krankenkassen-direkt.de nutzt Cookies, um Ihnen
einen besseren Service zu bieten. Mehr Informationen
OK

Unabhängiges Informations- und Karriereportal für die gesetzliche Krankenversicherung
Sonntag, 07.03.2021

News & Meldungen

Externe Sicherheitsanalyse

Zentrale Telematikinfrastruktur ohne kritische Sicherheitsprobleme - Risiken für Patienten bleiben

19.01.2021·Eine im Dezember 2020 durchgeführte externe "360-Grad-Sicherheitsanalyse" hat die Ende-zu-Ende-Sicherheit der Telematikinfrastruktur (TI) im Gesundheitswesen bestätigt. Dies teilte die mehrheitlich vom Bundesgesundheitsministerium (BMG) gehaltene TI-Betreibergesellschaft "gematik" am Dienstag in Berlin mit. Fragen zur Sicherheit der Patientendaten bleiben dennoch.

Mit der Durchführung der Sicherheitsanalyse habe die gematik nach eigenen Aussagen zwei international anerkannte Unternehmen aus dem Bereich Cyber- und Applikationssicherheit - SEQRED S.A. und SEC Consult Unternehmensberatung GmbH - beauftragt. Untersucht wurde die zentrale TI inklusive Signaturdienst. Ziel sei es gewesen, die eigene Arbeit kritischer Expertise zu unterziehen und das öffentliche Vertrauen in die TI zu stärken.

Dabei standen Fragen im Mittelpunkt wie: Wie groß ist die Widerstandskraft der TI und der gematik gegenüber Angriffen? Wird ein solcher Angriff erkannt? Und: Wie schnell wird reagiert? Die Berater versuchten mit verschiedenen Methoden, mögliche Schwachstellen aufzudecken. Im Ergebnis habe die 360-Grad-Sicherheitsanalyse "die Erwartung der gematik erfüllt und die Ende-zu- Ende-Sicherheit der TI grundsätzlich bestätigt", heißt es im Analysebericht (vgl. "Links zum Thema"). Für identifizierte Schwachstellen, wie zum Beispiel die Möglichkeit zur Umgehung der Authentifizierung des Signaturdienstes, wurden in Abstimmung mit den Anbietern Maßnahmen zur umgehenden bzw. zeitnahen Bereinigung vereinbart und bereits teilweise bereits umgesetzt. Holm Diening, Leiter Sicherheit bei der gematik: "Wir haben intensiv prüfen lassen. Die dabei identifizierten Probleme mussten beseitigt werden. Das haben wir getan. Aus Sicht der Prüfer steht einem produktiven Einsatz nichts im Weg."

Diening weiter: "Die Telematikinfrastruktur erlebt derzeit bedeutende Veränderungen: Die ersten medizinischen Anwendungen werden bundesweit eingeführt. Auch in diesem Jahr wird die gematik eine 360-Grad-Sicherheitsanalyse in Auftrag geben, dieses Mal mit Fokus auf den Schlüsselgenerierungsdienst der elektronischen Patientenakte. Diese Ergebnisse werden wir wieder im Anschluss veröffentlichen."

Problemstelle Arztpraxis bleibt in Studie unberücksichtigt

Mit Blick auf die Sicherheit der Patientendaten und deren Verarbeitungswege lässt die vorgelegte 360-Grad-Sicherheitsanalyse jedoch wichtige Fragen offen, insbesondere die der Anbindung der Praxis-IT-Systeme an die TI. Diese sind für die gematik nicht direkter Bestandteil der TI und liegen im Verantwortungsbereich der Ärzte (vgl. Grafik).

© GEMATIK, KKDIREKT

Verifiziertes Anschlussverfahren laut Informationsblatt der gematik für Praxis-Konnektoren im Reihenbetrieb; Kennzeichnung 360-Grad-Sicherheitsanalyse durch kkdirekt

Nach jahrelangem Stillstand bei der Weiterentwicklung der TI wurden die Ärzte unter Gesundheitsminister Jens Spahn (CDU) verpflichtet, ihre Praxen bis Mitte 2019 an die TI anzuschließen. Zur Installation der hierfür notwendigen Konnektoren waren sie auf sogenannte "Dienstleister vor Ort (DVO)" angewiesen. Den DVOs standen und stehen mehrere von der gematik zertifizierte Anschlussvarianten zur Verfügung (siehe "Links zum Thema"). Bei Abweichungen von diesen Verfahren bestehe die Gefahr von Sicherheitslücken im Praxisnetz, worüber Patientendaten auch aus dem Internet angreifbar werden könnten. Techniker der DVOs, so die Warnung der Freien Ärzteschaft (FÄ) im Jahr 2019, schalteten Berichten zufolge immer wieder Firewalls und Virenschutzprogramme der Praxisnetzwerke ab (wir berichteten, vgl. "Links zum Thema"). Beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sei dieses Vorgehen als "grob fahrlässig" eingestuft worden. Nach § 203 StGB drohe in einem solchen Fall dem für die Praxis-IT verantwortlichen Arzt eine Geld- oder Gefängnisstrafe.

Die Problemlage war in den Arztpraxen bekannt - so waren einer Umfrage zufolge bis Ende Juni 2019 lediglich 48 Prozent von rund 2.400 befragten Ärzten an die TI angeschlossen. Zeitgleich erreichte das Problem den Bundestag. Mit einem Fragenkatalog forderte die FDP-Bundestagsfraktion von der Bundesregierung Aufklärung zum Anschluss der TI-Konnektoren in den Arztpraxen (vgl. "Links zum Thema"). Erst mit dem im November 2019 vom Bundestag beschlossenen Digitale-Versorgung-Gesetz (DVG) erteilte die Regierung dann den Auftrag an die Selbstverwaltung, IT-Sicherheitsstandards verbindlich festzuschreiben. Für Zahnarztpraxen hat die Vertreterversammlung der Kassenzahnärztlichen Bundesvereinigung (KZBV) am gestrigen Dienstag eine entsprechende IT-Sicherheitsrichtlinie verabschiedet. Sie soll am 01.02.2021 in Kraft treten.

 

Immer aktuell - der kostenfreie GKV-Newsletter:

GKV-Newsletter

Info|Hilfe|Datenschutzerklärung


Termine

Terminhinweis zu den Themen Krankenkasse, Gesundheitspolitik und Karriere in der GKV:

Termine
Weitere News

Vorstandsvergütungen 2020

Das verdienen die Chefs der Krankenkassen/-verbände, des MDK und der Ärzteorganisationen

Knapp 150 Institutionen des Gesundheitswesens haben zum 01. März die Vergütungen ihrer Vorstände und Geschäftsführungen für 2020 veröffentlicht. Mit dabei...

 

Vorabbericht

Krankenkassen schließen 2020 mit hohem Defizit ab

Nach vorläufigen Zahlen haben die gesetzlichen Krankenkassen das vergangene Jahr mit einem Defizit von rund 2,5 Milliarden Euro abgeschlossen. Nur...

 

Nach Verbotsplänen

Verordnung gestoppt: Sport-Sponsoring der Krankenkassen bleibt vorerst möglich

Das Bundesgesundheitsministerium (BMG) hat seine Pläne, den Krankenkassen ein Sponsoring im Spitzen- und Profisport zu untersagen, offenbar auf Eis gelegt....

mehr News...