E-Rezept: Sicherheitsprobleme durch Konnektoren? Tobias Lau, 21.06.2019 14:00 Uhr
Wie sicher sind die Konnektoren, mit denen Apotheken und Arztpraxen an die Telematikinfrastruktur (TI) angeschlossen werden? Seit mehreren Monaten berichten IT-Experten und Praxisinhaber immer wieder von gravierenden Sicherheitsproblemen durch deren Installation – die für Apotheken und Praxen teuer werden können. Die Gematik sagt, sie wisse nichts Genaueres, die Politik hat bisher nicht gehandelt. Jetzt hat es das Thema in den Bundestag geschafft. Die FDP-Fraktion konfrontiert die Bundesregierung mit den Vorwürfen und nutzt die Anfrage, um ihr zum Fortschritt beim Anschluss an die TI auf den Zahn zu fühlen.
Bei Patientendaten, E-Rezept und Medikationsplänen müssen höchste Sicherheitsstandards gelten – da sind sich alle einig. In mehreren Arztpraxen kam es Medienberichten zufolge allerdings bereits zu erheblichen Sicherheitsmängeln: Nach der Installation der einzelnen Komponenten sollen die angeschlossenen EDV-Systeme der betroffenen Praxen plötzlich ohne ihre bisherige Firewall mit dem Internet verbunden gewesen sein. Der oder die Rechner in der Praxis – und das gilt grundsätzlich genauso für die Apotheken, die bis März 2020 angeschlossen sein sollen – sind damit nicht mehr vor Zugriffen von außen geschützt, sensible Daten können dann eingesehen, kopiert oder verändert werden. Tatsächlich hatte der selbstständige IT-Techniker Jens Ernst aus Nordrhein-Westfalen die Sicherheitsprobleme bereits im Frühjahr öffentlich gemacht. „Seitdem bekomme ich regelmäßig, nicht nur aus Bayern, Bilder von Konnektoren, die falsch installiert sind und von abgeschalteten Firewalls“, zitiert ihn der Bayerische Rundfunk.
Obwohl die Probleme also seit Monaten bekannt sind, wurden von staatlicher Seite bisher offensichtlich keine Maßnahmen ergriffen. Mit den Vorwürfen konfrontiert, verwies die Gematik lediglich auf andauernde Gespräche mit den Anbietern. Verbindliche Zahlen zu Unsicherheiten lägen der Gesellschaft nicht vor. Die Gematik versichert jedoch: Die Konnektoren seien sicher – allenfalls liege das Problem in der Installation. Ernst wiederum zeigt sich empört über die Reaktionen von öffentlicher Seite: „Dass hier alles offen ist, habe ich gezeigt – damit waren die Rahmenbedingungen, den Stecker zu ziehen, gegeben.“ Und der Umfang des Problems lasse sich noch gar nicht seriös abschätzen, die Dunkelziffer sei sehr hoch, da viele Heilberufler die Sicherheitslücke eventuell erst gar nicht bemerken.
Grund für den Fehler sei vor allem eine unsachgemäße Installation seitens der Dienstleister. Demnach würden Techniker häufig auch in kleineren Praxen den Online-Anschluss für den Parallelbetrieb einrichten, bei der der Konnektor nur eine von vielen Komponenten ist und deshalb nicht mit der integrierten Firewall arbeitet. Die Gematik empfiehlt den Parallelbetrieb deshalb nur für große medizinische Einrichtungen wie Kliniken, „die bereits ein größeres LAN etabliert haben und über entsprechende Sicherheitsfunktionen gemäß dem Bundesamt für Sicherheit in der Informationstechnik verfügen“.
Auch die Freie Ärzteschaft (FÄ) – seit jeher skeptisch gegenüber der Telematik – hat bereits im Frühjahr vor diesem Problem gewarnt. Denn nach derzeitiger Rechtslage würden im Falle von Datendiebstahl oder Manipulation die Apotheken oder Arztpraxen haften. Der Berufsverband empfiehlt deshalb, „sich unbedingt abzusichern“. Die IT-Firma, die die benötigten Geräte in der Praxis installiert hat, müsse den Ärzten schriftlich bestätigen, dass dabei höchste Sicherheitsstandards erfüllt und alle Datenschutzmaßnahmen genau umgesetzt wurden. Nur so ließen sich „unkalkulierbaren Haftungsrisiken“ bei Datenschutzverletzungen nach der Berufsordnung, dem Straftatbestand des § 203 StGB oder der EU-Datenschutzgrundverordnung (DSGVO) vermeiden. Die Rede ist von Strafen bis zu 50.000 Euro. „Andernfalls ist es ratsam, das Praxisverwaltungssystem vom sogenannten Konnektor wieder zu trennen“, so der Vorsitzende Wieland Dietrich.
Die FDP-Fraktion scheint die Sorgen der FÄ zu teilen. „Dies bedeutet eine erhebliche Gefährdung aller Rechner und Komponenten im Praxisnetzwerk“, heißt es in der Anfrage unter Federführung von Dr. Wieland Schinnenburg. Es sei „unbefriedigend“, dass den Lieferproblemen der Komponenten nun auch noch deren Installation Probleme bereitet. „Eine Installation von Sicherheitskomponenten, die neue Sicherheitslücken in Praxisnetzwerken aufreißen kann, dürfte nicht zu einem verstärkten Vertrauen der Ärzte, Psychotherapeuten und weiteren angeschlossenen Praxen und Einrichtungen in die Telematikinfrastruktur führen.“
Da von der Gematik anscheinend keine weiteren Informationen vorliegen, wollen die Liberalen nun von der Bundesregierung wissen, wie weit verbreitet die Probleme nach deren Kenntnisstand sind, wie sie sie bewertet und was sie unternehmen will, um sie zu beheben. Auch über die genaue Art der Sicherheitsmängel will die FDP Auskunft. Im selben Atemzug will die Fraktion dann Informationen zum allgemeinen Stand des Anschlusses an die Telematik: Wie viele Standorte sind bereits angeschlossen? Wie viele können bis zum Stichtag am 1. Juli angeschlossen werden, wie viele nicht und warum? Sind alle Hardwarekomponenten verfügbar und lieferbar und wenn nicht, warum? Bei geplanten Honorarkürzungen nach § 215 Absatz 2b Sozialgesetzbuch (SGB V) bei den Ärzten will die FDP Auskunft zu Umfang und Verwendung der frei werdenden Mittel.