ArchivDeutsches Ärzteblatt47/2019IT-Sicherheit: Wirbel um korrekte Installationen

POLITIK

IT-Sicherheit: Wirbel um korrekte Installationen

Dtsch Arztebl 2019; 116(47): A-2167 / B-1773 / C-1733

Krüger-Brand, Heike E.

Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...
LNSLNS

Medienberichte, wonach zahlreiche Arzt- und Psychotherapeutenpraxen beim Anschluss an die Tele­ma­tik­infra­struk­tur nicht ausreichend vor Angriffen aus dem Internet geschützt sein sollen, verunsichern erneut die Praxen. Die Frage der Verantwortlichkeit treibt viele Ärzte um.

Mehr als 90 Prozent der Arzt- und Psychotherapeutenpraxen, die über einen Konnektor an die Tele­ma­tik­infra­struk­tur (TI) angeschlossen sind, sollen nur unzureichend gegen Hackerangriffe geschützt sein. Das haben NDR und Süddeutsche Zeitung unter Bezugnahme auf ein vertrauliches Papier der Gematik berichtet. Danach sind die betroffenen Arztpraxen im sogenannten Parallelbetrieb an die TI angebunden, der zusätzliche Absicherungen durch Firewall und Virenschutz erfordert. Dies sei nicht ausreichend sichergestellt, entsprechende Schutzfunktionen seien zumeist nicht vorhanden, heißt es in den Medienberichten.

Vermischung von Sachverhalten

Anzeige

Bereits im Frühjahr waren entsprechende Meldungen über die unsachgemäße Anbindung der Arzt- und Psychotherapeutenpraxen publik geworden. Die Gematik wollte dem nachgehen und klären, ob es sich dabei um Einzelfälle oder ein systematisches Problem handelt. Aus Sicht der CompuGroup Medical AG, die zum damaligen Zeitpunkt nach eigenen Angaben mehr als 60 000 TI-Installationen durchgeführt hatte, entbehrten die Berichte damals jeder Grundlage. Daran hat sich nichts geändert: „Die aktuelle Berichterstattung setzt eine parallele Installation des Konnektors mit einem unsicheren Zugang der Praxis zur TI gleich. Dies ist falsch“, schreibt sie auf Nachfrage des Deutschen Ärzteblattes. Ein parallel installierter Konnektor ändere nichts am Schutzniveau des bestehenden Internetzugangs.

Bei der Gematik bestätigte ein Sprecher, dass mehr als 90 Prozent der Praxen im Parallelbetrieb angeschlossen sind. „Von einer Sicherheitsbewertung in diesem Zusammenhang ist jedoch nicht die Rede.“ Der Grund für den überwiegenden Parallelbetrieb in den Praxen sei darauf zurückzuführen, dass er gegenüber dem Reihenbetrieb technisch einfacher zu installieren sei. Aber: „Der Konnektor bringt keine zusätzlichen Sicherheitsrisiken in die Praxen hinein. Er ist die sicherste Komponente in der gesamten Praxis“, betonte er.

Die Gematik hatte nach den Diskussionen im Frühjahr für die TI-Anbindung klare technische Vorgaben zu Parallel- und Reihenbetrieb veröffentlicht. Sie beinhaltet unter anderem die Empfehlung, dass für einen Arzt, der zuvor ohne Internetanschluss in seiner Praxis gearbeitet hat, die serielle Installation das Mittel der Wahl ist. Dabei spart die Praxis die übliche Firewall beim Internetzugang, weil der Konnektor diese ersetzt. Mit dieser Lösung können aber auch Nachteile verbunden sein. So weist etwa das Softwarehaus Duria darauf hin, dass damit eine volumenmäßige Begrenzung für Down- und Uploads verbunden sein kann und bestimmte Dienste nur eingeschränkt verfügbar sein können. Auch das mag zu einer geringeren Inanspruchnahme dieser Lösung beigetragen haben.

Die Überprüfung der korrekten Installation durch die IT-Dienstleister der Praxen fällt indes nicht in den Zuständigkeitsbereich der Gematik. Diese sieht, ebenso wie das Bundesministerium für Gesundheit (BMG), die Verantwortung für die IT-Sicherheit in den Praxen bei den Ärzten. In einer Stellungnahme der Gematik heißt es: „Gelangt Schadsoftware wie Viren und Trojaner in das IT-System einer Arztpraxis, wird das nicht durch einen parallel installierten Konnektor verursacht, sondern durch mangelhafte Sicherheitsvorkehrungen der Praxis-IT kombiniert mit einer möglicherweise unbedachten Internetnutzung.“ Jeder Arzt sei im normalen Praxisalltag für die Sicherheit seiner Praxis-IT selbst verantwortlich.

Politik muss Klarheit schaffen

Bei den Ärzten stieß das auf heftige Kritik. So verwahrte sich Dr. med. Andreas Gassen, Vorstandschef der Kassenärztlichen Bundesvereinigung (KBV), dagegen, den Niedergelassenen einseitig die Schuld für angebliche Sicherheitsmängel zuzuweisen. Es sei Aufgabe der Politik, klare Vorgaben für die sichere TI-Anbindung zu machen. „Es muss dringend eine gesetzliche Regelung geschaffen werden, um zu klären, in welchem Umfang die Gematik für die Sicherheit der TI verantwortlich ist“, verlangte er.

Zur Unterstützung der Praxen bei Fragen zum TI-Anschluss hat die KBV kurzfristig eine Hotline eingerichtet (Kasten). Für mehr Klarheit dürfte auch eine Richtlinie zu den IT-Sicherheitsanforderungen für Praxen sorgen, die die KBV im Auftrag des BMG bis zum 30. Juni 2020 erstellen soll. Heike E. Krüger-Brand

KBV-Hotline

Die KBV hat für Ärzte und Psychotherapeuten eine Hotline für Fragen zum korrekten Anschluss an die Tele­ma­tik­infra­struk­tur (TI) eingerichtet. Der Service ist unter der Rufnummer 030 40052000 sowie per E-Mail unter
it-security@kbv.de zu erreichen.

Servicezeiten: montags bis donnerstags 8 bis 18 Uhr, freitags 8 bis 17 Uhr

Die Kontaktdaten und Fragen der Anrufer werden aufgenommen, spätestens am Morgen des Folgetages erfolgt ein fachlicher Rückruf.

Infos gibt es auch auf der KBV-Themenseite zur TI unter www.kbv.de/html/telematikinfrastruktur.php.

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.