Berichte über unsichere Datenverbindungen in Arztpraxen, nachdem diese an die Telematikinfrastruktur (TI) angebunden wurden, treiben die Hersteller und Dienstleister, die Betreibergesellschaft Gematik und auch die Kassenärztliche Bundesvereinigung (KBV) um. Noch sei allerdings unklar, ob es sich um Einzelfälle oder ein verbreitetes Problem handele, so die Gematik in einer Stellungnahme.
Eigentlich garantiert der Konnektor, über den die Praxis an das Internet und die TI angebunden wird, eine hohe Datensicherheit. Die für die Gesundheitstelematik zugelassenen Konnektoren sind nach neuesten Standards des Bundesamts für Sicherheit in der Informationstechnik (BSI) konfiguriert und übernehmen die Funktion einer sogenannten Firewall gegen Schadsoftware und Angriffe auf die Praxis-IT von außen. Über die Konnektoren kann nicht nur die sichere Anbindung über einen VPN-Tunnel an die TI zur derzeit einzigen Anwendung des Versichertenstammdatenmanagements mit den Krankenkassen hergestellt werden, auch weitere sichere Anbindungen können je nach gewähltem Dienstleister über den Konnektor konfiguriert werden.
Für die meisten Arzt- und Zahnarztpraxen bestehe damit bei korrekter Installation des Konnektors eine hohe Datensicherheit, was unerlaubte Zugriffe von außen angehe, zeigen sich sowohl Gematik als auch Hersteller, Dienstleister und das zuständige Vorstandsmitglied der KBV, Dr. Thomas Kriedel, überzeugt. In diesen Praxen wird der Konnektor zwischen dem Router mit dem Internetzugang und dem Praxisrechner installiert, in einer sogenannten Reihenschaltung.
Komplexere Situation bei bestehenden Praxisnetzwerken
Komplexer wird es in großen Praxen, MVZ oder miteinander vernetzten, überörtlichen Praxisgemeinschaften. Hier bestehen in der Regel bereits Praxisnetzwerke und werden VPN-Tunnel, Datenleitungen und Internetanwendungen genutzt. Diese Netzwerke müssen vom Praxisbetreiber entsprechend gegen Schadsoftware, Hackerangriffe etc. mit entsprechender Hard- und Software geschützt werden, er ist auch verantwortlich dafür, dass dieser Schutz immer auf dem neuesten Stand ist. In der Regel werden dazu – wie bei anderen Unternehmen auch – externe Dienstleister beauftragt. Die derzeit erhältlichen Konnektoren laufen dann parallel zum Praxisnetzwerk und fungieren nicht als Firewall.
Laut verschiedenen Berichten soll es dazu gekommen sein, dass nach Installation der TI-Geräte in Praxen deren Praxisnetzwerke ohne Schutz vor unberechtigten Zugriffen über das Internet gewesen sind, weil die Techniker der TI-Dienstleister zum Beispiel die Firewall ausgeschaltet haben sollen. Ob das ein verbreiteter Fehler ist oder es sich um Einzelfälle handelt, wird noch untersucht.
„Bei ordnungsgemäßer Installation dient der Konnektor als Schutz für die Praxis“, stellte KBV-Vorstandsmitglied Dr. Thomas Kriedel klar und fügte hinzu: „Die TI ist sicher.“ Er appellierte an die Firmen, beim Anschluss der Praxen an die TI immer auch die Sicherheit des gesamten Praxisnetzwerkes im Blick zu haben. „Ich erwarte, dass die Installateure bestens geschult sind und sie die Ärzte und Psychotherapeuten ausführlich und korrekt beraten.“
Keine verbindlichen Zahlen bekannt
Vonseiten der Gematik heißt es, es seien derzeit keine verbindlichen Zahlen bekannt, die sich auf Unsicherheiten beim Anschluss von Praxen an die TI durch Dienstleister vor Ort beziehen. Daher könne momentan keine valide Aussage zu in den Medien dargestellten Fällen getroffen werden. Man sei – auch im Austausch mit den Herstellern und anderen Institutionen – um Klärung bemüht, ob es sich um Einzelfälle handelt, die gegebenenfalls lokal beziehungsweise lokalisierbar sind, oder um ein systematisches Problem beim TI-Anschluss einer medizinischen Einrichtung.
Unabhängig davon werde man auf die Hersteller zugehen und auch im Rahmen der Möglichkeiten – etwa über das Fachportal (https://fachportal.gematik.de/) und unterstützende Materialien – auf weitere Beratung und Information der Dienstleister vor Ort und der IT-Dienstleister von medizinischen Einrichtungen hinwirken. „Sorgen und Berichte Dritter über Unsicherheiten bei TI-Anschlüssen nimmt die Gematik ernst. Klar ist aber auch: Der Konnektor ist nicht das Problem.“
Richtiger Umgang mit Gegebenheiten vor Ort
Entscheidend seien der richtige Umgang mit den technischen Gegebenheiten vor Ort und auch das enge Zusammenspiel aller an einer Praxis-IT beteiligten Dienstleister. „Dafür ist Aufklärungsarbeit, idealerweise ein einheitlicher Kenntnis- und Verfahrensweg beim TI-Anschluss einer medizinischen Einrichtung sowie eine ausführliche und transparente Dokumentation der Handhabung hilfreich“, so die Gematik.
TI-Dienstleister sehen hier allerdings auch Probleme in den Praxen, wenn Hard- und Software und Sicherheitseinrichtungen veraltet sind, dafür notwendige Investitionen abgelehnt werden oder es unterschiedliche Aussagen der IT-Dienstleister der Praxis und der TI-Techniker gibt. In der ganz überwiegenden Zahl der Fälle lasse sich eine Praxis aber problemlos anbinden und könne auch weiterhin die vorhandene Systemumgebung sicher genutzt werden, wenn diese auf dem aktuellen Stand ist, so ein Experte gegenüber der Ärzte Zeitung.
Verantwortung für den Datenschutz liegt beim Praxisinhaber
Grundsätzlich sind die Praxisinhaber/Praxisbetreiber für den Datenschutz in der Praxis verantwortlich. Das hat auch die vor einem Jahr in Kraft getretene Datenschutzgrundverordnung noch einmal herausgestellt. Auch für die Haftung im Falle eines Datenschutzvorfalls müsse die gesamte Datensicherheit betrachtet werden, so Kriedel „Ärzte und Psychotherapeuten sind nicht für die Sicherheit in der TI verantwortlich, wohl aber für den Datenschutz in ihrer Praxis“. Für eine sichere Firewall beim Parallelbetrieb des Konnektors haftet also letztlich der Praxisinhaber, so die KBV.
