Ist die TI ein Sicherheitsrisiko?

Wer mich kennt oder mir bei Twitter folgt weiß – ich kritisiere die Art und Weise, mit der die Telematik-Infrastruktur Einzug in die deutschen Arztpraxen gehalten hat. Der Rollout war schlecht vorbereitet, die Techniker in der Anfangszeit mal mehr mal weniger von der Technik und der Bürokratie überfordert. Außerdem hat man wissentlich das Anfangsgeschäft einem Anbieter überlassen, welcher nach meiner Erfahrung mit den Maßnahmen zur Gewinnoptimierung nicht zimperlich ist. Damit die Einführung dann aber auch richtig schief geht, hat man anscheinend sämtliche mit PR oder Marketing vertraute Leute entlassen und die – imho elementar wichtige – Aufklärungs- und Informationsarbeit den Praktikanten (These) machen lassen. Weder hat man Ärzten klar und deutlich kommuniziert, was auf sie technisch und rechtlich zukommt, noch hat man den Praxisbetreuern klare Informationen zur Verfügung gestellt, welche Anpassungen am Praxisnetz vorzunehmen sind. Oder ob überhaupt.

Und trotzdem ist das alles gut?

Das ich Art des Rollouts, bürokratische Herangehensweise und nicht zuletzt die zum Start verfügbaren Features kritisiere, bedeutet aber nicht dass ich Gegner eine Vernetzung wäre. Im Gegenteil. Ich glaube, das Gesundheitswesen in Deutschland ist in den 80ern stehen geblieben. Eine Vernetzung aller Mitspieler ist zum Wohle des Patienten und zur Optimierung der Abläufe unumgänglich! Da Ärzte (hier stellvertretend für alle Mitspieler) dankbare Opfer der Industrie sind wenn es darum geht, heillos überteuerte Artikel an die Frau bzw. Mann zu bringen, halte ich eine staatliche Vorgabe hinsichtlich Netzgestaltung und Sicherheitsniveau für äußerst sinnvoll! Nur so bleibt gewährleistet, dass alle Teilnehmer sich mit den gleichen Voraussetzungen im Netz bewegen. Soll heißen – nur wenn der Staat die Basics vorgibt, kann man eben jene Basics zu einem angemessenen Preis in der Breite ausrollen. Das Geschäft können die Firmen dann mit nicht notwendigen aber vielleicht attraktiven Addons machen. Was mir an dieser Stelle aber auch ziemlich egal sein darf. Denn natürlich hat man es nicht so gemacht, sondern ist den denkbar schlechtesten Weg gegangen, an dessen vorläufigem Ende nun ein nahezu nutzloser, aber absurd teurer Konnektor steht. Und man hat das Vertrauen der Ärzte bzw. aller Leistungserbringer verspielt. Letzteres drückt sich in den, an Verschwörungstheorien grenzenden Storys aus, die in den letzten Wochen vermehrt durch die social Media Bubbles geistern.

Nicht alles was parallel ist, ist auch böse

Irgendwann tauchte in meiner Timeline die Geschichte eines Technikers auf, welcher in einer Praxis (ob diese schon vorher sein Kunde war, ist nicht übermittelt) nach der Installation der TI „katastrophale Sicherheitslücken“ entdeckt hatte. Tatsächlich kann ich mir sogar gut vorstellen, dass ein Techniker eine Offline-Praxis im Rahmen der TI-Installation, mehr oder weniger unfreiwillig ans Internet hängt. Und weil sein Job nun mal ist, die TI funktionstüchtig beim Kunden zu hinterlassen, geht er auch wenn dies der Fall ist. Man kann diese Art der Abgrenzung verurteilen, unterstellt dann aber auch gleichzeitig, die IT in einer Arztpraxis wäre derart einfach, dass jeder beliebige Techniker in 2 Stunden fähig ist, das Konzept umzustellen und gleich auch noch auszurollen. Niemand hat den Ärzten klar und deutlich vermittelt, dass die Anwesenheit (oder wenigstens die “Steuerung” der Installation) eines Praxis-IT-Betreuers quasi unumgänglich ist. Andererseits sind aber nicht wenige, mit dem Rollout beschäftigte Firmen mit der Haltung aufgetreten, dass die Anwesenheit eines Technikers der Praxis absolut überflüssig ist, sofern die Administratorkennwörter vorhanden sind. Man muss kein Experte sein um zu ahnen, wohin diese Konstellation führt. Einerseits die Unwissenheit der Leistungserbringer (Ärzte), was genau da eigentlich kommt und wie es ins eigene Netz zu integrieren ist. Andererseits die finanziellen Interessen der Dienstleister, welche ihren Techniker mitunter absurde Zeitvorgaben gemacht haben (das ist deutlich besser geworden!). Trifft beides aufeinander, kann ich mir sehr gut vorstellen dass es zu Fehlkonfigurationen kommt. Abseits der einfachen, stumpfen Festellung, dass Menschen Fehler machen.

Damit könnte die Geschichte vorbei sein. Alle Beteiligten lernen daraus und machen es in Zukunft besser. Aber selbstverständlich passiert gerade das nicht. Stattdessen wird die Geschichte von der unsicheren TI-Installation dankbar von diversen Stellen aufgegriffen. Und so lese ich irgendwann in einem Artikel, dass vielleicht 90 % der Installationen fehlerhaft sein. Diese Zahl basiert auf der Einschätzung eben jenes Technikers. Ich könnte jetzt argumentieren, dass basierend auf meiner Erfahrung, alle TI-Installationen sicher sein müssen… solche Hinweise auf ordentliche Statistik spare ich mir an der Stelle aber. Wer sowas ernst nimmt, dem ist vielleicht auch nicht zu helfen. Aber schauen wir uns an, was konkret bemängelt wird und was davon tatsächlich so relevant ist, als dass es Rückschlüsse auf die TI und ihr Sicherheitskonzept zulässt.

Das ganze Netz ist im Internet

Habe es bereits oben kurz angeschnitten. Wenn man ein komplettes Offlinenetz nimmt und es physisch an den Plastikrouter des Internetproviders hängt, kann das eine ausgesprochen dämliche Idee sein! Die Wahrscheinlichkeit dass im Laufe der Installation die Rechner online gehen, ist relativ hoch. Voraussetzung dafür (hier kommen jetzt endlich die Buzzwords!) ist die falsche Entscheidung zwischen Reihen- und Parallelbetrieb des Konnektors. Zwei Möglichkeiten hätte der TI Techniker gehabt: Den Konnektor in den Reihenbetrieb versetzen. Dann nimmt er die Position eines Gateways ein – steht also zwischen Praxisnetz und Internet. Hier könnte man jetzt entscheiden, ob Internettraffic via SecureInternetServices (SIS) zum Praxisnetz durchgeleitet wird oder nicht. Wir gehen mal davon aus das nicht. Das Praxisnetz wäre weiterhin offline, der Konnektor hingegen könnte sich mit der TI verbinden und das VSDM wäre problemlos möglich. Für`s Protokoll – man könnte auch den Parallelbetrieb nutzen und durch Manipulation der Netzwerkeinstellungen dafür sorgen das die Maschinen nicht online kommen.

Wir können also festhalten – es gäbe Wege das sauber abzubilden. Jetzt wird aber geschildert, dass die Praxisnetze “offen” am Internet gehangen haben. Wie unsicher ist das also? In allen Fällen dürfen wir voraussetzen, dass das Internet von einem Plastikrouter (Speedport, FritzBox etc.) bereitgestellt wird. Darauf läuft naturgemäß ein NAT. Kurz beschrieben – alle Verbindungen von intern nach extern sind erlaubt. Alle Verbindungen von extern nach intern werden verworfen, sofern sie nicht vorher von intern initiiert wurden bzw. explizit vom Benutzer freigegeben wurden (Portforwarding). Bisher sieht es also in unserem Worst-Case-Szenario wie folgt aus:

  • Konnektor darf sich mit der TI Verbinden (erwünscht)
  • die Praxisrechner dürfen ins Internet (unerwünscht)
  • Ungewollte Zugriffe von extern werden durch den Plastikrouter verworfen (erwünschter Standard)

Ziemlich sicher würden die Rechner anfangen Updates zu laden. Das kann eine Praxis erst einmal mehrere Stunden lahm legen. Bisher ist aber noch kein pauschales Sicherheitsrisiko erkennbar. Natürlich ist das alles nicht sonderlich elegant oder gar professionell. Aber bisher sind keine Patientendaten exponiert! Das kann sich ändern, sobald die Praxis anfängt aktiv zu surfen oder bereits im Vorfeld eine Malware-Infektion stattgefunden hat. Letztere könnte durch die neue Onlineverbindung nun tatsächlich aktiv werden (es soll ja noch aktive Conficker Installationen geben). Oder sie findet erst statt, weil die Mitarbeiter beim surfen Opfer eines Drive-By-Angriffs werden. Oder oder oder. Natürlich muss der Zustand abgestellt werden! Aber die Aussage, die Patientendaten wären durch diese Form der Fehlkonfiguration exponiert, kann ich nicht unterstützen. Was keinesfalls die im Vorfeld gemachten Fehler relativieren soll!

Alles muss deaktiviert werden damit es läuft

Ich habe mehrfach von deaktivierten Softwarefirewalls (in Windows integriert; als “Feature” eines AV-Programms usw.) gelesen. Dies hätten die Techniker machen müssen, damit irgendwelche Verbindungen etabliert werden konnten. Ich könnte es kurz machen und darauf verweisen, dass bei den von mir begleiteten Installationen niemand eine Firewall deaktivieren musste. Aber das wäre ja zu stumpf, also nehmen wir uns die Zeit und schauen uns das im Detail an. Dazu müssen wir kurz identifizieren, welche Komponenten miteinander “sprechen”:

  1. Konnektor mit Kartenleser – erfolgt direkt innerhalb des gleichen Subnetzes (im Normalfall) und tangiert so keine Firewall
  2. PVS / AIS mit Konnektor – hier ist eine Softwarefirewall auf dem Arbeitsplatz betroffen.

Uns interessiert also im wesentlichen Punkt 2. Die Software nimmt Kontakt zum Konnektor auf. Soweit ich weiß, erfolgt kein Verbindungsaufbau vom Konnektor zur Software. Es muss also lediglich eine Verbindung über Port 443 bzw. 80 (TLS bzw. unverschlüsseltes HTTP) vom Computer zum Konnektor eröffnet werden. Das ist etwas, das die Windowsfirewall ohne jedes Zutun erlaubt. Denn es ist letztlich ein vollkommen normaler Webaufruf. Kein Grund also, irgendwas zu deaktivieren!

Aber weil in der IT gerne alles etwas komplizierter sein kann, sind wir hier noch nicht fertig. Denn vielleicht hat der Leistungserbringer in seiner EDV einen AV-Scanner mit TLS-Interception installiert. Oder eine sehr scharf eingestellte (zusätzliche) Softwarefirewall. Oder beides. Hier könnte es notwendig sein, entsprechende Ausnahmen in der jeweiligen Software zu setzen. Ein generelles Deaktivieren ohne Rücksprache mit dem EDV-Betreuer (und / oder dem Leistungserbringer als Verantwortlichem) ist natürlich ein No-Go! Das Definieren von Ausnahmen ist lästig, sollte aber bei der Gefahrenkategorie der Daten (sofern sie abhanden kommen) eine Selbstverständlichkeit sein.

Aus allem was ich bisher dazu gelesen habe, befürchte ich aber etwas sehr viel schlimmeres. Den Technikern war es nicht möglich, das Webinterface des Konnektors aufzurufen. Dieses wird über TLS (https) ausgeliefert und ist mit einem “privaten” Zertifikat signiert. Im Browser führt das zu einer Warnung. Mit dem einen oder anderen Internet-Security-für-die-Psyche-AV-Paket ist ein Aufruf vermutlich gar nicht möglich. Die Firewall wird dann deaktiviert und bleibt es auch. Möglicherweise wäre also die Kommunikation PVS / AIS zu Konnektor überhaupt nicht betroffen gewesen (weil nur ein Browser-PlugIn angesprungen ist und keine TLS-Interception läuft). Trotzdem ist die Softwarefirewall deaktiviert. Grober Fehler!
Und damit sind jetzt alle Patientendaten offen im Internet erreichbar? Nein. Es muss schon viel Blödsinn / Inkompetenz zusammenkommen, damit das passiert. Selbst mit deaktivierter Softwarefirewall wäre ein Zugriff von extern „nicht“ möglich da er am NAT des Plasikrouters scheitern würde. Und selbst ein Innentäter würde die Deaktivierung der Softwarefirewall nicht mal merken, denn Zugriff auf SMB-Freigaben muss ja per definitionem immer gegeben sein. Daten hätte ich also auch vorher abziehen können – vorausgesetzt ich hätte die entsprechenden Berechtigungen (zum lesen z.B.) dafür. Wir sehen also – auch durch Deaktivierung der Softwarefirewall auf einem Arbeitsplatz, sind die Patientendaten nicht automatisch exponiert! Ich bin aber durchaus der Meinung, dass die Windowsfirewall aktiv sein sollte. Aber eher zum Schutz vor automatisierten Malware-Angriffen als denn zum Schutz vor Datendiebstahl. Dazu taugt eine solche Firewall nämlich im geschilderten Beispiel eh nicht. Schaltet die also jemand ab um seine TI ins Rennen zu kriegen, stellt er damit im wesentlichen die eigene Inkompetenz und Mißmanagement seitens der Praxis-IT unter Beweis.

Aber den AV-Scanner wird man doch wohl abschalten dürfen?

Ich erlebe es fast täglich, dass Hotlinemitarbeiter den AV-Scanner deaktivieren möchten um Probleme von Software auszuschließen. Das liegt einerseits sicherlich an fehlendem technischen Verständnis für die Zusammenhänge (in wie fern ist ein AV-Scanner eigentlich bei dem Problem relevant) als auch an der schlichten Unkenntnis darüber, ob zum AV-Scanner nicht vielleicht auch eine Softwarefirewall gehört (Internet-Security Pakete). Es wird einfach deaktiviert in der Hoffnung, dass so das Problem verschwindet und man die weitere Ursachenforschung jemand anderem (dem EDV-Betreuer der den AV-Scanner angeschleppt hat) überlassen kann. Jetzt kann man von AV-Scanner halten was man will (ich sehe sie meistens sehr kritisch) – sie bei einem Leistungserbringer im Gesundheitswesen zu deaktiveren ist aber schlicht dämlich. Vermutlich schon immer, sind sie Bestandteil des BSI-Grundschutzkataloges. Sie abzuschalten senkt das Schutzniveau des Netzwerks vermutlich erheblich. Und es bringt den Verantwortlichen in eine eher unangenehme rechtliche Position. Und es ist komplett unnötig! Die AV-Komponente hat keinen Einfluss auf die Funktion irgendwelcher TI Komponenten! Möglicherweise die angeschlossene Firewall. Aber dann sind wir wieder beim vorhergehenden Kapitel. Trotzdem muss auch hier die Frage gestellt werden, inwieweit deswegen Patientendaten direkt oder indirekt exponiert sind? Und auch hier bleibt die Antwort: gar nicht. Nur weil der AV-Scanner deaktiviert ist, sind dadurch keine Daten von extern einsehbar. Es erhöht aber die Wahrscheinlichkeit, dass die Daten eher früher als später “verloren” gehen, weil man sich z.B. Ransomware eingefangen hat.

Okay… aber wenigstens die SIS sind mangelhaft

Das letzte was ich zum Thema gelesen habe waren Tests in Praxen, deren Netz im Reihenbetrieb läuft (Konnektor als Gateway zum Internet, das Praxisnetz dahinter) und in denen Internetzugriff über die Secure Internet Services aktiviert war. Jetzt muss man wissen: Die SIS sind meist ein aufpreispflichtiges Extra. Und dank begrenztem Volumen und vermutlich deutlich reduzierter Bandbreite, nicht sehr attraktiv für die meisten Leistungserbringer. Aber die eine oder andere Praxis scheint sie gebucht zu haben. Damit sollte ein “sicheres” surfen möglich sein. Dies wird über Systeme beim Provider realisiert, welche den Empfehlungen des BSI für Sicherheitsgateways entsprechen. Kisten also, die einerseits anhand von Blacklists Seitenaufrufe generell blockieren. Andererseits nur Datenverkehr auf bestimmten Ports zulassen (weshalb VoIP über die SIS nicht funktioniert). Ob es einen AV-Scan gibt, konnte ich nicht recherchieren. Ein Scan des gesamten unverschlüsselten Datenstroms ist ab einer gewissen Menge Traffic, ein ziemlicher Aufwand. Die entsprechende Hardware teuer in Anschaffung und Unterhalt (Lizenzen etc.). Außerdem würde die sogenannte Deep Packet Inspection – das Betrachten des tatsächlichen Paketinhaltes – datenschutzrechtliche Fragen aufwerfen. Noch schlimmer werden beide Probleme, wenn man Providerseitig in verschlüsselte Verbindungen schauen würde (TLS-Interception). Ich stelle jetzt also die These auf, dass der Leistungsumfang der SIS nie eine aktive Malware-Detektion beinhaltet hat. Wenn dazu jemand anderslautende Informationen hat, würde ich mich über eine Info aber sehr freuen. Aber zurück zum Thema. Jemand hat also versucht, ob er in einer SIS-Praxis den EICAR Testvirus herunter laden kann. Und – Achtung “Überraschung” – der Download gelang. Was Sinn macht, wenn meine These richtig ist. Die URLs stehen selbstverständlich auf keiner Blacklist, da es sich explizit nicht um Schadsoftware handelt! Da keine Untersuchung des Traffics auf Schadsoftware stattfindet, kann die Testfile problemlos die SIS passieren und wird auf dem Rechner dann hoffentlich vom lokalen AV-Programm erkannt und einkassiert.

Also ein Sicherheitsproblem zu Lasten der Praxen? Ich kann das nur aus einer technischen Perspektive sehen. PVS / AIS Updates der CGM z.B. sind gerne mal gepackte Archive größer 4 GiB. Die auf Providerseite zu scannen ist ein unfassbarer Aufwand. Entsprechende Whitelists zu pflegen, aber auch. Abgesehen davon weiß jeder Techniker genug Geschichten von False-Positiv-Meldungen zu erzählen. Und wenn gerade das Java-Script der wichtigsten Webseite in der Praxis vom AV-Scanner des Providers für etwas böses gehalten wird, kann das auch ziemlich ätzend sein. Mich wundert es also kein Stück, dass es keine aktive Prüfung auf Schadsoftware innerhalb der SIS gibt. Es wäre zu teuer, rechtlich zu heikel und ziemlich sicher auch zu fehleranfällig.

Da war doch was mit Hacking

Was mich an den Geschichten über die Probleme mit der TI besonders fasziniert hat waren die Aussagen zu “Datenschützern” und White-Hat Hacking. Man wäre von “Datenschützern” (was haben die eigentlich damit zu tun? Oder war eher das BSI gemeint?) unter Androhung von Strafen davon abgehalten worden, die vermeintlich gefundenen Sicherheitsprobleme intensiver zu “erkunden”. Hierzu sei gesagt:

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

  1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
  2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.

Quelle: Wikipedia

Da steht nicht ein Wort darüber, dass man nicht Netze und Systeme betrachten darf, zu denen man (oder der eigene Kunde) freien Zugang hat. Sofern es sich dabei um einen konstruktiven, koordinierten Vorgang handelt, kann ich darin keinen Grund für eine Strafandrohung erkennen. Was nicht heißen soll, es hätte niemand deutlich gemacht das die gematik bzw. Arvato als Dienstleister, etwas harsch und konsequent auf mögliche Sicherheitsprobleme reagieren. Wohin das führt, konnte man allerdings bei Vivy deutlich sehen. Was nun dran ist, lässt sich von Außerhalb kaum beurteilen. Sollte die beim BSI oder der gematik vorgebrachte Kritik aber auf dem gleichen Niveau sein wie das was ich sonst zu dem Thema gelesen habe, könnte ich wenigstens nachvollziehen dass man sich dort nicht allzu intensiv damit beschäftigt hat.

Aber irgendwas muss doch an der Kritik dran sein

Wer der TI Einführung unterstellt, sie schwäche das Sicherheitsniveau der Praxen, der ignoriert meiner Meinung nach die Tatsache, dass eben jene Fehlkonfiguration in Praxen mit ausreichendem Sicherheitskonzept gar nicht hätte passieren können. Kein TI-Techniker kann bei einer von mir betreuten Praxis irgendwelche Maßnahmen durchführen, die das Sicherheitsniveau dauerhaft signifikant senken. Um genau sowas zu vermeiden, gibt es Berechtigungsstrukturen, Firewalls, starke Kennwörter, die für jedes System unterschiedlich sind und und und. Es ist meine Aufgabe als EDV-Betreuer, die Installation vorzubereiten und zu begleiten. Und niemand außer mir schaltet Firewalls oder Virenscanner aus. Und niemand außer mir gibt Ports frei. Dieses Niveau von IT-Sicherheit wird seit Jahren von so ziemlich jeder öffentlichen oder halb öffentlichen Stelle verbreitet. Das es heute noch Praxen gibt, welche durch Konfigurationsfehler eines einzelnen Technikers mit ihrem Datenbestand im Internet exponiert sein sollen, scheint mir hier eher das tatsächliche Problem zu sein.

Die TI ist sicherlich kein bis zu Ende durchdachtes Projekt. Selbst ihre Sinnhaftigkeit darf und muss vielleicht, bezweifelt werden. Die Art des Rollouts ist ohne Frage Kritikwürdig. Aber die aktuell vorgetragenen Bedenken hinsichtlich der Sicherheit und der Auswirkungen auf “[…] vielleicht 90 % der Praxen”, erscheinen mir doch arg konstruiert.

Alles gut also?

Nein. Ich würde gerne über die Sicherheit sprechen. Über unnötige (imho) Komplexität die die Wahrscheinlichkeit von Fehlkonfiguration massiv erhöht. Über Closed Source Komponenten an jeder Ecke und deren individuellen Problemen. Über katastrophal schlechte Kommunikation und Dokumentation(en). Über unzureichend geschultes Personal und das vollkommene Fehlen von Handlungsanweisungen (sowohl für Techniker als auch für die Leistungserbringer – ist aber besser geworden). Darüber, dass das gesamte Konstrukt davon zeugt, dass es ohne die Anteilnahme von Praktikern erdacht wurde. Darüber, dass auf individuelle Besonderheiten innerhalb der Praxen viel zu wenig Rücksicht genommen wird. Darüber, dass man den EDV-Betreuern schlechte dokumentierte Blackboxes vor die Nase setzt und erwartet, dass sie damit schon irgendwie zurecht kommen.

Über all das würde ich gerne mal reden. Aber ernsthaft und konstruktiv. Was mir selbst als Kritiker tierisch auf den Zeiger geht – unsachliche und instrumentalisierte Panikmache. Das lenkt nur unverhältnismäßig von den tatsächlichen und dauerhaften Problemen ab.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.