Telematik und die Konnektoren – was ist denn nun die Wahrheit?

Mit Bedrohungen wird der Anschluss an die Telematik-Infrastruktur für alle Praxen vorangetrieben. Gleichzeitig sind Fragen der Datensicherheit und der Haftung ungeklärt oder umstritten. Zu dieser geradezu ideologisch geführten Debatte ist aktuell ein hoch interessanter Beitrag beim Ärztenachrichtendienst (änd) erschienen, den wir Ihnen nicht vorenthalten möchten. Wir danken dem änd für seine freundliche Genehmigung.

“Die Ärzte müssen jetzt den Hintern hochkriegen”

Manchmal zahlt sich Beharrlichkeit aus: Der Systemadministrator Jens Ernst hatte mehrfach öffentlich davor gewarnt, dass die Telematik-Konnektoren in vielen Arztpraxen unsachgemäß installiert worden seien. Nun hatte Ernst einen Termin im Bundesgesundheitsministerium. Ernst trug seine Bedenken in der vergangenen Woche im BMG vor.

60 Minuten haben die Mitarbeiter des Ministeriums für das Gespräch mit dem IT-Experten in der vergangenen Woche angesetzt – Mitarbeiter der Betreibergesellschaft Telematik waren ebenfalls zugeschaltet. Ernst zieht nach der Diskussion ein gemischtes Fazit. In vielen Punkten habe man pflichtbewusst das Mantra vorgetragen, man nehme den Datenschutz natürlich sehr ernst. „Bei anderen Informationen hat man aber auch sehr eifrig mitgeschrieben und Prüfung zugesichert“, so der Systemadministrator gegenüber dem änd. „Es ist nicht bestritten worden, dass wir ein großes Problem bei der Installation der TI haben. Man hat zwar nichts zugegeben – aber allein die Tatsache, dass nicht ein von mir angebrachter Fakt bestritten oder bezweifelt wurde, spricht für sich“, betont Ernst.

Positiv sei, dass laut BMG und gematik die IP-Adressen und Ports aller Anbieter für Telematikdienste, welche für einen ordnungsgemäßen Betrieb einer Hardwarefirewall nötig sind, in Kürze auf der Internetseite der gematik veröffentlicht werden. „Alle ITler können diese Daten dann nutzen, um die Firewallregeln ordentlich, also BSI-konform zu konfigurieren. Das wurde uns versprochen. Das ist für uns auf jeden Fall ein großer Erfolg. Seit März fordern wir die Daten ein.“

Dienstleister müssen gemäß Zertifizierung anschließen

Positiv merkt Ernst ebenfalls an, dass das Ministerium mit ihm soweit d’accord sei, dass Dienstleister die TI verpflichtend gemäß der Zertifizierung aufbauen müssen. „Jeder andere Aufbau ist nicht zulässig und muss von den Unternehmen sofort und unverzüglich auf eigene Kosten nachgebessert werden. Alle Ärzte, welche einen parallelen Anschluss ohne Hardwarefirewall haben, müssen sich also unverzüglich bei Ihrem Dienstleister melden und ihn per Frist auffordern nachzubessern“, so Ernst. Entweder müsse eine Hardware Firewall nachgerüstet oder der Anschluss auf seriell ohne SIS umgerüstet werden. „Neu ist dabei Folgendes: Wenn die Praxis seriell angeschlossen und der SIS geschaltet wurde – jedoch keine Hardwarefirewall in der Praxis ist – muss der SIS abgeschaltet oder eine Firewall nachgerüstet werden!“

Jeder Arzt könne einfach die Zeile http://portquiz.net:449/ in seinen Browser eingeben. „Bekommt er eine Ergebnisseite angezeigt, so ist er nicht BSI konform und damit nicht sicher angeschlossen und haftet für Datenverlust!“ Der serielle Anschluss mit SIS sei bisher als sicher eingestuft gewesen. Tests hätten aber gezeigt, dass auch der SIS ohne Hardwarefirewall und Antivirenschutz auf allen im Praxisnetz befindlichen Systemen (Röntgen, Sono etc.) nicht betrieben werden dürfe. „Das BSI versicherte auf Anfrage schriftlich, den SIS nicht zertifiziert zu haben. Der Anti-Virenschutz ist bei dem SIS nicht ausreichend und der SIS führt ausgehend keine Kommunikationskontrolle durch! Die Abschaltung des SIS kann aber durch die Unternehmen ohne größeren Aufwand durchgeführt werden. Dabei wird im Konnektor lediglich der VPN zum SIS abgeschaltet.“

Ärzte müssen den Hintern hochkriegen

Ernst hofft, dass die Sicherheitsprobleme beim Anschluss diverser Praxen öffentlich Thema bleiben. Mails von zahlreichen Betroffenen – die es ohne Zweifel gebe – an die gematik könnten Ausmaß des Problems dort verdeutlichen. „Dafür müssen die Ärzte aber jetzt den Hintern hochkriegen. Solch eine Mail an betrieb@gematik.de zu schreiben, dauert eine Minute. Bisher hat das wohl keiner getan, denn es wird noch immer von ‚Einzelfällen‘ gesprochen.“

Werde ein Arzt gehackt müsse er bei einem nicht zertifizierten Aufbau dafür voll haften. Dem stimme sowohl das BMG als auch die gematik zu. „Darum ist bei der Nachbesserung Eile geboten. Wenn ein Arzt das Risiko nicht tragen will, bleibt ihm nur den Internetstecker aus dem Router zu ziehen, bis die Nachbesserung erfolgt ist. Das System funktioniert auch ohne Internetstecker im Router weiter.“

Ernst sieht ein noch zu träges Verhalten der Ärzteschaft: „Die Inhaber der Praxen haben offenbar noch nicht begriffen, dass sie zu 100% haften, wenn beim Anschluss der TI ein Fehler gemacht wurde. Die gematik haftet – wie sie selbst sagt – nur mit, wenn bestimmungsgemäß aufgebaut wurde. Schon das Abschalten des Störrauschens am Kartenlesegerät während der PIN Eingabe führt zu einem nicht bestimmungsgemäßen Anschluss an die TI.“ Auch PIN-Eingaben, wie „12345678“ seien nicht zulässig, aber deutschlandweit an der Tagesordnung. Es sei für jeden Arzt durchaus zumutbar, kurz einen Blick auf die Geräte zu werfen und im Notfall eine Mail an die gematik oder den IT-Support zu schreiben. „Wenn zum Beispiel nur ein LAN-Kabel neben dem Stromkabel aus dem Konnektor kommt und keine Hardware-Firewall vorhanden ist, ist kein Schutz gegeben. Dann muss der Arzt auf Nachbesserung bestehen.“

Ärzteschaft hantiert mit hochsensiblen Daten

In den vergangenen Wochen sei ihm mehrfach unterstellt worden, dass er einen persönlichen Feldzug gegen die Telematik-Infrastruktur führe. „Das ist Quatsch und unsachlich. Ich führe einen Feldzug dagegen, dass täglich Patientendaten im Internet verschwinden und Menschen somit nachhaltig geschädigt werden. Wer sich anschließen lässt, muss dies so vornehmen lassen, dass keine Patientendaten verloren gehen können! Wer sich dazu nicht in der Lage sieht, darf sich nicht anschließen lassen.“

Die Ärzteschaft müsse sich immer vor Augen halten, dass sie mit hochsensiblen Daten hantiere. Es werde vielleicht wenig Auswirkungen haben, wenn Daten aus einer Zahnarztpraxis in falsche Hände gerieten. „Wegen schlechter Zähne verliert niemand seinen Job oder wird erpresst. Bei den Daten einer psychologischen Praxis oder Informationen über schwere Krankheiten könnte das dann anders sein. Das kann den Lebenslauf verändern“, warnt Ernst.

Alarmierend seien immer wieder kursierende Meldungen, dass Praxen dazu gedrängt worden seien, eine unsichere Anschlussmethode zu akzeptieren. Ebenso hätten manche Ärzte ausdrücklich einen seriellen Anschluss verlangt und offensichtlich einen parallelen bekommen oder es sei gegen den ausdrücklichen Willen des Arztes ein SIS geschaltet worden – mit der Begründung, die Firma biete nur diesen an oder der Vertrag sei so geschlossen worden. „Das ist nicht statthaft.“, so Ernst. Diese Ärzte sollen sich unverzüglich bei betrieb@gematik.de melden und den Fall beschreiben. „Die entsprechenden Firmen bekommen dann Anweisungen aus dem Ministerium. Da keiner der Fälle der gematik gemeldet wurde, war man dort über diese Praktiken verwundert.“ Dem Bundesdatenschutzbeauftragten habe er entsprechende Fälle mit Namen und Adressen der betroffenen Ärzte gemeldet. Von dort gebe es seit Monaten aber auf keine Mail mehr eine Reaktion.
Es sei nun an den Ärzte zu entscheiden, ob sie sicher oder unsicher angeschlossen werden wollten. „Die Entscheidung liegt beim Arzt. Das wurde mir vom BMG zugesichert. Melden Sie sich also bei ihrem aufbauenden Unternehmen und fordern sie unverzüglich eine Nachbesserung! Ihre Patienten werden es Ihnen danken“, rät Ernst den betroffenen Praxen. Jeder Arzt, der sich nicht um die IT kümmere und einen sicheren Aufbau einfordere, „wird bei einem Datenverlust oder Hackerangriff zu Recht bestraft“.

(Beitrag zuerst erschienen beim änd unter https://www.aend.de/article/198539, 12.08.2019. Unsere Veröffentlichung erfolgt mit freundlicher Genehmigung des änd.)