Seit April 2019 ist bekannt, dass in hunderten von Arztpraxen gravierende Lücken bei der IT-Sicherheit entstanden sind. Die Computer dieser Arztpraxen sind nicht – oder nicht mehr – durch „Firewalls“ gegen Angriffe aus dem Internet geschützt. Grund dafür sind Fehler bei der Installation der „Konnektoren“. Der Konnektor, den jede Arztpraxis kaufen muss, stellt eine verschlüsselte Verbindung zwischen Arztpraxis und den zentralen Servern der Telematikinfrastruktur her.

Bei der Konnektor-Installation wurden durch die beteiligten IT-Dienstleister in einer großen Zahl von Fällen Fehler gemacht. Einerseits wurde eine Installationsform gewählt, die zwingend eine zusätzliche Absicherung der Praxen erfordert. Andererseits wurden bei der Installation Firewalls und sonstige Sicherheitsmaßnahmen der Arztpraxen abgeschaltet. Im Ergebnis waren die Praxis-Computer völlig ungeschützt mit dem Internet verbunden, d. h. offen für Schadsoftware und Diebstahl von Patientendaten.

Ein wesentlicher Grund für die Fehler waren seinerzeit unzureichende Anleitungen der „Gesellschaft für Telematikanwendungen“ (Gematik), wie der Konnektor korrekt und sicher zu installieren ist. Mittlerweile hat die Gematik ergänzende Informationen herausgegeben. Portnummern und weitere für die sichere Konfiguration notwendige Parameter sind weiterhin nicht veröffentlicht. Damit werden die bisherigen Installationen nicht sicher.

IT-Fachmann Jens Ernst aus Schwerte, der mehrere Arztpraxen betreut, bemerkte die eklatanten Sicherheitslücken und wies Landes- und Bundesdatenschutzbeauftragte darauf hin. Auch der Bayerische Rundfunk berichtete. Von offizieller Seite kam jedoch – nichts. Bundesgesundheitsminister Jens Spahn verlor bis heute kein Wort darüber. Die Gematik ihrerseits verharmloste das flächendeckende Problem als „Einzelfälle“ und entzog sich ihrer Verantwortung mit dem Hinweis: „Die gematik hat … aufgrund ihrer gesetzlich geregelten Zuständigkeit nur begrenzten Einfluss und keine Regulierungsmöglichkeiten. Sie bietet aber im Rahmen ihrer Möglichkeiten bestmögliche Unterstützung an…“. So sind hunderte Arztpraxen weiterhin ungeschützt mit dem Internet verbunden, ohne dass die Praxisinhaber etwas davon ahnen. Im Fall von Datenverlusten sind jedoch die Ärzte haftbar.

„Dieser Zustand ist unhaltbar“ sagt Dr. Bernhard Scheffold vom Verein Patientenrechte und Datenschutz eV. „Wir erwarten von Gesundheitsminister Spahn, dass er dafür sorgt, dass der genaue Schaden festgestellt und behoben wird. Es geht nicht an, dass die Gesellschaft für Telematikanwendungen (Gematik) erst ungenügende Unterlagen herausgibt, und dann den einzelnen Arztpraxen die Schuld gibt.“

Wir fordern:

1. Der Telematik-Rollout darf nicht in einer Weise fortgeführt werden, die die IT-Sicherheit weiterer Praxen kompromittiert. Die Gematik muss ihrer Verantwortung gerecht werden und den Konnektor-Anbietern sowie den für die IT-Installation tätigen Technikern präzise und verbindliche Anleitungen zur Verfügung stellen.

2. Die IT-Sicherheit betroffener Praxen muss wieder hergestellt werden. Hierzu kann es notwendig sein, den Anschluss an die Telematikinfrastruktur zurückzubauen oder auf „Stand-Alone-Betrieb“ (nur Anschluss eines Kartenleser zwecks Stammdatenmanagement) umzustellen.

3. Sanktionen (Honorarkürzungen) für Arztpraxen, die den Anschluss an die TI verweigern, müssen aufgehoben werden. Die betroffenen Ärztinnen und Ärzte sind lediglich ihrer Sorgfaltspflicht im Umgang mit Patientendaten nachgekommen.

4. Bundesgesundheitsminister Spahn muss endlich handeln, um weiteren Schaden von Ärzten und Patienten abzuwenden, und die bereits aufgerissenen Sicherheitslücken schließen.

Links:
https://www.heise.de/newsticker/meldung/Telematik-im-Gesundheitswesen-Freie-Aerzteschaft-warnt-vor-unsachgemaesser-Konnektor-Installation-4406506.html
https://www.br.de/nachrichten/deutschland-welt/sicherheitsluecken-probleme-mit-der-elektronischen-patientenakte,RRmEPve