeschlossen. Hierbei wird der TI-Konnektor parallel zu den restlichen Komponenten an den Router der Praxis angeschlossen. Diese Art des Anschlusses setzt voraus, dass die IT-Infrastruktur schon mittels Firewall und anderen Vorkehrungen gegen den Zugriff von außen abgesichert ist. Der Konnektor bietet hier selbst keine Schutzmaßnahmen.

 Abb.1. Quelle: KBV - TI Installationsvarianten

Es gibt aber noch eine weitere Art, den Konnektor anzuschließen, nämlich den sog. Reihenbetrieb (siehe Abb. 2). Hierbei wird der Konnektor auch an den Router angeschlossen, jedoch werden weitere Komponenten, wie z.B. das Praxisverwaltungssystem (PVS) oder die Kartenterminals nicht wie beim Parallelbetrieb direkt an den Router angeschlossen, sondern sie werden an den Konnektor angeschlossen. Wird diese Form des Anschlusses gewählt, fungiert der Konnektor selbst als Firewall und schützt die angeschlossenen Komponenten vor dem Zugriff von außen. Hier sei jedoch auch erwähnt, dass nur die Konnektor-Firewall keinen ausreichenden Schutz bietet und weitere Vorkehrungen getroffen werden müssen. Auch bietet diese Umsetzung vorerst keinen Zugriff auf das Internet von den Praxisrechnern aus. Wenn ein Internetzugriff benötigt wird, kann der „Secure Internet Service“ (SIS) dazugebucht werden. Dieser bietet einen sicheren Zugang ins Internet, indem der Datenverkehr nach den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) geprüft wird.

Abb. 2. Quelle: KBV - TI Installationsvarianten 

Von Seiten des Bundesgesundheitsministeriums und der Gematik weist man die Schuld teilweise berechtigt von sich. Der sichere Anschluss an die TI sowie die Sicherheit der Praxis IT-Infrastruktur liege im Verantwortungsbereich der Arztpraxen. Die Konnektoren sind nicht dazu ausgelegt für absolute Sicherheit im gesamten System zu sorgen. Überdies können sie keine bereits bestehenden Sicherheitsmängel ausgleichen. Das ist auch nicht ihre Aufgabe. Eine sichere Anbindung an die TI funktioniert nur, wenn die restliche IT-Infrastruktur der Praxis sicher ist. Besonders mit fortschreitender Digitalisierung und vermehrten Nachrichten über (Daten-)Sicherheitsprobleme im Gesundheitswesen ist die Absicherung der Praxisinfrastruktur nach Vorgaben und technischen Richtlinien von elementarer Bedeutung, um das Vertrauen der Patienten nicht zu verlieren.

Von Seiten des Bundesgesundheitsministeriums wurde dennoch ein Handlungsbedarf erkannt und mit Beschluss des Digitale-Versorgung-Gesetzes soll nun von der Kassenärztlichen Bundesvereinigung in Zusammenarbeit mit dem BSI und dem Bundesdatenschutzbeauftragten eine Richtlinie zur IT-Sicherheit in Arztpraxen bis 31. März 2020 erarbeitet werden. Angesichts der aktuellen Entwicklungen, der Tatsache, dass die Anschlussfrist für die Arztpraxen zu diesem Zeitpunkt bereits seit einem Jahr verstrichen sein wird und es um besonders sensible Gesundheitsdaten geht, erscheint dies als längst überfällig.

Für weitere Informationen zur Datensicherheit in der Arztpraxis und dem sicheren Anschluss an die TI verweisen wir auf die folgenden Inhalte:

  • Das Fachportal der Gematik mit Informationen zum Anschluss medizinischer Einrichtungen: Link
  • Die Empfehlungen zur ärztlichen Schweigepflicht, zum Datenschutz und zur Datenverarbeitung in Arztpraxen von der Kassenärztlichen Bundesvereinigung und der Bundesärztekammer (PDF): Link
  • Die Technische Anlage zu diesen Empfehlungen (PDF): Link
  • Die Datensicherheit Checkliste für Arztpraxen aus unserem Downloadbereich: Link

 

Quellen:

NDR 

SZ 

SZ Interview

KBV

date_range
Datum
15. November 2019
Termin speichern