<p class="leadtext">Telematikinfrastruktur

BMG prüft TI-Sicherheit von Arztpraxen APOTHEKE ADHOC, 14.08.2019 14:42 Uhr

Sicherheit: Das BMG geht jetzt Hinweisen nach, dass Arztpraxen nicht korrekt an die TI der Gematik angeschlossen werden. Foto: CGM
Berlin - 

Das Bundesgesundheitsministerium (BMG) geht jetzt Hinweisen nach, dass die Anschlüsse von Arztpraxen an die Telematikinfrastruktur (TI) nicht gegen Hackerangriffe geschützt sind: Das BMG nehme „Berichte sehr ernst, nach denen die Komponenten der Telematikinfrastruktur bei einigen Leistungserbringern falsch installiert wurden. Dazu befinden wir uns in enger Abstimmung mit der Gematik“, so das Ministerium. Seit dem Frühjahr weist der selbstständige IT-Techniker Jens Ernst aus Nordrhein-Westfalen auf Sicherheitsprobleme bei Konnektoren-Anschlüssen hin. Am 8. August sprach Ernst im BMG vor.

Allerdings sieht das BMG keine Probleme in der TI-Technik. Es lägen auch eine Erkenntnisse vor, „dass Leistungserbringer nach dem Anschluss an die Telematikinfrastruktur (TI) von einem Cyberangriff betroffen waren“, so das BMG. Erfolge die Installation der Komponenten der TI korrekt und nach den Vorgaben der Gematik, sei das Praxissystem vor unerlaubten Zugriffen geschützt. Wenn der Internetzugang im Praxissystem aktiviert werde, müssten die normalen Sicherheitsvorkehrungen im Internet wie Firewall, Softwareupdates beachtet werden. Genau hier sieht Ernst das Hauptproblem. Nach seiner Darstellung werden Arztpraxen in vielen Fällen nicht nach den Vorgaben der Gematik angeschlossen.

Auch der Bundesdatenschutzbeauftragte ist informiert: Der Sachstand sei nach wie vor aktuell, so ein Sprecher. Die Frage der datenschutzrechtlichen Verantwortlichkeit für die Konnektoren werde aktuell noch zwischen Bund und Ländern diskutiert. Hier könne es im Lauf des Septembers eventuell eine gemeinsame Positionierung geben.

Seit mehreren Monaten berichten IT-Experten und Praxisinhaber immer wieder von gravierenden Sicherheitsproblemen durch deren Installation – die für Apotheken und Praxen teuer werden können. Zuletzt hatte die FDP-Fraktion die Bundesregierung im Rahmen einer Anfrage mit den Vorwürfen zu konfrontieren: In mehreren Arztpraxen kam es Medienberichten zufolge allerdings bereits zu erheblichen Sicherheitsmängeln. Nach der Installation der einzelnen Komponenten sollen die angeschlossenen EDV-Systeme der betroffenen Praxen plötzlich ohne ihre bisherige Firewall mit dem Internet verbunden gewesen sein. Der oder die Rechner in der Praxis – und das gilt grundsätzlich genauso für die Apotheken, die bis März 2020 angeschlossen sein sollen – sind damit nicht mehr vor Zugriffen von außen geschützt, sensible Daten können dann eingesehen, kopiert oder verändert werden.

 

Tatsächlich hatte der selbstständige IT-Techniker Jens Ernst aus Nordrhein-Westfalen die Sicherheitsprobleme bereits im Frühjahr öffentlich gemacht. „Seitdem bekomme ich regelmäßig, nicht nur aus Bayern, Bilder von Konnektoren, die falsch installiert sind und von abgeschalteten Firewalls“, so Ernst. Laut Ernst können täglich im Darknet auf diese Weise gewonnene Patientendaten gekauft werden – 20 Datenpakete für 300 US-Dollar.

Obwohl die Probleme also seit Monaten bekannt sind, wurden von staatlicher Seite bisher offensichtlich keine Maßnahmen ergriffen. Mit den Vorwürfen konfrontiert, verwies die Gematik lediglich auf andauernde Gespräche mit den Anbietern. Verbindliche Zahlen zu Unsicherheiten lägen der Gesellschaft nicht vor. Die Gematik versichert ebenfalls: Die Konnektoren seien sicher – allenfalls liege das Problem in der Installation. Ernst wiederum zeigt sich empört über die Reaktionen von öffentlicher Seite: „Dass hier alles offen ist, habe ich gezeigt – damit waren die Rahmenbedingungen, den Stecker zu ziehen, gegeben.“ Und der Umfang des Problems lasse sich noch gar nicht seriös abschätzen, die Dunkelziffer sei sehr hoch, da viele Heilberufler die Sicherheitslücke eventuell erst gar nicht bemerkten.

Grund für den Fehler sei vor allem eine unsachgemäße Installation seitens der Dienstleister. Demnach würden Techniker häufig auch in kleineren Praxen den Online-Anschluss für den Parallelbetrieb einrichten, bei der der Konnektor nur eine von vielen Komponenten ist und deshalb nicht mit der integrierten Firewall arbeitet. Die Gematik empfiehlt den Parallelbetrieb deshalb nur für große medizinische Einrichtungen wie Kliniken, „die bereits ein größeres LAN etabliert haben und über entsprechende Sicherheitsfunktionen gemäß dem Bundesamt für Sicherheit in der Informationstechnik verfügen“.