TI-Sicherheitslücken

E-Rezept: TI-Karten wieder erhältlich – aber nur für Zahnärzte APOTHEKE ADHOC, 15.01.2020 10:46 Uhr

Wieder zu haben – aber nur für Zahnärzte: Die sind nämlich laut Kassenzahnärztlicher Bundesvereinigung (KZBV) von der Sicherheitslücke bei der Gematik nicht betroffen. Foto: Medisign
Berlin - 

Seit der Chaos Computer Club (CCC) Sicherheitslücken bei der Vergabe der Praxis- und Institutionenkarten (SMC-B) ans Licht gebracht hat, hat die Gematik deren Ausgabe eingestellt. Zumindest für Zahnärzte gibt es die Chipkarten jetzt wieder. Entwarnung für andere Heilberufler bedeutet das aber noch nicht, denn: Die Zahnärzte waren von der Sicherheitslücke offenbar gar nicht betroffen.

Gut zwei Wochen, nachdem der CCC und mehrere Medien öffentlich gemacht hatten, dass es Wege gibt, sich unberechtigt Zugang zur Telematikinfrastruktur (TI) zu erschleichen, können zumindest Zahnärzte jetzt wieder Praxiskarten beantragen. Das gab die Kassenzahnärztliche Bundesvereinigung (KZBV) am Mittwoch bekannt. Die zugelassenen SMC-B-Anbieter wurden entsprechend informiert, D-Trust und T-Systems haben die Ausgabeprozesse demnach schon wieder gestartet.

Das heißt allerdings nicht, dass die Sicherheitslücken schon behoben werden. Vielmehr wurde festgestellt, dass lediglich die Zahnärzte nicht betroffen sind. „Hintergrund der zügigen Wiederaufnahme des Ausgabeprozesses waren bestehende besondere Festlegungen im zahnärztlichen Bereich“, so die KZBV. Die Elektronischen Praxisausweise für Zahnarztpraxen sind demnach ausschließlich direkt über die zuständige Kassenzahnärztliche Vereinigung (KZV) im jeweiligen Bundesland erhältlich. Dabei kann – anders als bei anderen Heilberuflern – als Lieferadresse immer nur die Meldeadresse des Zahnarztes oder die bei der zuständigen KZV hinterlegte Adresse der jeweiligen Praxis angegeben werden.

„Die vom CCC aufgezeigte Sicherheitslücke bestand daher bei zahnärztlichen Praxisausweisen zu keinem Zeitpunkt“, so die KZBV. Die Gematik habe das geprüft und nun der Wiederaufnahme der Ausgabe zugestimmt. „Auch wenn im zahnärztlichen Bereich mit deutlich mehr als 90 Prozent die meisten Praxen bereits mit der notwendigen Technik für die Anbindung an die Telematikinfrastruktur ausgestattet sind, ist die KZBV erleichtert, dass die Ausgabe der SMC-Bs so schnell wiederaufgenommen werden konnte“, sagt der stellvertretende Vorsitzende des KZBV-Vorstands, Dr. Karl-Georg Pochhammer. „Denn den Praxen, die immer noch nicht an die TI angebunden sind, droht mit Inkrafttreten des Digitale Versorgung-Gesetzes ab 1. März ein erhöhter Honorarabzug.“

Mit dem Inkrafttreten des Digitale Versorgung-Gesetzes wird die Honorarstrafe für Ärzte, die nach dem Stichtag nicht an die TI angeschlossen sind, von jetzt 1 auf dann 2,5 Prozent angehoben. Einer Auswertung der Frankfurter Allgemeinen Zeitung (FAZ) zufolge haben die Kassenärztlichen Vereinigungen bereits weit über 4 Millionen Euro an Honorarstrafen verhängt. Besonders in Hessen und Baden-Württemberg ist die Lage drastisch: Dort war der Auswertung zufolge noch im November beinahe jede dritte Praxis noch nicht an die TI angeschlossen.

Kurz nach Weihnachten machte der CCC öffentlich, dass es seinen Aktivisten gelungen war, eine Gesundheitskarte, einen HBA und eine SMC-B zu beschaffen, die ihnen nicht zustanden. Dazu mussten sie weder einen Computer hacken, noch eine Verschlüsselung knacken, sondern lediglich das Identifikationsverfahren austricksen. Gleichzeitig hat der CCC ein Datenleck bei Kartenanbieter Medisign aufgedeckt: Demnach sollen allein an einem Tag im Oktober die persönlichen Daten von 168 Ärzten, die in den zwei davorliegenden Wochen einen Antrag auf eine SMC-B-Karte gestellt haben, frei im Internet zugänglich gewesen sein. Mit diesen Daten könnten sich Unbefugte die Karten erschleichen.

Die Gematik hat sich zu den Ergebnissen klar geäußert. „Der mangelhafte Schutz der personenbezogenen Daten der Antragsteller ist für die Gematik nicht hinnehmbar“, so das dem Bundesgesundheitsministerium unterstellte Haus. Und auch für Medisign könnte die Sicherheitslücke Konsequenzen haben. Es sei Aufgabe der ausstellenden Organisationen, „dafür zu sorgen, dass die Daten ihrer Heilberufler bei der Beantragung von Heilberufsausweisen sicher sind“. Da das offensichtlich nicht der Fall war, herrscht nun Nachbesserungsbedarf. „Die Gematik wird darüber hinaus den Vorfall zum Anlass nehmen, bei dem Anbieter eine unabhängige Prüfung vorzunehmen.“