Keine Chance für Trojaner
Die Täter sind professionell organisiert und arbeiten nach marktwirtschaftlichen Methoden über alle Staatsgrenzen hinweg: Innerhalb von Banden entwickeln sie ganz gezielt Schadsoftware, wie etwa Trojanische Pferde, um sich die Zugangsdaten zu Bank- und Shoppingportalen zu erschleichen. Dort melden sie sich mit der gestohlenen Identität an und bestellen oder überweisen – natürlich auf Rechnung des Opfers. Mittelsmänner nehmen danach die Gelder und Waren in Empfang. Nicht benötigte Zugangsdaten werden zum Teil einfach weiterverkauft. Im Gegenzug kann die Malware aber auch selber die „Herrschaft über den Computer“ übernehmen. Etwa, indem sie ferngesteuert E-Mails versendet, ohne dass der Nutzer irgendetwas davon merkt. Hunderte solcher infizierter Rechner können dabei in Form eines Netzwerks von den Tätern gelenkt werden und andere Postfächer mit Spam bombardieren.
Horrorszenarien? Mitnichten: Diese Fälle entstammen einem aktuellen Papier des Bundeskriminalamts. Fest steht: Wer seinen Computer an das Internet anbindet, riskiert zumindest potenziell, dass sein Rechner und seine Daten ausgespäht, verändert und manipuliert werden. Will man beruhigt die Vorteile des World Wide Web im zahnmedizinischen Umfeld nutzen, kommt man daher um Vorsichtsmaßnahmen nicht herum. Geeignete Schutzvorkehrungen können schon viele Bedrohungen abwenden:
• Die Grundregel Nummer eins lautet, ein Bewusstsein für die Gefährdungen zu entwickeln und sich entsprechend zu informieren. Das Bundesamt für Sicherheit in der Informationstechnik bietet beispielsweise auf seiner Webseite BSI für Bürger (www.bsifuerbuerger.de) ein umfangreiches und aktuelles Infoangebot.
• Wer für die Pflege seiner Praxissysteme einen IT-Dienstleister beauftragt, sollte auch ihn gezielt nach Sicherheitsmaßnahmen befragen.
• die Software nur aus zuverlässigen Quellen Installieren
• einen Virenscanner wählen, der sich zur Bekämpfung neuer Viren stets die aktuellen Virensignaturen zieht; immer Betriebssystem und Programme aktualisieren, so dass der Rechner stets auf dem aktuellen Stand bleibt und ältere, erkannte Sicherheitsschlupflöcher geschlossen warden
• Passwörter sicher verwahren (nicht unter der Tastatur!) und komplex gestalten – der Vorname der Ehefrau oder des Ehemanns ist zu leicht zu knacken.
Sicher online abrechnen
Mit den geeigneten Schutzmaßnahmen ist der Weg frei für viele Anwendungen in der Zahnarztpraxis, die dem Zahnarzt konkrete Vorteile bringen. Einer der naheliegendsten: die papierlose Online-Abrechnung. Gemäß einem Vertrag zwischen der KZBV und dem GKV-Spitzenverband sollen KZVen und Kassen ab dem 1. Juli 2011 papierlos abrechnen. Damit steigt auch das Interesse der KZVen, Medienbrüche zu vermeiden und auch die Abrechnung mit dem Zahnarzt ausschließlich elektronisch, also ohne begleitende Papierunterlagen, abzuwickeln. Ziel ist, den Erfassungsaufwand in den KZVen auf ein Minimum zu reduzieren. Die Erfahrungen mit den bereits laufenden Online-Verfahren bei den KZVen sind durchweg positiv. Außerdem ist absehbar, dass der bisherige Versand von Disketten zur Datenübertragung aussterben wird, weil diese Technik sich überlebt hat. Schon heute empfehlen die KZVen deshalb ihren Mitgliedern, auf die Online-Abrechnung umzustellen.
Was aber heißt das für den Zahnarzt im Alltag? Klar ist: Die in einem Praxisverwaltungssystem (PVS) gespeicherten medizinischen und abrechnungsrelevanten Daten sind schützenswert und spielen auch für den Betrieb des Praxisinhabers eine wichtige wirtschaftliche Rolle. Der beste Weg, sich vor Gefahren aus dem Netz zu schützen ist, einen eigenständigen Kommunikations-PC zu nutzen. Einen, der nicht mit dem Praxisnetzwerk verbunden ist, sondern nur für den Datenaustausch via Internet verwendet wird. Sollte es dennoch zu einem Angriff auf den Rechner kommen, geht nur er, nicht aber das gesamte Praxisverwaltungssystem in die Knie.
Auch die Online-Abrechnung sollte also getrennt vom PVS mit einem Kommunikations-PC durchgeführt werden. Wichtig ist, dass auch beim Kommunikations-PC Firewall und Virenscanner laufen und der Zahnarzt die Vorsichtsmaßregeln konsequent einhält. Die Nutzung eines alleinstehenden Kommunikations-PCs ist ein einfaches und wirkungsvolles Sicherheitsinstrument, das für jedwede Kommunikation aus der Praxis eingesetzt werden kann.
In Sachen elektronische Gesundheitskarte (eGK) wissen wir: Für Bundesgesundheitsminister Philipp Rösler ist diese Online-Anbindung gesetzt. In der Problematik haben sich KZBV und BZÄK aber bekanntlich mit ihrem Vorschlag durchgesetzt, die Anbindung wenigstens getrennt vom PVS zu ermöglichen. „Die Freiwilligkeit der Online-Anbindung des PVS ist dadurch gewährleistet. Damit wird dem Schutz der sensiblen Patientendaten und des Praxisverwaltungssystems Rechnung getragen“, bekräftigte der stellvertretende KZBV-Vorsitzende Dr. Günther E. Buchholz. Wann diese Anwendung auf die Zahnarztpraxen zukommt, ist derzeit aber noch nicht absehbar.
Sicher kommunizieren
Was die Abrechnung betrifft: Um eine sichere Online-Kommunikation zwischen Zahärzten und KZVen zu fördern, betreibt die KZBV in Zusammenarbeit mit den KZVen eine zukunftsweisende Sicherheitsinfrastruktur – ZOD (Zahnärzte Online Deutschland). Schon seit einigen Jahren können Zahnärzte zur Abrechnung die Chipkarte (ZOD-Karte) nebst Kartenlesegerät nutzen– das tun allein etwa 70 Prozent aller Thüringer Zahnärzte. Bundesweit verwendet jeder zehnte Zahnarzt eine ZOD-Karte, um sich sicher bei seiner KZV online anzumelden. Bei der Anmeldung mit der ZOD-Karte wird die Identität beider Kommunikationspartner – Zahnarzt und KZV – in Form einer sicheren Authentisierung verlässlich nachgewiesen.
Die zu verschickenden Daten können verschlüsselt werden und sind damit vor Missbrauch geschützt, sodass sie auf ihrem Weg nicht von Dritten ausgespäht werden können.
Überprüft wird, dass sowohl der Zahnarzt wie auch die KZV mit dem „Richtigen“ Daten austauscht. Mit der jetzt erfolgten Weiterentwicklung von ZOD zur Version 2.0 wurde nicht nur die Sicherheit mittels größerer Schlüssellängen noch einmal erhöht, sondern die neuen ZOD-Karten bieten darüber hinaus die Möglichkeit, elektronische Dokumente qualifiziert zu signieren. Um Rechtssicherheit zu schaffen und Medienbrüche zu vermeiden, nutzt man die qualifizierte Signatur in den Fällen, wo rechtsgültige Unterschriften auf Papier durch die elektronische Form ersetzt werden. Die neuen ZOD-2.0-Karten sind in Kürze verfügbar. Mit ZOD steht also bereits die Technik, bisher papierbasierte Prozesse wie die Online-Anbindung rechtssicher elektronisch abzubilden.
Die ZOD-Karte gilt als Vorläufer des elektronischen Zahnarztausweises. Sobald die Zahnärztekammern mit der Ausgabe solcher Ausweise beginnen, ist sichergestellt, dass diese mit der ZOD-Karte interoperabel sind und ebenfalls für KZV-Portale eingesetzt werden können.
Ein weiterer Sicherheitsmechanismus: die sichere Netzverbindung durch Verschlüsselung des Kommunikationswegs, auf Neudeutsch: „virtual private network“ oder kurz „VPN“. Diese Technik sichert die verschlüsselte Datenübertragung. Mit einer voreingestellten Hardware-Box kann man darüber hinaus die Kommunikation ohne großen Konfigurationsaufwand auf Praxis und KZV begrenzen – was nichts anderes heißt, als dass das „restliche Internet“ blockiert ist.
VPN-Lösungen decken zwar einen Aspekt der Sicherheitsmaßnahmen gut ab, allerdings ersetzen sie keinesfalls eine ZODKarte. Eine eindeutige, persönliche Identifikation gelingt zuverlässig nach dem Prinzip „Besitz und Wissen“ nur mit Signaturkarten wie der ZOD-Karte. Anwendungen, die eine qualifizierte Signatur erfordern, können ausschließlich mit Signaturkarten realisiert werden. In der Summe ergänzen sich beide Techniken und bieten damit höchstmögliche Sicherheit.
Dr. Mario BolteStellv. Leiter Abteilung Telematik bei der KZBVUniversitätsstr. 73 in 50931 Köln