Politik
IT-Sicherheit der Anschlüsse an Telematikinfrastruktur erneut in der Diskussion
Mittwoch, 13. November 2019
Berlin – Mehr als 90 Prozent der Arzt- und Psychotherapeutenpraxen, die über einen Konnektor an die Telematikinfrastruktur (TI) angeschlossen sind, sollen nicht ausreichend gegen Hackerangriffe geschützt sein. Das haben NDR und Süddeutsche Zeitung in der gestern ausgestrahlten Sendung Panorama berichtet. Grundlage für den Bericht ist ein den Redaktionen vorliegendes internes Papier der Gematik.
Nach dem vertraulichen Papier sind die betroffenen Arztpraxen im sogenannten Parallelbetrieb an die TI angebunden, der zusätzliche Absicherungen durch Firewall und Virenschutz erfordert. Dies sei jedoch nicht ausreichend sichergestellt, entsprechende Schutzfunktionen seien in den meisten Praxen nicht vorhanden, heißt es in den Medienberichten. Die alternative Anschlussmethode, der Reihenbetrieb, sei vielen Praxen von ihren IT-Dienstleistern nicht angeboten worden.
Bereits im Frühjahr waren entsprechende Meldungen über die unsachgemäße Anbindung der Arzt- und Psychotherapeutenpraxen publik geworden. Die Gematik wollte den Berichten nachgehen und klären, ob es sich dabei um Einzelfälle oder ein systematisches Problem handelt. Aus Sicht des Marktführers CompuGroup Medical, der zu dem damaligen Zeitpunkt nach eigenen Angaben mehr als 60.000 TI-Installationen durchgeführt hatte, entbehrten die Berichte damals jeder Grundlage.
Parallelbetrieb hat nichts mit Sicherheitsfragen zu tun
Auf Nachfrage bei der Gematik bestätigte ein Sprecher dem Deutschen Ärzteblatt, dass mehr als 90 Prozent der Praxen im Parallelbetrieb angeschlossen sind. „Von einer Sicherheitsbewertung in diesem Zusammenhang ist jedoch nicht die Rede.“
Reihen- und Parallelbetrieb
Im „Reihenbetrieb“ (seriellen Betrieb) befinden sich alle Komponenten wie Computer und Kartenterminals im selben lokalen Netzwerk und erhalten über den Konnektor Zugang zur TI. Durch die integrierte Firewall des Konnektors und den optionalen sicheren Internetzugang wird das Netzwerk vor Angriffen von außen geschützt.
Im „Parallelbetrieb“ sind alle Komponenten im Praxisnetzwerk hinter der Internetanbindung am Router angeschlossen. Der Konnektor wird „parallel“ zum übrigen Netzwerk angeschlossen und übernimmt somit keine Schutzfunktion. Diese Variante ist dann sinnvoll, wenn Praxen über ein größeres lokales Netzwerk verfügen, das über ausreichende Sicherheitsfunktionen verfügt und beibehalten werden soll. Hierbei fungiert der Konnektor nicht als Firewall im Netzwerk, sondern die Praxis muss – wie vor der TI-Anbindung – entsprechende Schutzmaßnahmen treffen.
Die hohe Anzahl von Praxen mit Parallelbetrieb beruhen ihm zufolge auf einer Erhebung bei den Anbietern der VPN-Zugangsdienste, die in der Regel den TI-Zugang als Gesamtpaket mit Installation, Konnektor, Kartenterminal etc. verkaufen. Der Grund für den überwiegenden Parallelbetrieb in den Praxen sei darauf zurückzuführen, dass er gegenüber dem Reihenbetrieb die technisch weniger aufwändige, leichter zu realisierende Installation ist.
„Der Konnektor bringt keine zusätzlichen Sicherheitsrisiken in die Praxen hinein. Die Argumentation, 90 Prozent der Praxen sind nicht sicher, weil der Konnektor parallel installiert ist, ist daher unzutreffend“, betonte der Sprecher gegenüber dem Deutschen Ärzteblatt.
Das Vertrauen der Ärzte in den Konnektor dürfe nicht dadurch infrage gestellt werden, weil dem Konnektor eine mangelhafte Praxisinstallation oder unbedachte Internetnutzung in irgendeiner Form angelastet würde. „Der Konnektor ist die sicherste Komponente in der gesamten Praxis.“
Praxis verantwortlich für eigene IT-Sicherheit
Die Gematik hatte nach den Diskussionen im Frühjahr für die TI-Anbindung klare technische Vorgaben zu Parallel- und Reihenbetrieb veröffentlicht. Sie beinhaltet unter anderem die Empfehlung, dass für einen Arzt, der zuvor ohne Internetanschluss in seiner Praxis gearbeitet hat und der sich nur deswegen anschließt, weil er in die TI will, die serielle Installation das Mittel der Wahl ist. Dabei spart die Praxis die übliche Firewall beim Internetzugang, weil der Konnektor diese Hardware-Firewall ersetzt.
Mit dieser Lösung können aber auch Nachteile verbunden sein. So weist etwa das Softwarehaus Duria darauf hin, dass mit dieser Variante, zumindest in der kostenfreien Version, eine volumenmäßige Begrenzung für Down- und Uploads verbunden sein kann und bestimmte Dienste unter Umständen nicht oder nur eingeschränkt zur Verfügung stehen können. Auch das könnte zu einer geringeren Inanspruchnahme dieser Lösung geführt haben.
Deutsches Ärzteblatt print
aerzteblatt.de
- Thomas Kriedel zur IT-Sicherheit
- Telematikinfrastruktur: T-Systems dementiert Rückzug aus Konnektorgeschäft
- Telematikinfrastruktur. gematik sieht bei sich keine Verantwortung für Anbindung der Praxen
- Reaktionen TI
- Telematikinfrastruktur: Software-Update soll Konnektor fit machen
- IT-Sicherheit: KV-Rheinland-Pfalz will finanzielle Hilfen für Praxen
- Konnektor von T-Systems: c´t-Magazin sieht Hinweise auf Sicherheitslücken
- Compugroup will stabile Dividende zahlen
Die Überprüfung der korrekten Installation durch die IT-Dienstleister der Praxen fällt indes nicht in den Zuständigkeitsbereich der Gematik. In einer heute veröffentlichten Stellungnahme der TI-Betriebsgesellschaft heißt es: „Gelangt Schadsoftware wie Viren und Trojaner in das IT-System einer Arztpraxis, wird das nicht durch einen parallel installierten Konnektor verursacht, sondern durch mangelhafte Sicherheitsvorkehrungen der Praxis-IT kombiniert mit einer möglicherweise unbedachten Internetnutzung.“
Die Verantwortung für die Sicherheit der Praxis-IT liegt daher aus ihrer Sicht beim Arzt – unabhängig von einer Reihen- oder Parallelinstallation. „Das größte Einfallstor für dortige Sicherheitsrisiken ist eine unsichere Internetnutzung kombiniert mit Rechnern, deren Software nicht auf dem aktuellen Stand ist. Kommt der Arzt dieser Verantwortung nicht oder nur unzureichend nach, verstößt er gegen geltendes Recht, zum Beispiel die Datenschutz-Grundverordnung“, so die Gematik.
Hotline der Kassenärztlichen Bundesvereinigung
Die KBV will angesichts der Berichte ab dem kommenden Freitag (15. November), 8 Uhr eine Hotline für Ärzte und Psychotherapeuten freischalten. Der Service ist unter der Rufnummer: 030 – 4005 / 2000 oder per E-Mail unter it-security@kbv.de zu erreichen.
- Servicezeiten: montags bis donnerstags 8 bis 18 Uhr, freitags 8 bis 17 Uhr
- Die Kontaktdaten und Fragen der Anrufer werden aufgenommen. Es erfolgt ein fachlicher Rückruf spätestens am Morgen des Folgetages.
Protokoll kann Aufschluss über Installation geben
„Die Aussage, dass 90 Prozent der an die TI angeschlossenen Praxen unsicher seien, halte ich für falsch“, meinte auch Roland Stahl, Sprecher der Kassenärztlichen Bundesvereinigung (KBV). Gemeint sei wohl, dass 90 Prozent der Praxen im Parallelbetrieb als eine der möglichen Anbindungsvarianten im Rahmen der TI-Infrastruktur laufen würden.
Wer einen zusätzlichen Anschluss ins Internet außerhalb der TI habe, müsse diesen wie bisher auch sichern. „Wir erwarten natürlich, dass die Installationstechniker die Vorgaben der Gematik im Rahmen des Anschlusses der Praxen einhalten. Idealerweise wird ein Protokoll erstellt, mindestens aber der Arzt vom Techniker genau informiert, was er genau macht.“ Versäumnisse etwa durch IT-Dienstleister werde die KBV konsequent und transparent aufarbeiten.
Richtlinie zur IT-Sicherheit kommt
Auch aus Sicht des Bundesgesundheitsministeriums (BMG) ist das IT-Netzwerk in den Praxen nicht Teil der TI und die sichere Installation daher Aufgabe der Praxen zusammen mit den von ihnen beauftragten Dienstleistern.
Aufgrund der wachsenden Bedeutung der IT-Sicherheit auch im ambulanten Sektor hat das BMG jedoch im Digitale-Versorgung-Gesetz die KBV und die Kassenzahnärztliche Bundesvereinigung damit beauftragt, die IT-Sicherheitsanforderungen für Arzt- und Zahnarztpraxen verbindlich in einer Richtlinie bis zum 31. März 2020 festzulegen. © KBr/aerzteblatt.de
Nachrichten zum Thema
Kommentare
Die Kommentarfunktion steht zur Zeit nicht zur Verfügung.