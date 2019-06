Freie Ärzteschaft, der Freie Verband Deutscher Zahnärzte und der Verband Medi Geno Deutschland haben vor der telematischen Infrastruktur (TI) des deutschen Gesundheitssystems gewarnt. Sie sei nicht ausreichend gegen Hackerangriffe geschützt, sagten sie auf einer gemeinsamen Pressekonferenz unter dem Motto "Klage gegen Spahns Digitalpolitik" in Berlin.

Die Verbände klagen gemeinsam gegen die Honorarabzüge, die Ärzten drohen, wenn sie ihre Praxen nicht mit einem Konnektor an die TI anschließen. Außerdem behalten sie sich eine "Musterklage gegen die Verantwortlichen des Konnektors" vor. Damit ist die Projektgesellschaft Gematik gemeint, die nach Ansicht der Verbände mit den Spezifikationen für den Konnektor für die Angreifbarkeit der Arztpraxen mit verantwortlich sei.

"Wir dürfen die Sicherheit nicht testen"

Werner Baumgärtner, Vorstandsvorsitzender von Medi Geno kritisierte, dass es keine Pentests gibt, mit denen die Sicherheit des Anschlusses von Praxen an die TI getestet werden. "Wir dürfen die Sicherheit nicht testen. Eigene Tests der Ärzteschaft sind gesetzlich verboten. Wir hätten den Pentest auf unsere Kosten durchgeführt."

Silke Lüder von der Freien Ärzteschaft kritisierte die Politik und die Vorschläge von Gesundheitsminister Jens Spahn. Mit Vorschlägen zum eRezept und zur Nutzung von Smartphones sei die ärztliche Kommunikation als Ziel der Vernetzung vollkommen aus dem Blick geraten. Bedenklich sei auch die schnelle Einführung einer elektronischen Patientenakte, bei der zunächst keine selektiven Zugriffsrechte vergeben werden können. Eine Beratung zur Nutzung einer solchen Patientenakte durch den Arzt oder Apotheker sei im Zuge des Terminservice- und Verordnungsgesetz (TSVG) aus dem Leistungskatalog gestrichen worden. "Ich kann also meine Patienten gar nicht mehr rechtzeitig darüber aufklären, dass ihre Daten nicht sicher sind", erklärte Lüder.

Sicherheitsforscher Hartmut Pohl, Geschäftsführer der Firma Softscheck sprach von 100 Millionen Zugriffsberechtigten auf die telematische Infrastruktur. Ihr Aufbau kranke schon daran, dass die Daten zentral gespeichert werden sollen, was einem Angreifer die Arbeit erleichtere. Kritisch bewertete Pohl auch die Konnektoren, da sie auf unischerer Hardware laufen würden. Er forderte, dass alle Konnektor-Komponenten offengelegt werden, damit ihr Sicherheitsniveau bewertet werden kann. Als Alternative zum Konnektor schlug Pohl den vom BSI zertifizierten Smart Meter Gateway vor.

Anfällige Sicherheitstechnik

Happycomputer-Geschäftsführer Jens Ernst sah als Grundübel, dass die Mehrheit der Arztpraxen im sogenannten Parallelbetrieb angeschlossen seien, der nur mit einer richtig konfigurierten Hardware-Firewall zulässig sei. Aus Datenschutzgründen würden jedoch die Netzbetreiber nicht die IP-Adressen nennen, die für eine sicher konfigurierte Firewall notwendig sind. Das hat Ernst zufolge bedenkliche Konsequenzen: "In den meisten Praxen sind dadurch alle Rechner und Geräte schutzlos an einen Router angeschlossen, welcher keine ausreichende Sicherheit bietet."

Auch der besonders sichere Internet Service (SIS) sei anfällig. Dies habe er gesehen, als er unerkannt und problemos die EICAR-Testdatei über einen SIS-geschützten Anschluss auf verschiedenen Wegen in ein Praxisnetz einschleusen konnte. "Weitere Tests sind uns unter Strafandrohung untersagt", bemängelte Ernst, der davor warnte, dass die Ärzte für all die Sicherheitslücken ihrer Praxisanbindung das volle Haftungsrisiko tragen würden.

In diesem Punkte zumindest scheint die seit einiger Zeit geäußerte Kritik angekommen zu sein. Am Mittwoch veröffentlichte die Gematik ein Muster-Installationsprotokoll für eine sichere TI-Installation, dass der installierende "Dienstleister vor Ort" (DVO) abarbeiten und unterschreiben muss. In "ergänzenden Bemerkungen" gibt es die Möglichkeit, auf problematische Konfigurationen hinzuweisen. Wird der Parallelbetrieb für eine Praxis gewählt, muss der DVO das schriftlich begründen. Auch für die korrekte Firewall gibt es einen Eintrag: "Wurden während der Installationen Änderungen an vorhandenen Sicherheitsfunktionen (z. B. Firewall oder Antivirensoftware) der Praxis-IT vorgenommen? Wenn ja, welche und warum, bitte vom DVO begründen lassen", heißt es im Musterprotokoll. (anw)