Stecker ziehen und auf die Musterklage warten
Die Ärzteverbände Medi Geno Deutschland, die Freie Ärzteschaft (FÄ) und der Freie Verband Deutscher Zahnärzte (FVDZ) warnen vor Sicherheitslücken in der TI. Auf einer Pressekonferenz am 27. Juni kündigte Dr. Werner Baumgärtner, Vorstandsvorsitzender von MEDI Baden-Württemberg und Medi Geno Deutschland, Musterklagen gegen die Honorarbescheide für Praxen an, die sich der gesetzlich vorgesehenen Installation des TI-Konnektors verweigern und dafür mit einem Honorarabzug rechnen müssen (ein Prozent 2019, 2,5 Prozent 2020).
Sein Verband hat folgerichtig IT-Experten beauftragt, die derzeit in den Praxen eingebaute TI-Technologie auf Sicherheitsmängel zu prüfen. Laut Baumgärtner schützt der TI-Konnektor nicht gegen Hackerangriffe auf Praxissysteme: „Bei der Prüfung der Schutzprofile fanden die Experten verschiedene ungeklärte Fragen zur Sicherheit des TI-Konnektors. Insbesondere schützt der Konnektor selbst bei ordnungsgemäßer Installation nicht zuverlässig gegen Angriffe in die Praxissysteme, obwohl das vonseiten der Kassenärztlichen Bundesvereinigung gegenüber den Ärzten behauptet wird.“
Mit den Gutachterergebnissen hatte sich Baumgärtner an das Bundesamt für Sicherheit in der Informationstechnik (BSI), die KBV und die gematik gewandt. Sein Fazit: „Auch schriftliche Anfragen brachten keine Antwort auf die Kernfrage, was der Konnektor als Firewall wirklich leistet und wie er die Arztinformationssoftware vor Angriffen aus der TI schützt. In der letzten Antwort der KBV, die sich auf Aussagen der gematik stützt, wurde aus einem Schutzprofil zitiert, das gar nicht auf die aktuellen Konnektoren zur Anwendung gekommen ist.“
Per Gericht gegen „staatlich erzwungene Vernetzung“
Inakzeptabel findet Baumgärtner, dass Praxen unter Strafe in eine TI gezwungen werden, deren Sicherheit nicht ausreichend geprüft sei und zu der entscheidende Sicherheitsfragen unbeantwortet seien. Die Haftung bei Datenverlust durch Hacking liege gemäß der Datenschutz-Grundverordnung (DSVGO) bei den Praxen, und die Patientendaten seien nicht so sicher, wie dies notwendig wäre. Außerdem fehlt laut Baumgärtner auch eine Datenschutzfolgeabschätzung, die laut DSGVO notwendig ist, bevor ein Anschluss an die TI erfolgt.
Er kündigte an, dass Medi Geno Deutschland gerichtlich gegen die „staatlich erzwungene Vernetzung“ vorgehen wird. Baumgärtner: „Wir kritisieren auch, dass die Sicherheit des Anschlusses der Praxen an die TI nicht in einem Penetrationstest getestet wurde. Eigene Tests der Ärzteschaft sind gesetzlich verboten. Wir hätten den PEN-Test auf unsere Kosten durchgeführt“.
Baumgärtner zufolge liegen ihm 1.300 Meldungen aus Praxen vor, nachdem dort die Konnektoren installiert worden waren. In Einzelfällen gab es bis zu 600 Abstürze der Praxissoftware, verbunden mit entsprechenden Arbeitsausfällen, berichtete er.
Eine unsichere Zwangsvernetzung aller Daten im deutschen Gesundheitswesen monierte Dr. Silke Lüder, stellvertretende Bundesvorsitzende der Freien Ärzteschaft. Lüder: „Wenn mein Patient in der Sprechstunde nicht mehr darauf vertrauen kann, dass das, was er mir über seine gesundheitlichen Probleme berichtet, in meinem Sprechzimmer bleibt, kann ich nicht mehr für ihn arbeiten. Mein Patient wird mir vieles nicht mehr erzählen und ich kann dadurch keine aufschlussreichen Anamnesen mehr erheben und keine richtigen Diagnosen stellen.“ Lüder wies darauf hin, dass Ärzte schon seit Langem digitalisierte Daten in Praxis und Klinik anwenden. Sie forderte eine sichere digitale Kommunikation: Ende-zu-Ende verschlüsselt, ohne staatlichen Zugriff und ohne zentrale Speicherung. Stattdessen baue Bundesgesundheitsminister Jens Spahn populistisch eine unsichere Handykommunikation auf, mit der die ärztliche Schweigepflicht nicht mehr gesichert sei.
Überschreitet das SGB hier eine Grenze?
„Mediziner sind keine Digitalisierungsgegner – im Gegenteil!“, sagte FVDZ-Bundesvorstandsmitglied Bertram Steiner. „Wenn wir uns hier auf dem Podium zur Digitalisierung positionieren, dann sicherlich nicht, weil wir mit der Digitalisierung nichts anzufangen wissen. Nein, wir tun es, weil wir wissen, was die Digitalisierung zum Nutzen unserer Patienten leisten kann. Und weil wir wissen, wo sie nur Geld und Zeit verschwendet und Verwirrung stiftet.“
Der Justitiar und Vorstand der Mediverbund AG, Frank Hoffmann, hält es für nicht hinnehmbar, dass das Sozialgesetzbuch Arztpraxen dazu zwinge, sich an eine Telematikinfrastruktur anzuschließen, bei der ungeklärte Fragen hinsichtlich der Sicherheit der Patientendaten bestehen. „Wir halten deshalb den Zwang, einen TI-Konnektor zu installieren, für rechtlich unzulässig und lassen die Rechtmäßigkeit der Honorarabzüge gerichtlich prüfen“, sagte Hofmann, der die Musterklagen koordiniert. „Unser Ziel ist es, auf dem Rechtsweg die Honorarstrafe abzuschaffen. Dann können sich Arzt- und Psychotherapiepraxen gegen den TI-Konnektor und für eine sicherere Vernetzungstechnologie entscheiden – ohne finanzielle Einbußen hinnehmen zu müssen.“ Man behalte sich auch vor, Musterklagen gegen die Verantwortlichen des Zwangs zum Konnektor-Anschluss zu führen, wenn Praxen, die an die TI angeschlossen sind, gehackt werden. „Wir können die betroffenen Praxen an der Stelle nicht alleine lassen und werden deshalb im Sinne einer geteilten Verantwortlichkeit gemäß der DSVGO die Praxen bei Klagen unterstützen – sowohl gegen die Verantwortlichen für die TI-Zwangsinstallation als auch gegen diejenigen, die nicht korrekt installiert haben.“
Auf der Pressekonferenz kamen auch IT-Experten zu Wort. Prof. Dr. Hartmut Pohl, Geschäftsführer der Cyber-Sicherheitsberatung softScheck GmbH, Köln – Sankt Augustin, erklärte, die Penetrationstests gehörten standardmäßig zu den sechs Testmethoden bei der Sicherheitsprüfung von Softwareprodukten und -systemen. Pohl: „Jede dieser Methoden identifiziert andersartige Sicherheitslücken in Hardware und auch in jeder Art Software. Für die Nutzung freigegeben werden kann ein System oder ein Produkt erst nach einem erfolgreichen Security-Test!“ Deshalb schreibe die ISO-Norm vor, dass die Tests über den gesamten Prozess der Software-Entwicklung angewandt werden müssen. „Das bedeutet, dass der Security Testing Process mit allen sechs Methoden bei sicherheitsrelevanten Ergänzungen und Modifizierungen erneut durchlaufen werden muss“, erklärt Pohl, der auch Sprecher des Präsidiumsarbeitskreises ‚Datenschutz und IT-Sicherheit‘ der Gesellschaft für Informatik ist.
Dass Patientendaten für Hacker im Moment leicht zugänglich sind, davon ist IT-Dienstleister Jens Ernst, Geschäftsführer der Happycomputer GmbH, überzeugt. Für eine Arztpraxis hatte er bei einer Sicherheitsprüfung auf verschiedene Arten das Testvirus EICAR über den ordnungsgemäß angeschlossenen TI-Konnektor ins Praxisnetzwerk eingeschleust – und nach eigener Aussage nachgewiesen, dass die integrierte Firewall die Kommunikation nicht kontrolliert habe und alle Ports ausgehend geöffnet worden seien. Der Test lasse auf unzureichenden Schutz schließen.
Auf die Frage einer Journalistin, was ein Arzt denn nun konkret tun könnte, um einem Hackerangriff zu entgehen, lautete die Antwort: „Den Internetstecker ziehen, gesetzliche Honorarabschläge in Kauf nehmen – und auf die Musterklagen warten!“
Die gematik stellt klar: Praxen haften nicht für TI
Der Konnektor zur Anbindung an die Telematikinfrastruktur (TI) stellt nach Auskunft der gematik kein Sicherheitsrisiko dar. Die Betreibergesellschaft stellt zugleich klar, dass Ärzte nicht für Schäden infolge von Sicherheitslücken der TI haften.
In dem von der gematik veröffentlichten Dokument heißt es wörtlich: „Sofern die zugelassenen Komponenten (insbesondere der Konnektor) der TI bestimmungsgemäß verwendet werden und gemäß den mit dem BSI abgestimmten und im Betriebshandbuch der Komponente beschriebenen Anforderungen durch den Leistungserbringer aufgestellt und betrieben werden, scheidet eine Haftung des Leistungserbringers nach der DSGVO* in jedem Fall aus.“
Eine Haftung des Leistungserbringers scheide aber auch nach jeder anderen vergleichbaren zivil-rechtlichen Norm (Vertrags- oder Deliktsrecht) aus, da nach allen haftungsrechtlichen Tatbeständen den Datenverarbeiter ein Verschulden für den eingetretenen Schaden treffen muss.
Gleiches gelte auch für jegliche strafrechtliche Haftung wie etwa für die Verletzung von Berufsgeheimnissen. Der Straftatbestand nach § 203 StGB setze eine vorsätzliche, also wissentliche und willentliche, unbefugte Offenbarung durch den Leistungserbringer als Geheimnisträger voraus. „Sollte es somit zu einer Ausnutzung von Sicherheitslücken des zertifizierten Konnektors durch Dritte kommen, scheidet eine haftungsrechtliche und strafrechtliche Verantwortung des Leistungserbringers mangels eines eigenen Verschuldens oder Vorsatzes aus. Anderslautende Informationen und Behauptungen entbehren jeglicher rechtlichen Grundlage.“
gematik, 27. Juni 2019
*Datenschutz-Grundverordnung
Statement Dr. Karl-Georg Pochhammer
„Das Sicherheitsniveau der Praxis-IT wird steigen“
„Ein Thema, das derzeit öffentlich diskutiert wird, ist die angeblich überwiegend fehlerhaft erfolgte Installation von Konnektoren, die diversen Presseverlautbarungen zufolge zu erheblichen Sicherheitslecks in Arzt- und Zahnarztpraxen führt. Ich will hier nicht zu weit in die Tiefe gehen; das Thema ist bereits umfassend von den Spezialisten der KZVen diskutiert worden. Ganz pauschal kann man aber sagen, dass bei der sogenannten seriellen Installation des Konnektors, wie sie von der gematik vorgegeben wird, das Sicherheitsniveau der Praxis-IT steigen dürfte. Bei der derzeit überwiegend praktizierten und in den Pressemeldungen bemängelten parallelen Installation wird es auf keinen Fall schlechter, wenn die Installation korrekt ausgeführt wurde.
Wenn natürlich im Zuge der Installation zum Beispiel Firewall-Einstellungen verändert werden, wie es wohl ab und an vorgekommen ist, ist das resultierende geringere Sicherheitsniveau auf ein fahrlässiges Verhalten des IT-Dienstleisters zurückzuführen, aber kein Verschulden des Konnektors oder der TI. Wir nehmen diese Problematik sehr ernst und haben auch nachdrücklich die gematik aufgefordert, der Sache nachzugehen. Die gematik hat auch bereits erste Maßnahmen ergriffen. Klar ist, dass das Vorgehen der Dienstleister an sich und die öffentliche Diskussion über angeblich durch die Anbindung an die TI entstehende Sicherheitslücken in den Praxisverwaltungssystemen nicht zur Beschleunigung der flächendeckenden Anbindung aller Praxen beiträgt.“
Dr. Karl-Georg Pochhammer ist Stellvertretender Vorsitzender des Vorstandes der KZBV.
Informationen zum fachgerechten TI-Anschluss
Die Diskussionen zur Sicherheit der Installation der TI-Komponenten kamen auf, nachdem bekannt geworden war, dass in einigen Praxen Parallelinfrastrukturen aufgebaut wurden, bei denen der TI-Anschluss und eine nicht TI-basierte, ungesicherte Internetverbindung nebeneinander existierten. Wie viele Praxen betroffen sind und um ob es sich um Fehler der installierenden Unternehmen oder um den ausdrücklichen Wunsch von Arztpraxen handelte, ist aber unklar.Die gematik hat in ihrem Fachportal aktualisierte Informationen bereitgestellt, um Arzt-, Zahnarztpraxen, MVZ und Krankenhäuser bei der fachgerechten Information besser zu unterstützen. Ein Muster-Installationsprotokoll „Sichere TI-Installation“ bietet eine Empfehlung für die Mindestdokumentation. Das aktualisierte Informationsblatt „Betriebsarten des Konnektors“ erklärt die Anschlussvarianten (zum Beispiel „Serielle Anbindung“ und „Parallele Anbindung“) an die TI. Weiterhin gibt es ein Informationsblatt „Datenschutz und Haftung in der Telematikinfrastruktur“.
Mehr unter: www.gematik.de/news/news/inhalte-erweitert-zum-fachgerechten-ti-anschluss/
Statement Dr. Thomas Kriedel
„Der Arzt ist nur für die Systeme innerhalb der Praxis verantwortlich“
Zitat aus einem Briefwechsel mit Dr. Werner Baumgärtner zu weiteren offenen Fragen zum TI-Konnektor:
„Bei der Konzeption der TI und den damit verbundenen Fachanwendungen wurde stets sehr hoher Wert auf die Themen Datensicherheit und Datenschutz in den Arztpraxen gelegt. Die gematik als verantwortliche Organisation für die TI arbeitet in diesem Rahmen eng mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zusammen. Nach schriftlicher Auskunft des BfDI endet die datenschutzrechtliche Verantwortung des Arztes am Konnektor. Der Arzt ist somit, wie bisher auch, nur für die Systeme innerhalb der Praxis verantwortlich, die er auch unmittelbar beeinflussen kann.“
Dr. Thomas Kriedel ist KBV-Vorstandsmitglied.