TI-Anschluss: Sind 90 Prozent der Arztpraxen von außen angreifbar?

Praxismanagement , Praxis-IT Autor: Anouschka Wasner

Parallel oder seriell? Medi Geno rät Ärzten, ihren IT-Anschluss darauf zu prüfen und sich vom IT-Dienstleister die ordnungsgemäße Installation bestätigen zu lassen. © iStock/in-future

Zahlreiche Arztpraxen seien aufgrund einer falschen Anschlusstechnik an die Telematik-Infrastruktur nur ungenügend vor Hacker-Angriffen geschützt. Das gehe aus einem Papier der Gematik hervor, berichten Medien. Die Ärzteschaft reagiert gespalten.

Dem vertraulichen Gematik-Papier nach hätten mehr als 90 % der jetzt an die Telematik-Infrastruktur (TI) angeschlossenen Praxen Sicherheitsrisiken in ihrer IT, meldeten der NDR und die Süddeutsche Zeitung vergangene Woche. Denn alle diese Praxen seien „parallel“ angeschlossen worden, ohne die dann erforderliche zusätzliche technische Absicherung der IT.

Wenn IT-ler einfach die Firewall abschalten

Professor Dr. Harald Mathis vom Fraunhofer-Institut für angewandte Informationstechnik spezifizierte diese Berichte gegenüber Handelsblatt Inside Digital Health: Es gehe um Fälle, in denen die installierenden IT-Dienstleister die Firewall abschalten mussten und der Arzt nicht informiert wurde. Das sei nicht akzeptabel: „Ärzte müssen begleitend beraten werden, sie sind keine IT-ler.“

Die Reaktion des Gesundheitsministeriums: Die IT-Netze in den Praxen seien „nicht Teil der Telematik-Infrastruktur“. Die sichere Installation sei Aufgabe der Praxen zusammen mit den von ihnen beauftragten Dienstleistern. Und die Gematik, dessen Mehrheitseigner das Bundesgesundheitsministerium ist, unterstreicht, dass bei richtiger Installation die Daten sogar effektiver als bisher geschützt würden, da der Konnektor neben den Funktionen eines Routers auch eine Firewall habe.

Weiter bestätigte die Gesellschaft zwar, dass mehr als 90 % der Praxen im Parallelbetrieb angeschlossen seien. Dass deswegen 90 % der Praxen nicht sicher seien, sei aber falsch. Gelange Schadsoftware in das System, werde das nicht durch einen parallel installierten Konnektor verursacht, sondern durch mangelhafte Sicherheitsvorkehrungen kombiniert mit einer möglicherweise unbedachten Internetnutzung.

Der Vorstand der Kassenärztlichen Vereinigung Bayerns (KVB) forderte ein sofortiges Handeln des Bundesgesundheitsministers. Es sei Aufgabe der Politik und der Gematik, den Niedergelassenen eindeutige Vorgaben für die sichere TI-Anbindung zu geben. „Es ist verantwortungslos, die Praxen mit dem Problem im Regen stehen zu lassen“, so die KVB.

Patientendaten werden für Anschlussquote geopfert

In diesem Zusammenhang erneuerte die KVB ihre Kritik an der mit Honorarkürzungen verbundenen Zwangsanbindung. Der Schutz der Patientendaten werde der Anschlussquote an die TI geopfert.

Dr. Werner Baumgärtner, Vorstandsvorsitzender von Medi Geno Deutschland, stieß ins gleiche Horn: „Praxisinhaberinnen und -inhaber sind bei der Digitalisierung den Verantwortlichen ausgeliefert. Es ist billig, die Praxen dafür verantwortlich zu machen, dass die Patientendaten nicht sicher in den Arztinformationssystemen liegen.“ Die Konnektoren seien schließlich gesetzlich vorgeschrieben und ihre Technik von der Gematik vorgegeben. Außerdem seien die Installateure nicht zertifiziert und die Konnektoren würden oft aus Zeitgründen parallel ohne Firewall installiert.

Dabei seien die Arztinformationssysteme auch bei einer seriellen Installation nicht sicher, weil der Konnektor wegen unzureichender Schutzprofile nachweislich nicht gegen Angriffe aus der TI geschützt sei. Und es fehlten sowohl einsehbare Pentests wie auch Datenschutzfolgenabschätzung durch die Gematik.

Auch KBV-Vorstandschef Dr. ­Andreas Gassen verwahrte sich dagegen, den Niedergelassenen einseitig die Schuld für angebliche Sicherheitsmängel zuzuweisen: „Es muss dringend eine gesetzliche Regelung geschaffen werden, um zu klären, in welchem Umfang die Gematik für die Sicherheit der TI verantwortlich ist.“

Gassen: „Das ist Unfug und trägt zur Verunsicherung bei“

Gleichzeitig empörte er sich jedoch, dass in den Medienberichten mit Bezug auf das Papier der Gematik der Eindruck vermittelt wurde, dass 90 % der angeschlossenen Praxen Sicherheitsrisiken aufweisen würden. „Das ist einfach Unfug und trägt nur zur Verunsicherung von Ärzten und Patienten bei.“ Bei den 90 % handele es sich offenbar um Praxen, deren Konnektor im Parallelbetrieb installiert wurde – eine der zwei Standard­varianten, die nach Auskunft der Gematik sicher sind.

Die KBV schaltete vergangene Woche eine Info-Hotline frei: Praxen können sich telefonisch über 030-40052000 oder per E-Mail über it-securitykbv.de zu Sicherheitsproblemen informieren. Am ersten Tag seien dort bereits rund 60 Anfragen bei der Hotline eingegangen, meist direkt zu Sicherheitsthemen. Interesse sei also vorhanden – „allerdings bei einem überschaubaren Teil der Praxen“, so ein Sprecher der KBV.

Medical-Tribune-Bericht