Kategorien
Allgemein Security

Ist die TI ein Sicherheitsrisiko?

Wer mich kennt oder mir bei Twitter folgt weiß – ich kritisiere die Art und Weise, mit der die Telematik-Infrastruktur Einzug in die deutschen Arztpraxen gehalten hat. Der Rollout war schlecht vorbereitet, die Techniker in der Anfangszeit mal mehr mal weniger von der Technik und der Bürokratie überfordert. Außerdem hat man wissentlich das Anfangsgeschäft einem Anbieter überlassen, welcher nach meiner Erfahrung mit den Maßnahmen zur Gewinnoptimierung nicht zimperlich ist. Damit die Einführung dann aber auch richtig schief geht, hat man anscheinend sämtliche mit PR oder Marketing vertraute Leute entlassen und die – imho elementar wichtige – Aufklärungs- und Informationsarbeit den Praktikanten (These) machen lassen. Weder hat man Ärzten klar und deutlich kommuniziert, was auf sie technisch und rechtlich zukommt, noch hat man den Praxisbetreuern klare Informationen zur Verfügung gestellt, welche Anpassungen am Praxisnetz vorzunehmen sind. Oder ob überhaupt.

Und trotzdem ist das alles gut?

Das ich Art des Rollouts, bürokratische Herangehensweise und nicht zuletzt die zum Start verfügbaren Features kritisiere, bedeutet aber nicht dass ich Gegner eine Vernetzung wäre. Im Gegenteil. Ich glaube, das Gesundheitswesen in Deutschland ist in den 80ern stehen geblieben. Eine Vernetzung aller Mitspieler ist zum Wohle des Patienten und zur Optimierung der Abläufe unumgänglich! Da Ärzte (hier stellvertretend für alle Mitspieler) dankbare Opfer der Industrie sind wenn es darum geht, heillos überteuerte Artikel an die Frau bzw. Mann zu bringen, halte ich eine staatliche Vorgabe hinsichtlich Netzgestaltung und Sicherheitsniveau für äußerst sinnvoll! Nur so bleibt gewährleistet, dass alle Teilnehmer sich mit den gleichen Voraussetzungen im Netz bewegen. Soll heißen – nur wenn der Staat die Basics vorgibt, kann man eben jene Basics zu einem angemessenen Preis in der Breite ausrollen. Das Geschäft können die Firmen dann mit nicht notwendigen aber vielleicht attraktiven Addons machen. Was mir an dieser Stelle aber auch ziemlich egal sein darf. Denn natürlich hat man es nicht so gemacht, sondern ist den denkbar schlechtesten Weg gegangen, an dessen vorläufigem Ende nun ein nahezu nutzloser, aber absurd teurer Konnektor steht. Und man hat das Vertrauen der Ärzte bzw. aller Leistungserbringer verspielt. Letzteres drückt sich in den, an Verschwörungstheorien grenzenden Storys aus, die in den letzten Wochen vermehrt durch die social Media Bubbles geistern.

Nicht alles was parallel ist, ist auch böse

Irgendwann tauchte in meiner Timeline die Geschichte eines Technikers auf, welcher in einer Praxis (ob diese schon vorher sein Kunde war, ist nicht übermittelt) nach der Installation der TI „katastrophale Sicherheitslücken“ entdeckt hatte. Tatsächlich kann ich mir sogar gut vorstellen, dass ein Techniker eine Offline-Praxis im Rahmen der TI-Installation, mehr oder weniger unfreiwillig ans Internet hängt. Und weil sein Job nun mal ist, die TI funktionstüchtig beim Kunden zu hinterlassen, geht er auch wenn dies der Fall ist. Man kann diese Art der Abgrenzung verurteilen, unterstellt dann aber auch gleichzeitig, die IT in einer Arztpraxis wäre derart einfach, dass jeder beliebige Techniker in 2 Stunden fähig ist, das Konzept umzustellen und gleich auch noch auszurollen. Niemand hat den Ärzten klar und deutlich vermittelt, dass die Anwesenheit (oder wenigstens die “Steuerung” der Installation) eines Praxis-IT-Betreuers quasi unumgänglich ist. Andererseits sind aber nicht wenige, mit dem Rollout beschäftigte Firmen mit der Haltung aufgetreten, dass die Anwesenheit eines Technikers der Praxis absolut überflüssig ist, sofern die Administratorkennwörter vorhanden sind. Man muss kein Experte sein um zu ahnen, wohin diese Konstellation führt. Einerseits die Unwissenheit der Leistungserbringer (Ärzte), was genau da eigentlich kommt und wie es ins eigene Netz zu integrieren ist. Andererseits die finanziellen Interessen der Dienstleister, welche ihren Techniker mitunter absurde Zeitvorgaben gemacht haben (das ist deutlich besser geworden!). Trifft beides aufeinander, kann ich mir sehr gut vorstellen dass es zu Fehlkonfigurationen kommt. Abseits der einfachen, stumpfen Festellung, dass Menschen Fehler machen.

Damit könnte die Geschichte vorbei sein. Alle Beteiligten lernen daraus und machen es in Zukunft besser. Aber selbstverständlich passiert gerade das nicht. Stattdessen wird die Geschichte von der unsicheren TI-Installation dankbar von diversen Stellen aufgegriffen. Und so lese ich irgendwann in einem Artikel, dass vielleicht 90 % der Installationen fehlerhaft sein. Diese Zahl basiert auf der Einschätzung eben jenes Technikers. Ich könnte jetzt argumentieren, dass basierend auf meiner Erfahrung, alle TI-Installationen sicher sein müssen… solche Hinweise auf ordentliche Statistik spare ich mir an der Stelle aber. Wer sowas ernst nimmt, dem ist vielleicht auch nicht zu helfen. Aber schauen wir uns an, was konkret bemängelt wird und was davon tatsächlich so relevant ist, als dass es Rückschlüsse auf die TI und ihr Sicherheitskonzept zulässt.

Das ganze Netz ist im Internet

Habe es bereits oben kurz angeschnitten. Wenn man ein komplettes Offlinenetz nimmt und es physisch an den Plastikrouter des Internetproviders hängt, kann das eine ausgesprochen dämliche Idee sein! Die Wahrscheinlichkeit dass im Laufe der Installation die Rechner online gehen, ist relativ hoch. Voraussetzung dafür (hier kommen jetzt endlich die Buzzwords!) ist die falsche Entscheidung zwischen Reihen- und Parallelbetrieb des Konnektors. Zwei Möglichkeiten hätte der TI Techniker gehabt: Den Konnektor in den Reihenbetrieb versetzen. Dann nimmt er die Position eines Gateways ein – steht also zwischen Praxisnetz und Internet. Hier könnte man jetzt entscheiden, ob Internettraffic via SecureInternetServices (SIS) zum Praxisnetz durchgeleitet wird oder nicht. Wir gehen mal davon aus das nicht. Das Praxisnetz wäre weiterhin offline, der Konnektor hingegen könnte sich mit der TI verbinden und das VSDM wäre problemlos möglich. Für`s Protokoll – man könnte auch den Parallelbetrieb nutzen und durch Manipulation der Netzwerkeinstellungen dafür sorgen das die Maschinen nicht online kommen.

Wir können also festhalten – es gäbe Wege das sauber abzubilden. Jetzt wird aber geschildert, dass die Praxisnetze “offen” am Internet gehangen haben. Wie unsicher ist das also? In allen Fällen dürfen wir voraussetzen, dass das Internet von einem Plastikrouter (Speedport, FritzBox etc.) bereitgestellt wird. Darauf läuft naturgemäß ein NAT. Kurz beschrieben – alle Verbindungen von intern nach extern sind erlaubt. Alle Verbindungen von extern nach intern werden verworfen, sofern sie nicht vorher von intern initiiert wurden bzw. explizit vom Benutzer freigegeben wurden (Portforwarding). Bisher sieht es also in unserem Worst-Case-Szenario wie folgt aus:

  • Konnektor darf sich mit der TI Verbinden (erwünscht)
  • die Praxisrechner dürfen ins Internet (unerwünscht)
  • Ungewollte Zugriffe von extern werden durch den Plastikrouter verworfen (erwünschter Standard)

Ziemlich sicher würden die Rechner anfangen Updates zu laden. Das kann eine Praxis erst einmal mehrere Stunden lahm legen. Bisher ist aber noch kein pauschales Sicherheitsrisiko erkennbar. Natürlich ist das alles nicht sonderlich elegant oder gar professionell. Aber bisher sind keine Patientendaten exponiert! Das kann sich ändern, sobald die Praxis anfängt aktiv zu surfen oder bereits im Vorfeld eine Malware-Infektion stattgefunden hat. Letztere könnte durch die neue Onlineverbindung nun tatsächlich aktiv werden (es soll ja noch aktive Conficker Installationen geben). Oder sie findet erst statt, weil die Mitarbeiter beim surfen Opfer eines Drive-By-Angriffs werden. Oder oder oder. Natürlich muss der Zustand abgestellt werden! Aber die Aussage, die Patientendaten wären durch diese Form der Fehlkonfiguration exponiert, kann ich nicht unterstützen. Was keinesfalls die im Vorfeld gemachten Fehler relativieren soll!

Alles muss deaktiviert werden damit es läuft

Ich habe mehrfach von deaktivierten Softwarefirewalls (in Windows integriert; als “Feature” eines AV-Programms usw.) gelesen. Dies hätten die Techniker machen müssen, damit irgendwelche Verbindungen etabliert werden konnten. Ich könnte es kurz machen und darauf verweisen, dass bei den von mir begleiteten Installationen niemand eine Firewall deaktivieren musste. Aber das wäre ja zu stumpf, also nehmen wir uns die Zeit und schauen uns das im Detail an. Dazu müssen wir kurz identifizieren, welche Komponenten miteinander “sprechen”:

  1. Konnektor mit Kartenleser – erfolgt direkt innerhalb des gleichen Subnetzes (im Normalfall) und tangiert so keine Firewall
  2. PVS / AIS mit Konnektor – hier ist eine Softwarefirewall auf dem Arbeitsplatz betroffen.

Uns interessiert also im wesentlichen Punkt 2. Die Software nimmt Kontakt zum Konnektor auf. Soweit ich weiß, erfolgt kein Verbindungsaufbau vom Konnektor zur Software. Es muss also lediglich eine Verbindung über Port 443 bzw. 80 (TLS bzw. unverschlüsseltes HTTP) vom Computer zum Konnektor eröffnet werden. Das ist etwas, das die Windowsfirewall ohne jedes Zutun erlaubt. Denn es ist letztlich ein vollkommen normaler Webaufruf. Kein Grund also, irgendwas zu deaktivieren!

Aber weil in der IT gerne alles etwas komplizierter sein kann, sind wir hier noch nicht fertig. Denn vielleicht hat der Leistungserbringer in seiner EDV einen AV-Scanner mit TLS-Interception installiert. Oder eine sehr scharf eingestellte (zusätzliche) Softwarefirewall. Oder beides. Hier könnte es notwendig sein, entsprechende Ausnahmen in der jeweiligen Software zu setzen. Ein generelles Deaktivieren ohne Rücksprache mit dem EDV-Betreuer (und / oder dem Leistungserbringer als Verantwortlichem) ist natürlich ein No-Go! Das Definieren von Ausnahmen ist lästig, sollte aber bei der Gefahrenkategorie der Daten (sofern sie abhanden kommen) eine Selbstverständlichkeit sein.

Aus allem was ich bisher dazu gelesen habe, befürchte ich aber etwas sehr viel schlimmeres. Den Technikern war es nicht möglich, das Webinterface des Konnektors aufzurufen. Dieses wird über TLS (https) ausgeliefert und ist mit einem “privaten” Zertifikat signiert. Im Browser führt das zu einer Warnung. Mit dem einen oder anderen Internet-Security-für-die-Psyche-AV-Paket ist ein Aufruf vermutlich gar nicht möglich. Die Firewall wird dann deaktiviert und bleibt es auch. Möglicherweise wäre also die Kommunikation PVS / AIS zu Konnektor überhaupt nicht betroffen gewesen (weil nur ein Browser-PlugIn angesprungen ist und keine TLS-Interception läuft). Trotzdem ist die Softwarefirewall deaktiviert. Grober Fehler!
Und damit sind jetzt alle Patientendaten offen im Internet erreichbar? Nein. Es muss schon viel Blödsinn / Inkompetenz zusammenkommen, damit das passiert. Selbst mit deaktivierter Softwarefirewall wäre ein Zugriff von extern „nicht“ möglich da er am NAT des Plasikrouters scheitern würde. Und selbst ein Innentäter würde die Deaktivierung der Softwarefirewall nicht mal merken, denn Zugriff auf SMB-Freigaben muss ja per definitionem immer gegeben sein. Daten hätte ich also auch vorher abziehen können – vorausgesetzt ich hätte die entsprechenden Berechtigungen (zum lesen z.B.) dafür. Wir sehen also – auch durch Deaktivierung der Softwarefirewall auf einem Arbeitsplatz, sind die Patientendaten nicht automatisch exponiert! Ich bin aber durchaus der Meinung, dass die Windowsfirewall aktiv sein sollte. Aber eher zum Schutz vor automatisierten Malware-Angriffen als denn zum Schutz vor Datendiebstahl. Dazu taugt eine solche Firewall nämlich im geschilderten Beispiel eh nicht. Schaltet die also jemand ab um seine TI ins Rennen zu kriegen, stellt er damit im wesentlichen die eigene Inkompetenz und Mißmanagement seitens der Praxis-IT unter Beweis.

Aber den AV-Scanner wird man doch wohl abschalten dürfen?

Ich erlebe es fast täglich, dass Hotlinemitarbeiter den AV-Scanner deaktivieren möchten um Probleme von Software auszuschließen. Das liegt einerseits sicherlich an fehlendem technischen Verständnis für die Zusammenhänge (in wie fern ist ein AV-Scanner eigentlich bei dem Problem relevant) als auch an der schlichten Unkenntnis darüber, ob zum AV-Scanner nicht vielleicht auch eine Softwarefirewall gehört (Internet-Security Pakete). Es wird einfach deaktiviert in der Hoffnung, dass so das Problem verschwindet und man die weitere Ursachenforschung jemand anderem (dem EDV-Betreuer der den AV-Scanner angeschleppt hat) überlassen kann. Jetzt kann man von AV-Scanner halten was man will (ich sehe sie meistens sehr kritisch) – sie bei einem Leistungserbringer im Gesundheitswesen zu deaktiveren ist aber schlicht dämlich. Vermutlich schon immer, sind sie Bestandteil des BSI-Grundschutzkataloges. Sie abzuschalten senkt das Schutzniveau des Netzwerks vermutlich erheblich. Und es bringt den Verantwortlichen in eine eher unangenehme rechtliche Position. Und es ist komplett unnötig! Die AV-Komponente hat keinen Einfluss auf die Funktion irgendwelcher TI Komponenten! Möglicherweise die angeschlossene Firewall. Aber dann sind wir wieder beim vorhergehenden Kapitel. Trotzdem muss auch hier die Frage gestellt werden, inwieweit deswegen Patientendaten direkt oder indirekt exponiert sind? Und auch hier bleibt die Antwort: gar nicht. Nur weil der AV-Scanner deaktiviert ist, sind dadurch keine Daten von extern einsehbar. Es erhöht aber die Wahrscheinlichkeit, dass die Daten eher früher als später “verloren” gehen, weil man sich z.B. Ransomware eingefangen hat.

Okay… aber wenigstens die SIS sind mangelhaft

Das letzte was ich zum Thema gelesen habe waren Tests in Praxen, deren Netz im Reihenbetrieb läuft (Konnektor als Gateway zum Internet, das Praxisnetz dahinter) und in denen Internetzugriff über die Secure Internet Services aktiviert war. Jetzt muss man wissen: Die SIS sind meist ein aufpreispflichtiges Extra. Und dank begrenztem Volumen und vermutlich deutlich reduzierter Bandbreite, nicht sehr attraktiv für die meisten Leistungserbringer. Aber die eine oder andere Praxis scheint sie gebucht zu haben. Damit sollte ein “sicheres” surfen möglich sein. Dies wird über Systeme beim Provider realisiert, welche den Empfehlungen des BSI für Sicherheitsgateways entsprechen. Kisten also, die einerseits anhand von Blacklists Seitenaufrufe generell blockieren. Andererseits nur Datenverkehr auf bestimmten Ports zulassen (weshalb VoIP über die SIS nicht funktioniert). Ob es einen AV-Scan gibt, konnte ich nicht recherchieren. Ein Scan des gesamten unverschlüsselten Datenstroms ist ab einer gewissen Menge Traffic, ein ziemlicher Aufwand. Die entsprechende Hardware teuer in Anschaffung und Unterhalt (Lizenzen etc.). Außerdem würde die sogenannte Deep Packet Inspection – das Betrachten des tatsächlichen Paketinhaltes – datenschutzrechtliche Fragen aufwerfen. Noch schlimmer werden beide Probleme, wenn man Providerseitig in verschlüsselte Verbindungen schauen würde (TLS-Interception). Ich stelle jetzt also die These auf, dass der Leistungsumfang der SIS nie eine aktive Malware-Detektion beinhaltet hat. Wenn dazu jemand anderslautende Informationen hat, würde ich mich über eine Info aber sehr freuen. Aber zurück zum Thema. Jemand hat also versucht, ob er in einer SIS-Praxis den EICAR Testvirus herunter laden kann. Und – Achtung “Überraschung” – der Download gelang. Was Sinn macht, wenn meine These richtig ist. Die URLs stehen selbstverständlich auf keiner Blacklist, da es sich explizit nicht um Schadsoftware handelt! Da keine Untersuchung des Traffics auf Schadsoftware stattfindet, kann die Testfile problemlos die SIS passieren und wird auf dem Rechner dann hoffentlich vom lokalen AV-Programm erkannt und einkassiert.

Also ein Sicherheitsproblem zu Lasten der Praxen? Ich kann das nur aus einer technischen Perspektive sehen. PVS / AIS Updates der CGM z.B. sind gerne mal gepackte Archive größer 4 GiB. Die auf Providerseite zu scannen ist ein unfassbarer Aufwand. Entsprechende Whitelists zu pflegen, aber auch. Abgesehen davon weiß jeder Techniker genug Geschichten von False-Positiv-Meldungen zu erzählen. Und wenn gerade das Java-Script der wichtigsten Webseite in der Praxis vom AV-Scanner des Providers für etwas böses gehalten wird, kann das auch ziemlich ätzend sein. Mich wundert es also kein Stück, dass es keine aktive Prüfung auf Schadsoftware innerhalb der SIS gibt. Es wäre zu teuer, rechtlich zu heikel und ziemlich sicher auch zu fehleranfällig.

Da war doch was mit Hacking

Was mich an den Geschichten über die Probleme mit der TI besonders fasziniert hat waren die Aussagen zu “Datenschützern” und White-Hat Hacking. Man wäre von “Datenschützern” (was haben die eigentlich damit zu tun? Oder war eher das BSI gemeint?) unter Androhung von Strafen davon abgehalten worden, die vermeintlich gefundenen Sicherheitsprobleme intensiver zu “erkunden”. Hierzu sei gesagt:

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

  1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
  2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.

Quelle: Wikipedia

Da steht nicht ein Wort darüber, dass man nicht Netze und Systeme betrachten darf, zu denen man (oder der eigene Kunde) freien Zugang hat. Sofern es sich dabei um einen konstruktiven, koordinierten Vorgang handelt, kann ich darin keinen Grund für eine Strafandrohung erkennen. Was nicht heißen soll, es hätte niemand deutlich gemacht das die gematik bzw. Arvato als Dienstleister, etwas harsch und konsequent auf mögliche Sicherheitsprobleme reagieren. Wohin das führt, konnte man allerdings bei Vivy deutlich sehen. Was nun dran ist, lässt sich von Außerhalb kaum beurteilen. Sollte die beim BSI oder der gematik vorgebrachte Kritik aber auf dem gleichen Niveau sein wie das was ich sonst zu dem Thema gelesen habe, könnte ich wenigstens nachvollziehen dass man sich dort nicht allzu intensiv damit beschäftigt hat.

Aber irgendwas muss doch an der Kritik dran sein

Wer der TI Einführung unterstellt, sie schwäche das Sicherheitsniveau der Praxen, der ignoriert meiner Meinung nach die Tatsache, dass eben jene Fehlkonfiguration in Praxen mit ausreichendem Sicherheitskonzept gar nicht hätte passieren können. Kein TI-Techniker kann bei einer von mir betreuten Praxis irgendwelche Maßnahmen durchführen, die das Sicherheitsniveau dauerhaft signifikant senken. Um genau sowas zu vermeiden, gibt es Berechtigungsstrukturen, Firewalls, starke Kennwörter, die für jedes System unterschiedlich sind und und und. Es ist meine Aufgabe als EDV-Betreuer, die Installation vorzubereiten und zu begleiten. Und niemand außer mir schaltet Firewalls oder Virenscanner aus. Und niemand außer mir gibt Ports frei. Dieses Niveau von IT-Sicherheit wird seit Jahren von so ziemlich jeder öffentlichen oder halb öffentlichen Stelle verbreitet. Das es heute noch Praxen gibt, welche durch Konfigurationsfehler eines einzelnen Technikers mit ihrem Datenbestand im Internet exponiert sein sollen, scheint mir hier eher das tatsächliche Problem zu sein.

Die TI ist sicherlich kein bis zu Ende durchdachtes Projekt. Selbst ihre Sinnhaftigkeit darf und muss vielleicht, bezweifelt werden. Die Art des Rollouts ist ohne Frage Kritikwürdig. Aber die aktuell vorgetragenen Bedenken hinsichtlich der Sicherheit und der Auswirkungen auf “[…] vielleicht 90 % der Praxen”, erscheinen mir doch arg konstruiert.

Alles gut also?

Nein. Ich würde gerne über die Sicherheit sprechen. Über unnötige (imho) Komplexität die die Wahrscheinlichkeit von Fehlkonfiguration massiv erhöht. Über Closed Source Komponenten an jeder Ecke und deren individuellen Problemen. Über katastrophal schlechte Kommunikation und Dokumentation(en). Über unzureichend geschultes Personal und das vollkommene Fehlen von Handlungsanweisungen (sowohl für Techniker als auch für die Leistungserbringer – ist aber besser geworden). Darüber, dass das gesamte Konstrukt davon zeugt, dass es ohne die Anteilnahme von Praktikern erdacht wurde. Darüber, dass auf individuelle Besonderheiten innerhalb der Praxen viel zu wenig Rücksicht genommen wird. Darüber, dass man den EDV-Betreuern schlechte dokumentierte Blackboxes vor die Nase setzt und erwartet, dass sie damit schon irgendwie zurecht kommen.

Über all das würde ich gerne mal reden. Aber ernsthaft und konstruktiv. Was mir selbst als Kritiker tierisch auf den Zeiger geht – unsachliche und instrumentalisierte Panikmache. Das lenkt nur unverhältnismäßig von den tatsächlichen und dauerhaften Problemen ab.

28 Antworten auf „Ist die TI ein Sicherheitsrisiko?“

Hallo,

hier ein kleines Update zur TI. Seit die pfsense läuft, kam es immer wieder zu Ausfällen, da das Zertifikat nicht mehr gültig war, und sich die Kocobox hat sich auch kein neues herunter geladen. Nach einigem Suchen, ist es nun klar, warum. Die nutzen für ihre Zertifizierungsstelle doch tatsächlich immer noch eine einfache HTTP Domäne, und keine sicherere https Domäne! Nun habe ich halt diese Ausnahme noch in die Firewall eingetragen, und siehe da, es geht wieder. Trotzdem kommt mir diese Zertifizierungsstelle etwas mittelalterlich vor.

Tschü…

Ola. Zwei Sachen dazu:
1. Ist mir auch passiert. Hat man einfach nicht auf dem Schirm.
2. Wie rufst du Zertifikate in einer PKI Struktur von einer authentifizierten Quelle ab, wenn dir genau dieses Zertifikat fehlt (weshalb du es ja abrufen willst). Eine interessante Interpretation des Henne-Ei-Problems?! 😉

Nein ernsthaft, deine Anwendung könnte den Server auf dem das Root-Zertifikat liegt nicht positiv authentifizieren, weil ihr das Root-Zertifikat fehlt um das Zertifikat des Webservers zu identifizieren auf dem… ich hör jetzt auf. Die Bundesdruckerei z.B. (und alle anderen auch) stellt ihre CAs ebenfalls ohne https zur Verfügung. Das muss halt so. : )
https://www.bundesdruckerei.de/de/2833-repository#views-bootstrap-block-akkordeon-modul-block-akkordeon-2–2-collapse-0

Hallo,

man kann das Zertifikat dann in der Kocobox nur zu Fuß aufrufen, wenn man der Box http erlaubt. Natürlich garantiert einem dann keiner, dass das Gegenüber überhaupt das richtige Gegenüber ist! Es ist halt so, als wenn irgend einer bei einer Bank anruft, und sagt ich bin der und der, und mir gehört das und das Konto, nun überweisen sie mal. Und die fragen gar nicht wer am Telefon ist! Sicherheit sieht irgendwie anders aus!

Tschü…..

Hi, mich hatte diese Frage auch beschäftigt (crl über http) und hatte das dann Mal gegoogelt. Scheint üblich zu sein? Glaube in der TSL (über https bzw TI VPN) ist eine checksum oder so der CRL hinterlegt. Weiß ich nicht genau, kann man aber herausfinden.

Noch etwas anderes: die gematik teilt den spezifischen Downloadpunkt für die CRL auf ihrer Webseite mit, dann muss man „der Box“ bzw den Konnektoren allgemein nicht komplett Port 80 freigegeben:

https://fachportal.gematik.de/erste-schritte/informationen-der-hersteller-anbieter/anbieter-vpn-zugangsdienst/

Viele Grüße

Hallo,

mal noch etwas anderes in dieser Angelegenheit. Wir haben hier als mobiles Lesegerät ein ORGA 930 M im Einsatz. Eines Tages hatten wir dieses über USB nach einem Dienst an den Server angesteckt, als dieser plötzlich abstürzte. Gut, den hatten wir dann wieder neu gestartet und auch noch einen aktiven USB Hub dazwischen gehängt, dann ging es erst mal. Dann hatte ich mal über USB Deview nach den Daten dieses Lesegerätes gesehen. Und, da wurde mir einiges klar, das Dingens braucht mehr Strom, als eine USB 2.0 Schnittstelle abgeben kann, und bringt die 5 V Versorgung auf dem Board zum Schwimmen! Das ganze Übel beginnt aber damit, dass der Stein nicht erkennen kann, ob nun R3 Akkus oder Batterien eingebaut sind. Da aber Akkus 0,25 Volt pro Zelle weniger haben, ist das Ding sogar bei vollen Akkus (ca. 2,5 Volt) der Meinung, den benötigten Betriebsstrom aus der angeschlossenen USB Schnittstelle nehmen zu müssen, und man kann noch nicht einmal das Display dunkler machen! Wenn man dann mit dem Teil tatsächlich im mobilen Einsatz mit vollen Akkus unterwegs ist, so meint es spätestens bei der dritten Karte, dass es leer wäre, und deshalb nicht mehr gehen könne. Mit diesem Wissen habe ich dann bei Ingenico angerufen, und mein Leid geklagt. Hätte ich das auf einen Zettel geschrieben, und diesen in den Mülleimer geworfen, der Effekt wäre genau der selbe gewesen. Man wisse zwar von dem Problem mit der Akkuerkennung, aber man könne oder wolle das nicht in der nächsten Zukunft beheben, und die Displayhelligkeit wäre nun mal so, wie sie eben wäre, und auch nicht zu ändern. Der einzige Ratschlag war, die Zeit bis zur selbständigen Abschaltung auf dem Gerät so weit als möglich zu verkürzen, was dann höchstens eine Karte weiter reicht. Oder man nimmt eben noch ein paar neue R3 Batterien mit zum Dienst.

Tschü…..

Hallöle,

wir hatten am Freitag wieder einen Dienst mit dem ORGA 930 M, diesmal aber mit Batterien; und was soll man sagen — alles gut, keine Abstürze — .

Tschü…..

Hier ist noch einmal das Kaffeemonster,

aus diversen Gründen ist es nun doch nicht die Zyxel FW geworden. Wir haben jetzt zur allergrößten Zufriedenheit eine APU4d2 als Firewall mit pfsense am Laufen, und das ist wirklich die eierlegendewollmilchsau in diesem Bereich. Hier bekommt man für 200,- Euronen und ein wenig Installationsarbeit eine Komplettlösung, für die man anderswo 1500.- Euro und monatliche Gebühren bezahlen muss. Kann ich jedem nur empfehle, sich mal mit pfsense zu befassen.

LG vom Kaffeemonster

Also kurz (geht nicht kurz) dazu:

habe die telematik nun seit mai am laufen, und alles selber eingebaut. Nun im Einzelnen:

wir hatten hier bei der Bestellung Selbstmontage angekreuzt. Dann kam aber alles, bis auf die Kocobox. Nach längerem Telefonieren, kam dann ein Herr, mit der Box, und wollte einen Montagetermin haben. Wir haben ihm gesagt, er könne das Ding ja gerne kostenlos und nach unseren Angaben installieren. Da hat er noch eine Weile rumgezickt, und dann das teil da gelassen. Ich habe die Telematik dann mit einem Kollegen in Betrieb genommen, natürlich nicht in Reihe (SIS). Die Telematik läuft seitdem fast reibungslos, nur die Förderung haben wir bis heute nicht, weil wir das SIS nicht nutzen. Ich werde mir aber nicht von irgendwem anderen meinen ganze Internettraffic kontrollieren lassen. Wir hatten bis vor ein paar Tagen noch auf den meisten Rechnern Windows 7 am Laufen, habe das aber bis auf den Server auf Windows 10 geändert (der Sever kommt im Januar dran). Als Hardware haben wir eine Fritzbox und ein Pihole am laufen. In der FB habe ich alle Spionagetore geblockt. In den nächsten Tagen kommt da noch eine Zyxel Firewall rein, weil ich nicht ständig die Firewall in der Fritzbox updaten will, die Zywall macht das nämlich weitgehend automatisch. Ansonsten nutzen wir den Kaspersky zur größten Zufriedenheit. Den Telematik VPN Router würde ich niemals in Reihe reinschalten! Übrigens bin ich kein Win 10 Fan, aber der Druck zum Wechseln wird immer größer; und jetzt kam der Hinweis, dass es spätestens ab Mitte Januar keine Unterstützung mehr für Win 7 gibt.

Einen schönen Tag noch

Hallo Benny,

vielen Dank für diesen klarstellenden Beitrag, mit dem zumindest deutlich wird, dass der Ansatz gut ist, mit der TI eine sichere Kommunikationsinfrastruktur für das Gesundheitswesen bereitzustellen. Als am Rande involvierter Datenschützer ist für mich der Konnektor bislang eine unausgereifte Blackbox, die ein betriebsblinder Gesetzgeber eine eigens für diesen Zweck gegründete Zweckgesellschaft hat entwickeln lassen, deren Gesellschafter gleichfalls per Gesetz dazu verpflichtet wurden, „das Ding zum fliegen“ zu bringen. Damit es auch ganz bestimmt teuer wird, hat das BSI eine wichtige Rolle als „Vertrauensanker“ bekommen. Damit darf man wahrscheinlich darauf vertrauen, dass Cybersicherheit oberste Priorität hat, denn das BSI darf naturgemäß weder wirtschaftliche Aspekte noch Aspekte der Praktikabilität über die Sicherheit stellen.

Schon mit der Entscheidung, mit dem Konnektor ein eigenes Produkt für den deutschen Markt zu entwickeln, ist klar, dass der Konnektor nur dann eine langfristige Chance haben wird, wenn mit ihm Standards gesetzt werden können. Es gibt den extra für die TI entwickelten Konnektor ja nur deshalb, weil die von Dir sogenannten „Plastikrouter“ die erforderliche Endpunktsicherheit nicht liefern können. Aber es wird noch weitere Fälle geben, wo man sich solche Produkte auf dem Markt wünscht, weshalb es eigentlich eine weise Entscheidung gewesen sein könnte, einen „massenproduktfähigen“ Konnektor zu entwickeln, der ein vertrauenswürdiges Maß an Cybersicherheit bieten kann. Steckplätze für HSM, sichere Ver/Entschlüsselung und weitere Sicherheitsfunktionen werden auf Dauer zur Gewährleistung einer ausreichenden Vertrauenswürdigkeit für kritische Geschäftsprozesse ein Muss sein, solange nicht PC, Smartphones und Tablets die notwendigen und vor allem sicherheitszertifizierten Sicherheitsfunktionen selbst mitbringen. Davon bin ich überzeugt.

Aber mit dem Konnektor scheint alles schief zu laufen, was schief laufen kann und das liegt wahrscheinlich gar nicht am Konnektor selbst, wie du schön heraus gearbeitet hast. Es liegt wahrscheinlich am Aufgabenprofil der gematik, die für die Sicherheit in den Arztpraxen nicht zuständig ist und nicht zuständig sein darf. Besonders deutlich wird das am Schutzprofil für den Konnektor. Wer sich darin die betrachteten Risikoszenarien anschaut, der sieht, dass die Arztpraxis als unsichere Zone betrachtet wird, weshalb der Konnektor Schutz vor allem aus Richtung Arztpraxis bietet. Deshalb ist es der gematik auch egal, ob der Konnektor im Parallel- oder im Reihenbetrieb genutzt wird. Der Schutz aus Richtung TI entsteht dabei vor allem durch die TI selbst, die an allen Eingangspunkten sichere Zugangsgateways stehen hat, die vom Betreiber der zentralen TI auch selbst gemanagt werden. Erst mit dem anstehenden Digitalisierungs- und Versorgungsgesetz wird die Sicherheit in den Arztpraxen systematisch in den Blick genommen. Allerdings soll die Verantwortung dafür in den Händen der Verbände liegen, deren Kernkompetenz eigentlich nicht in der IT-Sicherheit liegt, und bei denen direkte oder indirekte Geschäftsinteressen im Spiel sind.

Weiterhin wird in anderen Dokumenten deutlich, dass die Sicherheitsverantwortung des TI-Betreibers nur die zentrale TI-Zone betrifft. Die gematik selbst fühlt sich für gar nichts verantwortlich, jedenfalls nicht im datenschutzrechtlichen Sinn, was gar nicht in Ordnung ist, da sie ja die Vorgaben macht. Diese sind sehr weitgehend, wenn man auf das Konstrukt des „Anwendungskonnektors“ schaut, der auch Fachmodule umfasst. Mit diesen Fachmodulen wird zB für die elektronische Patientenakte (ePA) sogar die Programmierschnittstelle festgelegt, d.h. die gematik macht auch Vorgaben für das Wie und Was einer Datenverarbeitung.

Also es hakt an allen Ecken und Enden und ausgerechnet das Gesundheitswesen ist eigentlich ein schlechter Startpunkt für eine Digitalisierung, an deren Ende sowie nur eine Plattform-Wirtschaft stehen wird, bei der Ärzte demnächst Angestellte größerer Telemedizin-Anbieter sein werden, die aus den Gewerbe-KZs dieser Republik heraus agieren. Wenn man eine durchgreifende Digitalisierung haben möchte, eignen sich dafür besser solche Sektoren, in denen Sicherheit und Datenschutz nicht die oberste Priorität haben müssen. Da man die Digitalisierung im Gesundheitswesen aber nicht mehr aufhalten kann, ist der Weg über den Aufbau einer sicheren Infrastruktur wie der TI ohne Zweifel richtig. Dann muss man all die aktuellen Ärgernisse als Kinderkrankheiten betrachten, die es mit Langmut auszuhalten gilt. Jedenfalls muss man jeden Vorschlag kritisch sehen, der an Gesundheitskarte, Konnektoren und TI vorbei umgesetzt werden soll, wie es sich mit dem jetzt vorgesehenen „alternativen Anmeldeverfahren für die ePA“ schon andeutet, wo der Zugriff mit Smartphones und Tablets möglich werden soll, deren Hersteller noch nicht einmal verpflichtet sind, aktuelle Sicherheitspatches weiterzureichen. Es ist halt wie häufig in der IT: das Produkt reift beim Kunden. Nur diesmal sind die Versicherten und Ärzte die Beta-Tester. Beta wie Banane. Und da habe ich nach gar nicht über die mangelhafte Funktionalität von Krankenhausinformations- und Praxisverwaltungssystemen geredet.

Vermutlich kann derzeit niemanden sagen, wie viele Praxen parallel, seriell, mit Hardware-Firewall oder mit Software-Firewall oder ohne Firewall an die TI angeschlossen sind. Denn es gibt keine umfassende Datenerhebung dazu. Diejenigen, die es „mit am besten“ wissen müssten, also Gematik und K(Z)Ven, halten sich ja selbst zu Aussagen, wie viele Praxen angeschlossen sind, nicht nur zurück – sie mauern.

Meine eigenen IT-Fähigkeiten reichen gerade mal aus, um ein Praxisnetzwerk soweit zu verwalten, dass es inkl. Datensicherung läuft. Solange die Praxis nicht ans Netz geht, reicht das aus. Die Verantwortung, eine Praxis ans Internet zu hängen mit Windows-PC, die seit Jahren kein Update gesehen haben – weil sie auch kein Update brauchen, würde ich nicht übernehmen. Just for fun habe ich einen ehemaligen Praxis-Client mit Win7 nach 5 Jahren Einsatz mal ans Netz gehängt. Der war viele Stunden mit Windows- und Office-Updates beschäftigt.

Persönlich habe ich mir drei TI-Installationen in Arztpraxen angesehen. Alle Praxen wurden parallel angeschlossen. Keine Hardwarefirewall und man konnte mit allen Clients munter im Netz surfen. Den von Herrn Ernst erwähnten Port-Test habe ich durchgeführt, das AV-Programm sich dann gemeldet. Der TI-Konnektor hat das Praxis-Netz nicht geschützt.

Eine Debatte darüber, wie viele TI-Installationen den Anforderungen an den Datenschutz genügen, weil der IT-Betreuer gute Arbeit gemacht hat, und wie viele in die Kategorie „quick and dirty“ fallen, ist müßig. Niemand weiß es. Aber es gibt beides.

Aber dass ich bei drei von drei Praxen, bei denen ich die Inhaber persönlich kenne und deswegen den Test machen durfte und die Installationen persönlich gesehen habe, die „quick and dirty“-Variante vorgefunden habe, spricht dafür, dass es viel zu viele TI-Installationen gibt, die datenschutztechnisch hochproblematisch sind.

Wenn wir Patientendaten schützen wollen, dann muss bei den von Herrn Ernst und anderen gemeldeten fehlerhaften Installationen davon ausgegangen werden, dass es eher einige zigtausend als einige hundert fehlerhafte Installationen sind. Was erwarte ich von einer Stelle, die sich Datenschutzbeauftragter nennt, bei den bisher bekannten Stichprobenergebnissen?

Ich erwarte, dass die sich zügigst einen Überblick verschaffen und mittels SOFORT-Maßnahmen sicherstellen, dass unzulässige Installationen abgeschaltet werden. Von allen 737 Max fliegt derzeit nicht eine. 53 Tiger-Hubschrauber hatten Flugverbot, weil der Verdacht auf einen defekten Bolzen vorlag. Ohne zuvor die Fehler beseitigt zu haben, dürfen die Maschinen bei sicherheitskritischen Fehlern nicht fliegen.

Wie kann man rund 100.000 TI-Anschlüsse in aller Seelenruhe weiter am Netz lassen, wenn man von einer hohen Anzahl an ungeschützten Praxen ausgehen MUSS? Wie viele Praxen müssen zuvor gehackt worden sein, bis sich jemand zuständig fühlt? Es gibt diverse Krankenhäuser, die wurden von Erpressungstrojanern (Locky) heimgesucht. Es gibt Ärzte, die wurden (ohne Anschluss an die TI) ebenfalls von Erpressungstrojanern gekidnapped. Der Zwang zur TI hat viele Praxen, die bisher gar nicht am Netz waren, ans Netz gezwungen. Im Laufe der Zeit werden somit immer mehr Praxen gehackt oder erpresst werden.

Der Ausgangsbeitrag verniedlicht m. E. das Problem des fehlenden Datenschutzes in sehr, sehr vielen Praxen in inadäquater Weise. So wie keine 737 Max fliegen darf, bis das Problem überall abgestellt worden sein wird, dürfte auch keine einzige Praxis an Netz, bei der nicht absolut sicher ist, dass keine Patientendaten verloren gehen können.

Franz-Josef Müller

Hallo Herr Müller. Danke für Ihr ausführliches Statement. Haben Sie sich denn an den zuständigen Datenschutzbeauftragten gewendet? Ich lese oft, dass „Datenschützer“ involviert sind. Aber ich lese nie, welcher denn genau. Ich würde ihn sehr gerne nach seiner Einschätzung fragen. Oder ggf. danach, mit welcher Begründung die entsprechende Landesbehörde sich zurückhält. Aber bis dato konnte ich nicht in Erfahrung bringen, bei welchem Landesdatenschutzbeauftragten die Kritiken bezüglich der TI und deren Installationsart eingegangen sind.
Wir sind vollkommen beieinander, dass es verantwortungslos von den Dienstleistern ist, eine reine Offlinepraxis im Rahmen einer Parallelinstallation ans Internet zu hängen. Viel zu leicht wären Alternativen gewesen. Ich „verniedliche“ diesen Umstand auch nicht. Das man massenhaft Leute ohne das entsprechende Fachwissen und vor allem ohne das notwendige Verantwortungsbewusstsein zu den Praxen geschickt hat, um dort hoch sensible Netzwerkkomponenten zu migrieren, ist katastrophal. Nichts anderes. Und ich habe auf diesen Umstand wenige Stunden nach meinem entsprechenden Erlebnis hingewiesen. „Unterhaltsam“ vielleicht, aber nicht weniger ernst gemeint. Ich versuche aber auch zu vermitteln. Die TI, ihre Definitionen und Spezifikationen sind nicht ursächlich dafür. Ursächlich für die – ohne Frage existenten Sicherheitsrisiken der betroffenen Praxen – ist die Sorglosigkeit der TI Anbieter und – auch wenn das schmerzhaft ist – der Praxen. Wer glaubt, ein fremder Techniker könne in einer Stunde eine essentielle Netzwerkkomponente fachgerecht in das eigene Netzwerk integrieren, handelt imho wenigstens naiv und / oder hat die Bedeutung der EDV für seine Arbeit nicht verstanden. Aber ja, die Interessenvertreter, die gematik und vor allen die TI-Provider hätten in aller Deutlichkeit darauf hinweisen müssen, dass bei der Integration fachkundiger Support bereit stehen muss. Das hat man nicht getan, und viele „Dienstleister vor Ort“ haben diesen Umstand voll und ganz in ihrem Sinn ausgenutzt.
Kleine Geschichte zum Thema. Ich war auf einer TI-Infoveranstaltung für Ärzte der KVWL in Dortmund. Ca. 250 (reine Schätzung) waren anwesend. Einer der Redner stellt auch eher scherzhaft die Frage, wie viele der Anwesenden denn wohl eine vom BSI „vorgegebene“ Hardwarefirewall in der Praxis hätten. Ich bin ziemlich sicher, dass ich alle Meldungen noch mit den Händen abzählen konnte. Und zwei davon waren Kunden von mir. Ich stelle also mal folgende These auf: Der übereilte und relativ „kopflose“ Rollout der TI in der Fläche traf souverän auf eine katastrophal schlechte und unbedarfte IT-Ausstattung bei den Ärzten. Mit dem – hier haben Sie ohne Frage Recht – Ergebnis, dass unzählige Patientendaten einem unkalkulierbaren Risiko ausgesetzt sind. Ich denke schon, dass diese Erkenntnis bei den Verantwortlichen angekommen ist. Und vermutlich schlägt man sich mit den finanziellen Folgeabschätzungen herum. Es gibt keine rechtlich verbindlichen Vorgaben wie eine Arztpraxis ausgestattet zu sein hat. Natürlich gibt es schon immer das BDSG u. seit kurzem die DSGVO. Aber dort steht nicht, dass eine Arztpraxis (auch) eine UTM-Firewall zu haben hat. Dort steht nicht, dass eine Arztpraxis eingeschränkte Rechte an den Arbeitsplätzen zu haben hat. Und für jeden User unterschiedliche Kennwörter. Und eine brauchbare Sicherung die nach Abschluss physikalisch vom Netz getrennt wird, damit ein Cryptotrojaner eben nicht auch jene Datensicherung vercrypten kann. All das wissen wir Techniker seit Jahren. Und ein wesentlicher Teil der Ärzte interessiert sich seit Jahren nicht dafür. Was wir brauchen sind klare, unmissverständliche und verbindliche Vorgaben. Die Dienstleister vor Ort müssen im Nachgang feststellen, welche Installationsvariante vorgenommen wurde. Und sie müssen dies begründen. Und wer parallel angeschlossen wurde hat entweder Maßnahmen zu ergreifen, oder wird (auf Kosten der TI-Provider bzw. deren Dienstleister) offline geschaltet. Aber hier ist ausschließlich der Gesetzgeber gefordert.
Damit wir uns richtig verstehen. Technisch ist dies alles von äußerst überschaubarer Komplexität. Ebenso wie die Begründung, warum es Ihnen bei den Kollegen möglich war, die AV-Testdatei herunter zu laden. Es fehlt aber völlig an der rechtlichen Grundlage oder dem Willen der Arztpraxen (von den Dienstleistern fangen wir gar nicht erst an). Jedem steht es frei, sich einen sachkundigen IT-Betreuer zu suchen. Dieser wird (ich weiß, jetzt bin ich naiv) das Problem indentifizieren und Lösungsvorschläge machen. Eine Offlinepraxis (ich persönlich glaube nicht, dass das heute noch geht) offline zu lassen und trotzdem die TI nutzen zu können, ist keine technische Herausforderung! Ich verallgemeinere hier stark. Es mag Ausnahmen geben. Aber die dürften selten sein. Aber allen wäre geholfen, wenn wir sachlich bleiben. Beim BSI und der gematik arbeiten keine Idioten. Ich halte das Sicherheitskonzept der TI für maßlos übertrieben und unflexibel. Was schlecht ist – Marketing (was können die SIS wirklich leisten) und PR. Und der Umstand, dass man den Providern und einigen Dienstleistern vor Ort, freie Hand gelassen hat. Arztpraxen im 21. Jahrhundert untereinander zu vernetzen, halte ich aber persönlich für alternativlos. Aber ja, wir müssen es im Sinne des Datenschutzes und der Patientensicherheit unbedingt richtig machen. Und da ist Luft noch oben. Wessen „Schuld“ das ist… ich tue mich da mit einer Feststellung eher schwer.
Speziell zu Ihrem Schlusssatz – in meiner Realität gibt es kein sicheres System. Ich habe hunderte Beispiele von „sicheren“ Systemen, die plötzlich angreifbar wurden. Es gibt keine absolute Sicherheit in der IT. Wir können nur versuchen, die Hürden für einen erfolgreichen Angriff möglichst hoch zu legen. Datensicherheit und Datensparsamkeit sollten also Qualitätsmerkmale einer modernen Arztpraxis sein. Wer heute in eine Arztpraxis geht, erlebt das Gegenteil. Für bestellte DSB ist kein Geld da. TOMs / AV-Verträge? Wofür? Software die immer noch administrative Rechte voraussetzen und deren Betreuer pauschal Softwarefirewalls praxisweit deaktivieren. Softwareanbieter die Updates ohne jede Authentifikation bereitstellen. Andere Softwareanbieter, welche Vernetzungslösungen (Stichwort Vivy) anbieten, die von Experten geradezu zerrissen werden. Homeoffice via Fernwartungssoftware anstatt VPN. Standortvernetzung / genereller Internetanschluss mit Plastikroutern aus dem Endkundenbereich… Kurzum – es gibt ein Haufen Baustellen. Hier helfen nur unumgängliche, definitive rechtliche Vorgaben. Aber die Gesetzgebung unter Hr. Spahn ist eher damit beschäftigt, sich von unliebsamen Rechtsnormen (DSGVO) zu befreien, in dem man schnell mal ein eigenes Datenschutzgesetz formuliert. Sollte das so durchdacht sein wie der TI-Rollout geplant, müssen wir uns alle keine Sorgen mehr machen. ; )
Sorry für die Länge. Kurzfassen ist nicht meine Stärke…

Hallo Benny,
ich für mich habe sowohl den Bundesdatenschutzbeauftragten informiert als auch den Landesdatenschutzbeauftragten in RLP mit einer Datenschutzfolgeabschätzung „beglückt“. Reaktion: Null (bisher). Aber das ist auch erst Monate her.

Außerdem habe ich vor einigen Tagen die Gematik informiert, weil offenkundig sehr viele Praxen nach der erzwungenen TI-Anbindung ungeschützt am Netz hängen. Das wurde zumindest nach dem Gespräch von Herrn Ernst mit BMG und Gematik so berichtet. Wer wenn nicht die Gematik, Mehrheitsgesellschafter ist übrigens das BMG, wäre dazu in der Lage, hier für Klärung zu sorgen? Sind es nur Einzelfälle, wie es die „offiziellen Stellen“ annehmen? Oder liegen tausendfache Verstöße gegen den Datenschutz vor? Ich bin fest davon überzeugt, dass es sich um zig tausend unzulässig angeschlossene TI-Installationen handelt.

Selbst wenn ich Unrecht hätte, wie will man beweisen, dass es nur wenige Praxen sind? Um die Vermutung von Ernst und meine eigene Stichprobe zu widerlegen, müsste man doch zumindest eine große Stichprobe ziehen. Oder? Ohne sich zuvor sachkundig gemacht zu haben, ist es mehr als fahrlässig einfach zu glauben, dass das Problem irrelevant wäre. Können es sich die „offiziellen Stellen“ leisten, bei bekannten Datenlecks nicht aktiv zu werden? Ich denke nicht. Wegen Verstößen mit deutlich niedrigerem Schadenspotenzial werden die Datenschützer aktiv. Und hier, wo es um richtig große Hausnummern geht, werden sie nicht tätig? Das mag verstehen wer will. Ich habe es nicht verstanden.

In RLP hat heute ein runder Tisch wegen Datenlecks in EINEM Krankenhausverbund unter Beteiligung der Landesregierung getagt. Die Ministerin forderte am Ende Geld für die IT-Sicherheit der Krankenhäuser.
Über massenhaft Verstöße bei Arztpraxen, vorwiegend Ransomware, hat der Datenschutzbeauftragte aus BW heute berichtet. Der Schaden im ambulanten Bereich ist also ähnlich dem Schaden bei Krankenhäusern. Trotzdem passiert in dem Bereich nichts.

Es gibt, nach meinem Kenntnisstand, immer noch keine Datenschutzfolgeabschätzung der Gematik. Diese sollte, so ich die Ausführungen des Bundesdatenschutzbeauftragten richtig verstanden habe, aber schon lange vorliegen. Zudem hat der Bundesdatenschutzbeauftragte in seinem Lagebericht explizit ausgeführt, dass bis zum Zeitpunkt der Erstellung des Berichts (der Bericht ist schon einige Wochen auf dem Markt) noch nicht geklärt sei, wo die Verantwortung des Praxisinhabers bei der TI endet. Entweder, wie von interessierten Kreisen (KBV, Gematik) suggeriert am Konnektor oder eben nicht am Konnektor – und damit „in der cloud“. Was passiert, wenn demnächst oder auch erst in fünf Jahren festgestellt wird, dass die Verantwortung des Arztes bis zur ePA geht? Die Frage ist doch nicht, ob die Daten in der cloud gehackt werden sondern nur, wie lange es dauert, bis sie gehackt worden sind. Selbst wenn sie nicht gehackt werden sollten, wenn es um Gesundheitsdaten von zig Millionen Menschen geht, wird es früher oder später einen Innentäter geben. Wir lernen jeden Tag, dass es in vielen Ländern dieser Welt immer wieder zu gravierenden Datenschutzverstößen kommt.
Ein Kryptografie-Experte (Uni Darmstadt) hat ausgeführt, dass in spätestens 20 Jahren alles, was wir heute mit high-end-Verschlüsselung vor unbefugtem Zugriff schützen wollen, geknackt werden kann. Gesundheitsdaten sind auch in 20 Jahren genau so viel wert wie heute. Der Schutz muss also „für die Ewigkeit“ bestehen. Daten kann man nur dann möglichst effektiv schützen, indem man sie nicht in zentrale Datenbanken einspeist. Das haben übrigens der Sicherheitschef von Apple sowie google genau so geäußert. Daten sind dann am besten geschützt, wenn sie nicht zentral gespeichert werden.

Sie haben völlig Recht, dass man eine Praxis-EDV durchaus auch sicher ans Netz bringen könnte. Dazu die blöde Frage aus Sicht eines Praxisinhabers: Warum sollte ich meine Praxis-EDV ans Netz hängen, wenn ich von einer Internetanbindung keinen Nutzenzugewinn habe? Noch besser, warum soll ich meine Praxis ans Netz hängen, wenn ich sich für mich damit ausschließlich Nutzenverluste ergeben? Die meisten Praxen kommen ganz ohne Anbindung an die TI aus. Und wenn ich mir vorstelle, was nach einer Anbindung an die TI technisch erst möglich wird, dann kann ich nur jedem Praxisinhaber empfehlen, davon die Finger zu lassen.

Ein System, bei dem ich als Praxisinhaber die Kosten, die Risiken und die Verantwortung für den Schutz der Patientendaten zu tragen habe und das mir, dem Praxisinhaber, keinerlei Vorteile bietet, schaffe ich mir nicht an. So einfach ist das. Warum haben die Praxisinhaber mit der Anschaffung der TI so gezögert und viele sich erst, nachdem sie mit massiven Strafen bedroht wurden, angeschlossen? Weil die Anbindung an die TI so toll ist? Sicher nicht.

Als die ersten iphones auf den Markt kamen, haben sich die Kunden Stunden vor Öffnung der stores die Beine in den Bauch gestanden. Sie wollten das Ding haben. Warum? Weil sie sich davon einen Nutzengewinn erwartet haben. Wer hat sich vorgedrängelt, um an die TI angeschlossen zu werden? Kein Mensch! Das sagt doch schon alles. Die gesamte TI wird gegen den Willen der Zwangsuser in deren Praxen gedrückt. Über die Frage, warum das so ist, mag sich jeder seine eigenen Gedanken machen.

Vielleicht interessiert es Sie als IT-Fachmann, warum m. E. Ärzte die Finger von der TI lassen sollten.
1. Die TI ist die Voraussetzung für die elektronische Patientenakte. Ohne TI keine Befüllung der elektronischen Patientenakte.
Damit eine ePA Sinn macht, müsste der Arzt sehr viel Mehrarbeit (gegenüber heute) leisten, die er erstens nicht bezahlt bekommt und die zweitens dazu führt, dass er nicht mehr so viele Patienten wie bisher behandeln kann. Der bestehende Ärztemangel würde sich damit verschärfen.
2. Der Patient ist Herr über seine Daten. Bestimmt er, dass bestimmte Dinge nicht in die ePA gespeichert werden, ist die ePA für Ärzte sinnlos. Denn eine unvollständige Akte ist genau das, unvollständig. Also muss der Arzt sowieso den Patienten fragen. Da der Patient das Wahlrecht hat, muss der Arzt jede Akte so behandeln, als ob sie unvollständig wäre. Damit ist die ePA für den Arzt völlig wertlos.
3. Angenommen, ein 65-jähriger Patient, multimorbide wie viele in seinem Alter, kommt mit einer seit 10 Jahren gefüllten ePA zu einem Arzt. Wieviel Zeit wird sich der Arzt nehmen, die ePA zu studieren? Keine. Denn das würde viel zu lange dauern. Also wird der Arzt den Patienten fragen, warum er gekommen ist. Die ePA ist ohne Vorteil.
4. Heute kodieren Ärzte Abrechnungsziffern (EBM oder GOÄ) und Diagnosen (ICD 10). Was sagen diese beiden Infos über den Patienten aus? Fast nix. Will man mehr Infos zum Gesundheitszustand haben, müssen u. a. die Befunde ebenfalls kodiert werden. Die Therapien müssten auch noch kodiert werden.
Entweder will ich Ärzte, die behandeln, oder Ärzte, die kodieren. Beides zusammen geht nicht. Je mehr der Arzt kodiert, desto weniger behandelt der Arzt. Alle Welt beklagt sich darüber, dass Ärzte nicht genügend Zeit für die Patienten haben. Das Gespräch kommt zu kurz. Aus USA gibt es Berichte, wonach Ärzte mittlerweile mehr als die Hälfte ihrer Arbeitszeit für Doku aufwenden. Eine Aussage war: Mehr als 4.000 Klicks macht ein Arzt während einer Schicht im Krankenhaus.
Das kann man wollen. Aber das würde den Ärztemangel verschärfen.
5. Die Politik will die „Ungerechtigkeiten“ bei der Behandlung von Patienten, also GKV vs. PKV, abbauen. Um die Wartezeiten bei Kassenpatienten zu reduzieren, wurden TSS eingerichtet, die jetzt auf 24/7/365 ausgebaut werden. Ärzte müssen Termine an die TSS melden, die TSS sollen sogar Termine in den Praxen bzw. deren elektronischen Terminkalendern vergeben. Klappt das grundsätzlich, sei es auch nur mit 2 Terminen pro Monat, kann man das auch auf alle Termine erweitern.
Es gibt Praxen, die überleben nur noch dank ihrer Privatpatienten. Wenn die die Kontrolle über die Terminvergabe aus der Hand geben, können sie auch gleich Konkurs anmelden. Denn einer anonymen TSS ist es völlig egal, welchen impact eine Terminvergabe bei einem bestimmten Patienten hat.
Wie sollen besonders behandlungsbedürftige Menschen in einem solchen System überleben? Die Fähigkeit sich online um einen Termin kümmern zu können, hängt auch vom Alter (und damit der Morbidität) des Patienten ab. Auf der Strecke bleiben also zuerst die Chroniker. Das kann ein Arzt eigentlich nicht wollen.
6. Der Minister will, dass Patienten „einfach per App“ auf ihre ePA zugreifen können sollen. Wenn der Arzt die Daten in die ePA per TI mit einem hohen Sicherheitsstandard schicken muss, wieso können die Patienten mit völlig unsicherer Technologie und Feldwaldwiesenendgeräten auf dieselben Daten zugreifen, sie ändern, hinzufügen oder löschen? Vorne eine gepanzerte Tür und hinten am selben Gebäude ein Gartentörchen?
7. Der Chef des AOK-Bundesverbandes Litsch hat eindeutig geäußert, dass die Kassen bisher für die TI-Anbindung 700 Mio. ausgegeben haben. Und die Kassen wären nicht bereit, die exorbitanten Kosten für die Hardware bei der Installation von weiteren Playern (Apotheker, Physiotherapeuten, Krankenhäuser, …..) zu tragen. Da müssten andere Technologien her.
Da Herr Litsch nicht irgendein Noname ist, darf man davon ausgehen, dass er die künftige Richtung vorgegeben hat. Wenn man künftig auch über irgendeine andere Lösung, vermutlich Software, also ohne Konnektoren, an die TI angeschlossen sein kann, warum sollte sich heute noch jemand per Konnektor anschließen lassen?

Wem der Schutz der Patientendaten wirklich am Herzen liegt, der sollte für eine dezentrale Datenhaltung plädieren. Damit wären diverse Geschäftsmodelle sofort tot – aber die Daten der Patienten wären bestmöglich geschützt.

Kurzfassen ist auch nicht meine Stärke

Ich versuche mich jetzt wirklich mal kurz zu fassen. Was leicht ist, weil Ihr Statement wenig Ergänzung erfordert. Folgend mal ein paar meiner generellen Standpunkte hinsichtlich IT Sicherheit – vollkommen unabhängig von der TI:
– Nur Daten die nicht erfasst werden, sind safe.
– Erfasste Daten dürfen unter keinen Umständen zentral gespeichert werden (ich fürchte mich weniger vor Hackern als viel mehr vor staatlichen Stellen).
– Nur Daten die nicht erfasst werden, können nicht gestohlen werden!
– Kein System ist sicher. Heute nicht und in Zukunft schon mal gar nicht.
– Entwickel keine Crypto selbst – so klug bist du nicht!
– (Crypto)Quellcode der nicht öffentlich ist, kann nicht gut sein.

Jetzt dürfte klar sein, warum ich die technischen Aspekte des Postings nicht weiter ergänzen kann. Wir sind in allen wesentlichen Punkten beieinander. Allerdings glaube ich, dass wir als Patient (und nichts anderes bin ich in erster Linie) mehr davon profitieren, wenn die uns behandelnen Ärzte untereinander vernetzt sind. Eine gemeinsame technische Basis wie die TI, wäre da ein guter Einstieg. Das die gematik einen PR Suizid begangen hat als man entschied, mit dem Stammdatenabgleich zu starten, ist da ein anderes Thema. Hätte man die Zeit gehabt Konzepte auszuarbeiten die die Ärzte tatsächlich im Alltag bei der Patientenversorgung unterstützt hätten, so würde die Diskussion über die TI vermutlich anders geführt werden. Aber das ist Politk, von der ich relativ wenig Ahnung habe. Ich sehe ein technisch sehr anspruchsvolles, bisweilen zu unflexibles Systems an dessen Sicherheit ist erst einmal wenig Zweifel habe (die aber nicht so „elegant“ ist wie sie sein könnte). Ich würde gerne über die Blackbox-Philosophie der Konnektoren diskutieren. Oder über closed Source bei der Firmware der Schüsseln. Oder darüber, welche Daten in Zukunft wo von wem gespeichert werden ( Spoiler – die ePA finde ich überaus „spaßig“). Worüber ich nicht diskutieren kann: Ärzte die ihren gesamten Datenbestand unverschlüsselt zum Hausbesuch mitnehmen. Über die Frage, ob Ärzte heute schnell und „sicher“ miteinander kommunizieren sollten. Oder Ärzte mit Apotheken. Whatever… Technisch ist ein 1 zu 1 Austausch machbar. Die TI hätte die Basis sein können. Aber in der aktuellen Diskussion geht es imho um Politik. Im wahrsten Sinne des Wortes, denn Herr Spahn denkt sich ja quasi täglich „lustige“ Neuerungen aus. Und bisher war nie etwas dabei, dass den Datenschutz oder die Datensicherheit im Sinne der Patienten nach vorne gebracht hätte. Man überzieht die Ärzte mit Vorschlägen zur Digitalisierung, ohne Sinn und Verstand. In der TI geht es aktuell noch um das Versicherten-Stammdaten-Managment. Das ist verglichen mit den Daten die Vereine wie die CGM oder Vivy mit äußerst suspekten Konzepten über die Leitungen schicken, relativ harmlos (ich würde es trotzdem anders machen). Das wird oft vergessen. Oder um es anders zu sagen:
Hätte ich gerne eine für alle einheitliche Infrastruktur damit „beliebige“ Daten „safe“ von A nach B geschickt werden können: Ja. Muss das die TI sein? Nein. Aber das Projekt wird die Politik nicht mehr einstampfen. Ich erwarte eher, dass die tatsächliche Vernetzung der Ärzte über andere, besser benutzbare Plattformen stattfinden wird. An der TI vorbei, dem Können und Wohlwollen von kommerziellen Anbietern ausgeliefert. Ob das besser wird?
Zu dem Eingangskommentar bezüglich der Meldung an die Datenschützer – das quält mich ein bisschen und ich denke sehr angestrengt über die richtige Reaktion nach. Ich vermute, ich werde mal auf den vorhandenen Wegen Rückfragen einreichen. Aber mir gefällt der Gedanke das die Stellen sich so gar nicht rühren, so gar nicht…

Wenn auch nicht die Datenschützer aktiv werden, so wird dies Herr Seehofer mit Überlegungungen zum Staatstrojaner aktiv, wie folgender Artikel in der Süddeutschen Zeitung belegt:
https://www.sueddeutsche.de/politik/staatstrojaner-seehofer-ueberwachung-1.4564648
Bei der Vorratsdatenspeicherung heiß es auch zunächst, nur bei schweren Verbrechen und diese half dann bei Filesharing-Vergehen aus dem Zivilrecht. Hoffentlich findet sich der Staatstrojaner nicht auf Praxisrechnern.
Der Stammdatenabgleich war für die Gematik sicherlich am einfachsten in der Umsetzung, gleichzeitig zeichnen sich bei anderen Anwendungen Schwierigkeiten ab. Bei der Arbeitsunfähigkeitsbescheinigung ergibt sich doppelte Arbeit, wenn die Bescheinigung elektronisch an die Krankenkasse übermittelt und für die Patienten und Arbeitgeber ausgedruckt wird. Die Rezepte für Medikamente sollen parallel auf Papier und elektronisch laufen, fordert die KBV. Auch sind die Krankenhäuser noch gar nicht angeschlossen.

Ich fasse mich mal kurz.

Das sind Gedanken eines Arztes, der weiß, wovon der redet. Solche Gedanken kann man nur haben, wenn man Ahnung hat und die leuchten auch sofort ein. Ich habe tatsächlich eine weitere Sicht auf die Dinge bekommen.

Danke. Klasse.

Befremdlich empfinde ich das Verhalten der Gematik mit ihrer Geheimniskrämerei, zum Beispiel werden Informationen zu den Ports, die für eine korrekte Firewall-Einstellung erforderlich wären, leider nur unvollständig veröffentlicht. Oder von der Software des Konnektors erfährt man nur „gehärtetes Debian“ wobei es und eine vollständig offene Open-Source-Lösung ist nicht gegeben.
Der Ansatz „Security by Obscurity“ (https://de.wikipedia.org/wiki/Security_through_obscurity) ist aus meiner Sicht nicht mehr zeitgemäß. Ein bösartiger Angriff auf ein Computersystem hat nichts mit Szenarien aus Spielfilmen zu tun. Es sitzt auch niemand mit einer Ski-Maske vor dem Bildschirm. Professionelle Angreifer gehen Checklisten durch, suchen systematisch nach Sicherheitslücken, überprüfen den Patchstatus, etc. Ein professioneller Angreifer kennt das angegriffene System nach einiger Zeit wahrscheinlich besser als der offizielle Administrator.
Ich wünsche und hoffe, dass sich bei der Gematik, im Ministerium und der Selbstverwaltung von Krankenkassen und Ärzten ein Wandel in der Einstellung zu mehr IT-Sicherheit einstellt.

Hallo
Ich bin der „Böses Systemadmin“ über den Sie hier so schimpfen. Ich habe Verbindung mit Ihnen aufgenommen, Sie haben aber nicht mit mir reden wollen. Statt dessen wollen Sie über mich reden, wie es die ganzen Feiglinge heute so im Internet alle anonym tun, auch gut.
Ich möchte mal ein paar Dinge richtig stellen.
Zur Überschrift: „Nicht alles was parallel ist, ist auch böse“. Wenn Sie sich meine Sachen durchgelesen hätten, hätten Sie folgenden Satz unter https://www.happycomputer.eu/index.php/telematik-infrastruktur/#Probleme gefunden: „Da mir vorgeworfen wird, dass ich ein Gegner des parallelen Anschlusses sei, möchte ich an der Stelle folgendes klar stellen. Der Parallele Anschluss kann, wenn er richtig umgesetzt wird, deutlich sicherer sein, als der SIS. Leider wird er viel zu häufig nicht richtig umgesetzt.“
Ich denke, der sagt alles. Da muss ich nichts hinzufügen, denn der Serielle Anschluss mit SIS ist nicht sicher, das ist bereits bestätigt von höchster Stelle.
Weiterhin ist es so, dass die TI Installateure nicht den IT Betreuer bei der Installation dabei haben wollten. Außerdem haben sie alle telefonischen Anweisungen nicht umgesetzt. Statt dessen haben sie „IHR DING“ durchgezogen um einen einmaligen Stammdatenabgleich hinzubekommen, um damit die Unterschrift unter dem Zettel zu erlangen, welchen Ihnen die Abrechnung ermöglicht. Leider ist das so.
Zur Parallelschaltung brauch ich nicht zu erwähnen, dass eine Hardwarefirewall vorhanden sein muss. Der Arzt, der sich parallel anschließen lässt und keine Hardwarefirewall hat, wird zu 100% bei einem Datenvorfall bestraft und das zu Recht! Da schützt den Arzt niemanden. Alle Aussagen von KBV usw. beziehen sich auf einen zertifizierten Anschluss und der besagt parallel, dann Firewall.
Zum Reihenanschluss: Auch dieser ist nachgewiesenermaßen nicht sicher, da er keinerlei Kommunikationskontrolle ausübt. Auch das lässt sich ganz einfach testen. Einfach den Test unter https://www.happycomputer.eu/index.php/sicherheitspruefung/ ausführen.
Was bedeutet das? Ja, alle ausgehenden Datenpakete werden, wie bei einem Plastikrouter einfach durchgelassen, auch wenn es sich um Patientendaten handelt.
Kommen wir zu den Plastikroutern: Nein sie sind nicht ausreichend! Übrigens mit Ihrer Meinung hätten Sie im Mai noch mit Heise auf der gleichen Wellenlänge gelegen. Da hatte ich mit Heise exakt die gleiche Diskussion. Heute, habe ich diese nicht mehr. Lesen Sie hierzu: https://www.heise.de/ct/artikel/Emotet-bei-Heise-4437807.html Ich stehe mit Heise in Verbindung und habe mich auf der Pressekonferenz auch mit dem Reporter getroffen und mit ihm gesprochen. Heute ist Heise nicht mehr der Meinung.
Eine Firewall, welche alle ausgehenden Datenpakete kontrolliert ist in einer Arztpraxis mit Internetanschluss unbedingt erforderlich! Ich bin Anfang August im Bundesgesundheitsministerium eingeladen um die gesicherten Probleme zu bearbeiten und werde dort dafür sorgen, dass genau das nun endlich veröffentlicht wird. Das muss ich tun, weil Systemadministratoren und auch Softwarehersteller solchen Quatsch schreiben.
Wenn kein Mensch jemals einen Fehler machen würde, wäre ohne Hardwaresicherheitslücken solch ein Router schon eine Barriere, die nur durch Hacker zu überwinden ist.
Mit diesem Satz habe ich bereits drei Probleme aufgezeigt.
1. Menschen machen Fehler, auch Ärzte. Sei es durch unachtsames öffnen einer Mail oder benutzen eines USB Sticks und vieles mehr.
2. Die Router haben (sogar bekannte) Sicherheitslücken. Router sind außerdem so nett, sich am Internetanschluss mit ihrer Identität vorzustellen. Das heißt, ich weiß immer, welcher Router da steht und kann die aufgelisteten Sicherheitslücken für den betroffenen Router abarbeiten und mir so Zugriff auf das Netzwerk verschaffen.
3. Die Daten sind so begehrt, das auch Hacker die Praxen angreifen um Ärzte oder ihre Patienten zu erpressen oder die Daten gewinnbringend zu verkaufen.
Ich denke, dass ich nun nicht erst erörtern muss, dass Malware über USB, Mail, Hacking, Internet usw. dafür genutzt werden kann die Daten zu stehlen.
Zu Ihrer Überschrift: „Alles muss deaktiviert werden damit es läuft“ Das hat niemand gesagt. Es wird nur leider so gemacht. Wie viele Bilder soll ich Ihnen senden über deaktivierte Firewalls und AntiVirenProgramme? Reichen 100? Oder 200?
Ich habe mit einem Vertreter des Bundesdatenschutzes, dem Landesdatenschutzbeauftragten NRW, seinem Techniker sowie seiner Juristin zwei Arztpraxen besichtigt. (eine war nicht mein Kunde) Die Delegation hat sich vor Ort vom desaströsen Zustand der TI-Anschlüsse überzeugt. Ich musste meine Aussagen, dass die Patientendaten für Hacker leicht zugänglich sind, beweisen. Das habe ich getan. Glauben Sie, ich dürfte solche Behauptungen ungestraft verbreiten, wenn sie nicht wahr wären? Dann Sind Sie aber naiv.
Zu Ihrer Aussage: „Soweit ich weiß, erfolgt kein Verbindungsaufbau vom Konnektor zur Software“ Fragen Sie sich doch mal, wie denn die Daten in den Rechner kommen? Natürlich sendet der Konnektor die Daten aus der TI an den Rechner! Dafür wird sogar noch ein extra Firewallport frei geschaltet.
zu Ihrer Aussage: „Dies wird über Systeme beim Provider realisiert, welche den Empfehlungen des BSI für Sicherheitsgateways entsprechen.“ Auch das ist falsch. Das BSI hat mir schriftlich bestätigt: „Der VPN-Zugangsdienst mit dem Secure Internet Service selbst werden nicht durch das BSI zertifiziert…“ Im BSI Grundschutzkompendium ist klar geregelt, wie sich eine Firewall verhalten muss. Das ist leider beim SIS nicht so wie gefordert. Darum bin ich auch beim BGM.
Zum Virenscan, unsere kleinste Firewall filtert die Viren raus, warum nicht der SIS? Schließlich bezahlen die Ärzte dafür!

Auch Ihre Ausführungen zum White-Hat Hacking sind nicht richtig. Die Bestrafung beginnt bereits wenn Sie, wegen der unverschlüsselten Kommunikation zwischen Kartenlesegerät und Konnektor (wird sogar auf Ihrer eigenen Webseite angeprangert), die echten Patientendaten sehen. Das bereits ist ein meldepflichtiger Verstoß gegen die DSGVO! Weiterhin ist immer dann, wenn Sie ein Passwort oder eine Verschlüsselung aushebeln ein Straftatbestand gegeben. Und ja, der Bundesdatenschutzbeauftragte hat zusammen mit seiner Juristin ein Verbot ausgesprochen und uns auf die Strafbarkeit hingewiesen. Ob Sie das glauben ist mir egal. Da ich es offen propagiere, sogar im Haus der Bundespressekonferenz in Berlin bei einer Pressekonferenz (Rede können Sie hier nachlesen https://www.happycomputer.eu/index.php/presse/), und immer noch unbestraft bin wird wahrscheinlich etwas wahres dran sein.
Die Aussage“ Kein TI-Techniker kann bei einer von mir betreuten Praxis irgendwelche Maßnahmen durchführen, die das Sicherheitsniveau dauerhaft signifikant senken.“ Glauben Sie wahrscheinlich selbst nicht oder? Ich kann ja mal zu Ihnen kommen und Ihnen demonstrieren, wie weit ich das Sicherheitsniveau senken kann.
Es gibt noch viele Mängel, die wir behoben haben möchten. So z.B. der PIN des Kartenlesegerätes, welcher von Köln bis München 12345678 ist. Einfach Klasse. Das Rauschen bei der Eingabe der Pins wird abgeschaltet. Na klar, welcher Depp programmiert solch einen Unsinn. Die Verschlüsselung wird nicht genutzt. Rechner, welche seit 6 Jahren ohne Internet in Praxen stehen, werden ans Netz gehängt, ohne Updates und ohne Schutz. Anschluss der Rechner an WLAN oder überhaupt WLAN im Praxisnetz. Übrigens, all die Fehler führen zum Verlust der Zertifizierung und zwar jeder einzelne davon. Der Verlust der Zertifizierung führt zur 100% Haftung des Praxisbetreibers! Das sind Fakten. Die kann keiner wiederlegen!
Wenn Sie der Meinung sind, dass der Plastikrouter doch so toll schützt, warum installieren Sie Sicherheitsupdates? Genau! Weil ich jede Lücke trotz NAT nutzen kann und mich Ihr Plastikrouter nicht davon abhält.
Sie können mich gern kritisieren, aber wenn sie über Sicherheit sprechen wollen, dann sollten Sie wenigstens ein bisschen Ahnung mitbringen. Und seien Sie ein Mann und sprechen Sie mit mir und nicht über mich. Meine Telefonnummer ist 02304 776677. Ich freue mich auf Ihren Anruf.
Warum Tu ich das? Das habe ich mich schon oft gefragt. Ich beantworte täglich 400 Mails kostenlos und berate kostenlos die Ärzte und nun auch das Ministerium. Ich mache das, weil ich der Meinung bin, dass es kein Patient verdient hat, dass wegen eines ignoranten It-lers seine Patientendaten öffentlich werden. KEINER!! IT-Sicherheit kennt keine Kompromisse.
Schon gar nicht im Gesundheitssektor!
Und noch ein Fakt. Durch meine Arbeit kann ich ihnen garantieren, dass es bereits zahlreiche Datenverluste gegeben hat. Die Behörden sind informiert. Ich finde Aufklärung gut, aber nur so lange, wie es die absolute Wahrheit ist.Rufen Sie mich gerne an, das ist wirklich ehrlich gemeint.

Herzlichen Dank für Deine Erklärungen. Den fremden Blog kenne ich auch und dieser hatte bei mir mehr Fragen als Antworten hinterlassen und mir wurde durch Dich einiges klarer.

Ich stimme Dir zu, dass die Kommunikation der Einführung der Telematik katastrophal war und viele Widerstände und Ängste dadurch verursacht wurden. Auch stört mich, dass man als Praxisinhaber nicht ernst genommen wird, wenn man auf Probleme hinweist. Dafür gibt es immer mehr Zwang, wie die Honorarabzüge bei Nicht-Installation, Zwangsimpfungen, …

Aus ärztlicher Sicht bietet die Telematik derzeit keinen wirklichen Vorteil, denn das Versichertenstammdatenmanagement, VDSM, ist eigentlich eine Aufgabe der gesetzlichen Krankenkassen. In der ärztlichen Praxis gibt es auch Probleme, so kann man die alten KVK-Karten, freie Heilfürsorge der Polizei oder Privatpatienten, können nicht mehr eingelesen werden. Bald sollen die Arbeitsunfähigkeitsbescheinigungen elektronisch an die Krankenkassen übermittelt werden und man hat dann doppelte Arbeit, nämlich Ausdrucken für Patient und Arbeitgeber plus die Übermittlung an die Krankenkassen. Auf Entlassungsbriefe aus Kliniken warte ich als niedergelassener Arzt oft Wochen und Monate. Da machen die wenigen Tage Postversand auch keinen Unterschied mehr gegenüber einem elektronischen Versand.

Es haben auch nicht alle IT-Techniker Dein Niveau. Mein letzter Techniker bekam 120 Euro pro Stunde und stieß bei der Installation eines Office-Programms und Druckers an seine Grenzen.

Im Krankenhaus gibt es eine IT-Abteilung und durch die Verantwortungsdiffusion ist man als Arzt aus der Verantwortung für Datenlecks raus. In der niedergelassenen Praxis ist man jedoch für alles verantwortlich. Ich gehe davon aus, dass die TI-Einführung zusammen mit anderen Entwicklungen dazu führen wird, dass immer mehr ambulant tätige Ärzte von der Freiberuflichkeit in die Anstellung wechseln.

Zu den Sicherheitsrisiken der IT im Gesundheitswesen und Möglichkeiten der Abhilfe möchte ich auf folgenden offenen Brief von IT-Sicherheitsexperten aus der Ärztezeitung vom Januar 2019 hinweisen:

https://www.aerztezeitung.de/includes/pdf/offener-brief.pdf

2016 wurden zwei Dutzend Kliniken in NRW erpresst, weil ein Verschlüsselungstrojaner sich deren Daten angenommen hatte. November 2018 wiederholte sich dies in Fürstenfeldbruck, wobei der Verwaltungschef glaubte, man sei in Sachen IT-Sicherheit gut aufgestellt. Es wird fröhlich vernetzt, aber die Sicherheit bleibt auf der Strecke.

Die Kassenärztliche Bundesvereinigung, KBV, hat übrigens weitere Pläne zur Terminvereinbarung und stellt diese in einem Video vor:

https://www.kbv.de/html/40747.php

So soll ein Zentralrechner mit dem Terminkalender des Praxisverwaltungsprogramm vernetzt werden und die Patienten buchen ihre Termine genauso, wie sie im Online-Handel bestellen. Hoffentlich gibt es dann nicht genauso viele „Retouren“ bei Fehlbuchungen.

Ohne jede Frage führt die TI zu einer Zunahme der Komplexität in einer Arztpraxis. Und die ist selbst in kleinen Praxen mitunter schon erheblich. Das alles ohne Konzept (jeder Dienstleister fummelt sich irgendwas zurecht) und Koordiniation. Das ist gerade in Hinblick auf die Sicherheit, aber natürlich auch auf Stabilität, Kosten und Bedienbarkeit eine Katastrophe. Und ja, es gibt in meiner Branche viele Leute die Geld nehmen für Dinge, die ich aus reiner Zwanghaftigkeit machen würde (muss ja ordentlich sein). Auch in der IT Branche fehlt es oft an einer Qualitätskontrolle. Leider auch an entsprechenden Feedback von den Kunden. Solange es „irgendwie“ funktioniert, sind die Kunden in der Regel „glücklich“. Da hat man es im KH deutlich besser. Da gibt es IT-Abteilungen mit eigenem QM und betriebswirtschaftlichen Mechanismen (wer nix taugt fliegt raus – manchmal). Ärzte können Patienten behandeln und ITler kümmern sich um die EDV. In der eigenen Praxis muss man das als Verantwortlicher zusammenführen. Und ich weiß aus eigener Erfahrung, dass das manchmal schwierig ist. Auch weil Erwartung (geht doch Zuhause auch), Budget und Sicherheitsbedenken sich gegenseitig im Weg stehen. Hier fehlt es manchmal an Durchsetzungsvermögen der Dienstleister. Ich versuche auch nicht den Arzt von der richtigen Behandlungsmethode zu überzeugen. Ich erwarte, dass er die gängigen Varianten kennt und nach bestem Wissen und Gewissen, die für mich passende raussucht.
Selbst Schuld sind Ärzte beim Thema Vernetzung untereinander. Das man sich da nicht schon vor Jahren auf einen Standard und eine Plattform (von entsprechenden Trägern betrieben) geeinigt hat, geht mir nicht in den Kopf. So viele Interessenvertreter. Und das naheliegende wird von niemanden ernsthaft angepackt?!
Ich bin gespannt wohin die Reise mit der TI geht. Noch bin ich nicht davon überzeugt, dass dies die Plattform ist, über die in 5 Jahren primär kommuniziert wird. Zu unflexibel, zu träge in den Entwicklungsprozessen. Aber ich bin trotzdem sicher, dass Vernetzung untereinander wichtig ist für die Ärzte. Und wegen mir auch für die Apotheken. Man hätte es einfach nur besser „verkaufen“ müssen. : )

Interessant finde ich in diesem Zusammenhang eine Rundmail von Hasomed, einem Softwarehaus, welches mit Elefant ein beliebtes Praxisverwaltungsprogramm vertreibt. Die Kernaussagen sind: mit der Einführung der Telematik stieg die durchschnittliche Gesprächsdauer auf der Hotline auf das Dreifache, die Anzahl der Anrufe pro Monat hat sich verzehnfacht, die Hersteller von Konnektor und Kartenterminal bringen unerwartet viele Updates heraus, die per Fernwartung eingespielt werden müssen und der Arbeitsmarkt für qualifiziertes Personal ist leer gefegt. Daher bittet man die schlechte Erreichbarkeit der Hotline zu entschuldigen. Von meinen Kollegen mit anderen Praxisprogrammen höre ich ähnliches. Die Softwarehäuser scheinen da wirklich am Limit zu sein.
Die Unzufriedenheit rührt auch daher, dass auf die Praxen Mehrarbeit zukommt, der Nutzen noch nicht gegeben ist und das Honorar zum Einkauf von externen Dienstleistungen im IT-Bereich nicht angepasst wurde.

Hier meine Mail an Hasomed. Das Fallschirmpapier ist voller Probleme.

Sehr geehrte Damen und Herren

Ich bin der „böse Systemadministrator“, der gerade den Aufbau der TI bemängelt. Mit Verwunderung habe ich Ihr Statement Praxissicherheit gelesen. Als erstes möchte ich feststellen, dass Sie eine Software für Psychotherapeuten herstellen. Damit gehören die Daten in der Software und auf den Rechnern allgemein, in solch einer Praxis, zu den sensibelsten Daten, die ein Mensch haben kann, anders als z.B. bei einem Zahnarzt. Gerade bei Ihnen sollten ausschließlich die höchsten Anforderungen gelten.

Ihr Schreiben zeigt mir, dass Deutschland derzeit definitiv noch nicht bereit ist für eine TI ist.

Ich finde es erst einmal gut, dass Sie sich nach meinen Veröffentlichungen mit der Materie auseinandersetzen, bin aber über das Ergebnis enttäuscht. Haben Sie sich wirklich auch nur annähernd den Grundschutzkatalog angesehen? Mir ist sehr wohl klar, dass der in seinem vollen Umfang kaum umsetzbar ist, besonders bei kleinen Praxen. Aber was Sie da schreiben verstößt meiner Meinung nach ganz klar gegen jede Regel.

Zu
WAS EMPFIEHLT DIE KBV?

„[…] Zudem würden häufig die Konnektoren in Form eines „Parallelbetriebs“ angebunden werden, sodass die Schutz¬funktionen des Konnektors [hier der Reihenbetrieb gemeint, Anmerkung von HASOMED] für die Praxis nicht genutzt werden“.3

Ihre Anmerkung ist falsch. Die KV hat recht. Bei einem Parallelbetrieb werden die Schutzfunktionen des Konnektors nicht genutzt. Dem gibt es nichts hinzuzufügen.

zu
4. Ist das Telefon mit dem PC verbunden? Wenn ja, spricht dies für Parallelbetrieb.
Auch das ist nicht richtig. Wenn die Telefonanlage parallel zu dem Konnektor angeschlossen wird ist Telefonie und Reihenschaltung kein Problem. Will man auch noch CAPI Dienste nutzen ist eine weitere Schnittstelle allein zur Telefonanlage ohne Internetanbindung möglich. Um die Sicherheit der Daten zu gewährleisten, sollte jeder Arzt 10 €/Rechner, der CAPI nutzen will, für eine weitere Schnittstelle ausgeben.

Zu
6. Hat die Praxis einen WLAN-Drucker? Wenn ja, spricht dies für Parallelbetrieb.
Ein WLAN hat in einer Praxis mit solch sensiblen Daten nicht zu suchen!!!! Außer eine 802.1x Verbindung (selbst die ist nicht 100% sicher, und die haben Sie bestimmt nicht installiert) ist kein WLAN sicher!!!!!
Selbst WPA3 ist bereits gehackt worden, bevor ich überhaupt ein Gerät gesehen habe, welches WPA3 kann. https://www.computerbase.de/2019-04/wpa3-schwachstellen-dragonblood-wlan-passwort-hacken-unsicher/
zu WPA2 Das sind allein die Sicherheitslücken, welche für WPA und WPA II bereits bekannt sind.
CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088
Sie wollen wissen, wie einfach das geht? https://www.heise.de/security/artikel/KRACK-so-funktioniert-der-Angriff-auf-WPA2-3865019.html
Es ist an uns, den Ärzten den WLAN auszureden!!! Übrigens haben auch die Gerichte mehrfach in Filesharingverfahren festgestellt, dass jedes WLAN unsicher ist. Damit dürfte die Haftung des Arztes bereits bestätigt sein. https://von-wegen-abmahnung.de/blog/bgh-urteil-wlan-schluessel

Zu
Niemals sollte ein sicherheitsrelevanter Rechner direkt mit dem Internet verbunden werden. Bis hier stimme ich mit Ihnen überein. Die Verbindung sollte stets zumindest über einen Router mit NAT-und Firewall-Funktionalität erfolgen. [HASOMED: Die aktuellen Router wie eine FRITZ!Box oder Speedport der Telekom erfüllen diese Anforderung.]
An dieser Stelle möchte ich entschieden Intervenieren.

1.) Fünf von sechs Routern enthalten bekannte Sicherheitslücken
https://www.golem.de/news/sicherheit-fuenf-von-sechs-routern-enthalten-bekannte-sicherheitsluecken-1810-136957.html
Dabei handelte es sich um moderne neue Router, nicht die alten Speedports, die in Arztpraxen seit Jahren ohne Updates vor sich hin laufen!!!!
2.) Selbst das BSI hat neue Richtlinien zu sicheren Routern herausgegeben.
https://www.ccc.de/de/updates/2018/risikorouter
Hier kann man nachlesen, dass selbst die nicht weit genug gehen!!!!
3.) Zitat aus BSI Grundschutz: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/NET/NET_3_2_Firewall.html

Die gesamte Kommunikation zwischen den beteiligten Netzen MUSS über die Firewall geleitet werden. Es MUSS sichergestellt sein, dass von außen keine unbefugten Verbindungen in das geschützte Netz aufgebaut werden können. Ebenso DÜRFEN KEINE unbefugten Verbindungen aus dem geschützten Netz heraus aufgebaut werden.
Für die Firewall MÜSSEN eindeutige Regeln definiert werden, die festlegen, welche Kommunikationsverbindungen und Datenströme zugelassen werden. Alle anderen Verbindungen MÜSSEN durch die Firewall unterbunden werden (Whitelist-Ansatz). Die Kommunikationsbeziehungen mit angeschlossenen Dienst-Servern (z. B. E-Mail-Servern, Web-Servern), die über die Firewall geführt werden, MÜSSEN in den Regeln berücksichtigt sein.
Es DÜRFEN KEINE IT-Systeme von außen über die Firewall auf das interne Netz zugreifen (siehe Vorgaben aus dem Baustein NET.1.1 Netz-Architektur und -design). Etwaige Ausnahmen zu dieser Anforderung werden in den entsprechenden anwendungs- und systemspezifischen Bausteinen geregelt.
Es MÜSSEN Verantwortliche benannt werden, die Filterregeln entwerfen, umsetzen und testen. Zudem MUSS geklärt werden, wer Filterregeln verändern darf. Die getroffenen Entscheidungen sowie die relevanten Informationen und Entscheidungsgründe MÜSSEN dokumentiert werden.
Bitte zeigen Sie mir, wie Sie mit einer Fritzbox oder einem Speedport diese äußerst wichtigen Punkte umsetzen wollen? Nur so zur Info, mit dem Konnektor wird der Praxisrechner Teil des geschützten Netzes!

Übrigens, eine kleine wahre Begebenheit dazu. Die gleiche Diskussion habe ich mit Heise Security geführt. Dort war man auch der Meinung, dass eine Fritzbox mit einer Firewall ausgerüstet, oder ein NAT Router ausreichend als Schutz sei. Selbst setzt Heise aber Firewalls ein. Diese waren aber offensichtlich nicht so konfiguriert, wie es der Grundschutzkatalog fordert. Kurz nach unserer „Mail-Diskussion“ ende April ist Heise nur wenige Tage später am 13.05.2019 Opfer eines Trojaners geworden. Unter https://www.heise.de/ct/artikel/Emotet-bei-Heise-4437807.html kann man nun nachlesen, was das für Heise bedeutet. So kann man lesen:

Zitat:
Das änderte sich Mittwochnachmittag, als in den Firewall-Logs reihenweise Verbindungen zu bekannten Emotet-Servern auffielen. Ein schneller Check zeigte, dass bereits eine ganze Reihe von Rechnern über seltsame Verbindungen etwa auf TCP-Port 449 nach draußen kommunizierte. Das bedeutete: „ROTER ALARM!“

Mit einer richtig konfigurierten Firewall nach Grundschutzkatalog wäre das nicht möglich gewesen. Lesen Sie den Artikel mal komplett durch!

Weiter heißt es:
Welche Daten die Kriminellen bereits abziehen konnten, ist noch nicht ausreichend geklärt. Die Verantwortlichen haben den Vorfall jedenfalls bei der zuständigen Datenschutz-Aufsichtsbehörde gemeldet, wie es die DSGVO fordert.

Ganz Aktuell ist seit dem 05.06.2019 eine gezielte Angriffswelle auf Arztpraxen und Apotheken mit einem Trojaner gestartet.
https://www.aerztezeitung.de/politik_gesellschaft/krankenkassen/article/989934/trojaner-tk-warnt-arztpraxen-gefaelschten-mails.html
https://www.deutsche-apotheker-zeitung.de/news/artikel/2019/06/06/apotheker-und-aerzte-warnen-vor-krankenkassen-trojaner
https://www.kvhessen.de/tk-fake-mail/
https://www.aerzteblatt.de/nachrichten/103703/Warnung-vor-Trojanern-in-falscher-TK-Mail

Wir haben uns den Trojaner von einem Psychologen schicken lassen. Wir wollten untersuchen, was der tut. Das Macro haben wir bereits offen und die Programmierung ist sogar kommentiert. Das spricht für einen professionellen Trojaner. Dieser lädt erst aus dem Internet den Schadcode. Dieser kann sich daher sogar von Mal zu Mal ändern. Ohne Internetanschluss oder hinter unserer Firewall ist der Virus wirkungslos. Wir müssen nun, um weiteres herauszubekommen, ein schlechtes Netz mit einem Router (und wir werden die neueste Fritzbox dafür einsetzen, um zu beweisen, dass auch moderne Router mit einer Firewall nicht ausreichen) aufbauen, um die Funktionsweise des Trojaners zu ermitteln und herauszubekommen, ob dieser Trojaner sogar Daten stiehlt. Sollte das der Fall sein, wären erneut unzählige Daten im Internet gelandet, denn es wurden einige Arztpraxen infiziert. Möglich wird dies durch fehlende gesetzliche Regelungen, wie die TI aufgebaut werden MUSS. Ich habe bereits mehrere Meldungen vorliegen, wonach Praxen, auch Psychologen, nach der TI Anbindung befallen wurden. Ein Systemadmin berichtete mir von 446 Trojanern. Das muss aufhören!!!!

zu
• WLAN ist erlaubt, aber verschlüsselt
Dazu hatte ich mich geäußert.

Ärzte müssen das nicht wissen. Es ist an uns, den ITlern, die darüber aufzuklären und Dinge abzuschalten, die so nicht richtig sind!

Zu:
Szenario 3 (laut „Technischer Anlage Datenschutz“ nicht optimal, aber in Ordnung)
• Parallele Anbindung
• Router mit NAT-Firewall
• WLAN mit WPA2 und MAC-Filter
• Laptop oder PC mit Windows 10, guten Passwörtern, Bildschirmsperre, Antivirus, Personal Firewall, ver-schlüsseltes PVS (Elefant Zusatzmodul Security-Mode), Festplattenverschlüsselung

Auch der MAC Filter rettet Sie nicht. Es ist ein leichtes eine bestehende oder schon einmal verbundene Mac zu fälschen!!

Laut den Medien soll es Einzelfälle gegeben haben, bei denen die Sicherheitsfunktionen auf dem Computerabgeschaltet worden sind.
Wir haben uns das zusammen mit dem Bundesdatenschutz und dem Landesdatenschutzbeauftragen angesehen. Leider waren es keine Einzelfälle. Ich habe Bilder aus ganz Deutschland bekommen mit abgeschalteten Firewalls, sogar richtig teure Softwarefirewalls. Hier ein Beispiel aus der Antwort von mir an den Arzt.

Da ich täglich unzählige Mails, übrigens kostenlos, beantworte, habe ich Ihr Dokument nur überflogen. Da finden sich bestimmt noch mehr Dinge. Ich möchte Sie bitten, dieses Dokument noch einmal zu überarbeiten. Ich werde diese Mail auch an den Bundesdatenschutzbeauftragten und Landesdatenschutzbeauftragten weiterleiten. Ich bin der Meinung, dass hier ganz klare gesetzliche Regelungen zwingend erforderlich sind. Wie soll ein Arzt sich in dem Chaos an Informationen, welche sich alle wiedersprechen, zurechtfinden. Und Ihr Unternehmen ist viel größer als meins. Warum sollten mir dann die Ärzte glauben?

Ich bin ebenfalls der Meinung, dass solch ein Dokument Ihre Rechtsabteilung noch einmal prüfen sollte, da sich hieraus ein Haftungsanspruch ergeben könnte.

Ich weiß gar nicht, wie ich weiter argumentieren soll. Ich verdiene damit keinen EURO. Mir sind lediglich die Daten der Menschen wichtig und ich kann die Umsetzung der TI in der Form, wie ich sie bisher gesehen habe nur auf das Schärfste kritisieren. Alle weisen nur die Schuld auf Andere. Der Patient bleibt mit seinem Problem allein und hat nicht die Möglichkeit zu verhindern, dass seine Daten im Netz landen. Wer kommt für die Schäden auf, die dabei entstehen?

Ihre für mich entscheidenden Sätze sind:

Die gematik setzt einen umgesetzten IT-Grundschutz des BSI4 voraus. Verantwortlich dafür ist die Praxis. Die Umsetzung des Grundschutzes kann der DvO nicht prüfen. Hat die Praxis diesen Grundschutz nicht umgesetzt, soll die Reiheninstallation vorgenommen werden.

Meine Anmerkung dazu ist: Der Gesetzgeber ist nun am Zug die Umsetzung der TI zu regeln. Dabei hat er festzulegen: Der DvO hat die örtliche Prüfung durchzuführen. Ist der IT-Grundschutz nicht umgesetzt, ist die Reiheninstallation anzuschließen. Dem ist nichts hinzuzufügen. Nur so ist der Schutz der Daten zu gewährleisten! Und die sind an der Stelle das einzig Wichtige! Ob der Arzt WLAN möchte oder er dann die Telefonnummer mit der Hand wählen muss ist mir vollkommen egal! Will er mehr Luxus, dann muss der den Grundschutz umsetzen!
Beachten Sie bitte weiterhin, dass weder unsere Techniker noch HASOMED Bescheinigungen ausstellen können, die bestätigen, dass Ihr Praxisnetz auch nach der Konnektorinstallation über alle der gewählten Installationsweise ent¬sprechende Sicherheitsfunktionen gemäß dem Bundesamt für Sicherheit in der Informationstechnik (BSI) verfügt.
Meine Anmerkung dazu ist: Der Gesetzgeber ist nun am Zug die Umsetzung der TI zu regeln. Dabei hat er festzulegen: Wenn der DvO parallel angeschlossen hat, hat der Techniker der Praxis schriftlich zu bestätigen, dass der IT-Grundschutz umgesetzt wurde. Damit ist auch die Haftung des Praxisinhabers auf den DvO zu übertragen. Dem ist nichts hinzuzufügen. Wenn die Unternehmen mit in der Haftung stehen, dann wird der Aufbau auf einmal ganz anders erfolgen, da bin ich mir ganz sicher. Kein Unternehmen wird dann der Meinung sein, dass ein Speedport eine ausreichende Sicherheit darstellt.
Ich glaube, mit den zwei Vorschlägen können viele Ärzte sich anfreunden.
Ich würde mich freuen, wenn Sie mir antworten. Bitte verstehen Sie diese Mail als konstruktive Kritik. Mir geht es nicht darum ihnen einen Euro aus Ihrem Geldsäckel zu nehmen. Ich mache auf Grund der geringen Kundenanzahl die Ärzte sind gar keine TI Installation. Aber meine Ärzte wurden von mir sicher angeschlossen und die TI Techniker haben die Sicherheit außer Kraft gesetzt. Dagegen habe ich mich gewehrt. Nun weiß ich, dass in ganz Deutschland Probleme beim Aufbau der TI aufgetaucht sind. Das sin keine Einzelfälle.
MFG

Jens Ernst

Die Ärzte sind schon immer untereinander vernetzt – Post, Fax und Telefon werden benutzt.
–> Somit besteht kein Handlungsbedarf.

Eine regionale medizinische Standesorganisation beispielsweise ermöglicht auch sicheren Fileaustausch (seit ca. 10 Jahren) auf einem mit Passwort + Zertifikat gesichertem Server, wenn es unbedingt von PC zu PC sein muss.
–> Somit besteht kein Handlungsbedarf.

PGP, gpg, … sind schon lange erfunden und dürfen bei Bedarf auch in der Medizin genutzt werden.
–> Somit besteht kein Handlungsbedarf, ist halt nicht praktikabel, wenn kein anderer Arzt diese Programme kennt und außerdem der Rechner mit den sensiblen Daten ohnehin nicht ans Netz darf.

Nehmen wir an, es wird eine Telematik nach BSI-Vorgaben im Reihenbetrieb betrieben, was nur gegen den erbitterten Widerstand des Anbieters machbar ist (warum nur?).

Natürlich vertraut eine Praxis Microsoft und allen SW-Lieferanten, es war ja bei der Spezifikation bekannt, dass 99% der Praxisserver /Clients auf Windows laufen. Natürlich vertraut eine Praxis darauf, dass über den SIS gar keine Daten entwendet werden können, sonst wäre es ja kein Sicherer Internet Service (SIS), sondern ein unsicherer (UIS).

Wären zusätzliche Absicherungen auf den Client erforderlich, so hätte die Gematik diese spezifiziert oder der SIS filtert die ungewollten Verbindungen, (von denen z.B. das Whitepaper der Datenschutzkonferenz berichtet) sicherlich heraus.
–> Somit auch keine Ärztehaftung möglich, egal was der Client-Rechner tatsächlich macht.

Natürlich wurde jede Praxis angeschlossen, nachdem aller Widerstand dagegen gescheitert ist. Warum sollte die Praxis eine mit Honorarkürzung belegte Ordnungswidrigkeit begehen? Praxis-Datenschutz-Konzept sieht keinen Anschluss des sensiblen Rechners vor, der Gesetzgeber hat es so gewollt und über die regionale Standesorganisation unter Anwendung von grober Gewalt erzwungen. Für das Einreichen einer Steuererklärung mache ich auch keine Datenschutzfolgenabschätzung, das ist einfach Pflicht. So ist das hier auch.

Der Druck auf die Praxen nimmt immer mehr zu un die Honorarabzüge bei Anschlussverweigerung steigen im nächsten Frühjahr auf 2,5%. Letztlich wird alles komplizierter und der Betrieb einer eigenen Praxis immer unattraktiver.

Vom Berufsverband VPP wird der Parallel-Anschluss der Telematik weiter verteidigt:

https://vpp.org/meldungen/19/191130_irrefuehrende_presseberichte.html

Im Gegensatz zum BVVP, https://bvvp.de/ , der dem seriellen Anschluss den Vorzug gab, riet der VPP schon zu Beginn zum parallelen Anschluss.

Inzwischen bietet die Kassenärztliche Vereinigung Nordrhein eine Fortbildungsreihe zur IT-Sicherheit an:

https://www.kvno.de/10praxis/10praxisinformationen/10termine/it-sicherheit/index.form

Irgendwie rücken medizinische Themen in der Patientenversorgung immer mehr in den Hintergrund.

„Ich stelle jetzt also die These auf, dass der Leistungsumfang der SIS nie eine aktive Malware-Detektion beinhaltet hat. Wenn dazu jemand anderslautende Informationen hat, würde ich mich über eine Info aber sehr freuen.“

TLS-Interception gibt es tatsächlich keine. Hier eine vermutlich unvollständige Liste an Anforderungen der gematik, die aber einen Eindruck davon vermittelt, was der SIS so alles abfangen sollte:

TIP1-A_4344 – VPN-Zugangsdienst SIS, Maßnahmen gegen Schadsoftware

Der VPN-Zugangsdienst MUSS im SIS bei der Übertragung von Daten über unverschlüsselte Protokolle Maßnahmen zum Schutz vor Schadsoftware umsetzen.
<=

TIP1-A_4345 – VPN-Zugangsdienst SIS, Application Layer Gateway

Der VPN-Zugangsdienst MUSS im SIS Application Level Gateways/Anwendungsproxies zur Kontrolle des Datenverkehrs für folgende Protokolle bereitstellen:
-HTTP und HTTPS
-FTP
-SMTP und SMTPS
-IMAP und IMAPS
-POP3 und POP3S
Eine Erweiterung um zusätzliche Application Level Gateways/ Anwendungsproxies für Standardprotokolle MUSS möglich sein.
<=

TIP1-A_4346 – VPN-Zugangsdienst SIS, Paketfilter

Der VPN-Zugangsdienst MUSS im SIS Paketfilter mit Stateful-Inspection-Funktion bereitstellen.
<=

TIP1-A_4347 – VPN-Zugangsdienst SIS, Filter für aktive Inhalte

Der VPN-Zugangsdienst MUSS im SIS für unverschlüsselte Protokolle Contentfilter für aktive Inhalte bereitstellen.
<=

TIP1-A_4348 – VPN-Zugangsdienst SIS, URL-Filter

Der VPN-Zugangsdienst MUSS im SIS URL-Filterfunktion bereitstellen.
<=

TIP1-A_5155 – VPN-Zugangsdienst SIS, Verhinderung Verbindungsaufbau aus dem Internet

Der VPN-Zugangsdienst MUSS im SIS jeden Verbindungsaufbau aus Richtung Internet verhindern.
<=

TIP1-A_5156 – VPN-Zugangsdienst SIS, Erkennung von Angriffen aus dem Internet

Der VPN-Zugangsdienst MUSS im SIS durch technische Maßnahmen sicherstellen, dass Angriffe aus dem Internet erkannt werden können.
Als geeignete Maßnahmen werden angesehen:
-Auswertung von Logfiles
-Auswertung von Netflow
-Intrusion Detection Systeme (IDS)
<=

Im Übrigen: Vielen Dank für diesen Artikel!

Hallo Jörg.
Vielen Dank dafür. Deckt sich hervorragend mit meinen Vermutungen. Alles übliche Funktionen von herkömmlichen UTM (nextGen) Firewalls. Alles andere hätte mich auch überrascht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert