Bis Ende Juni 2019 sollen nach dem Willen von Bundesgesundheitsminister Jens Spahn bundesweit alle Arztpraxen an die Telematikinfrastruktur (TI) angeschlossen werden. Dafür wird als Bindeglied zwischen lokalem Praxis-IT-Netzwerk und TI ein „Konnektor“ installiert, der den Datenaustausch über eine verschlüsselte VPN-Verbindung ermöglicht. Die Installation der Konnektoren in den Arztpraxen erwies sich nun als Sicherheitsrisiko für die lokal gespeicherten Patientendaten.
Die beauftragten Techniker schlossen die Konnektoren in Form des sog. „Parallelbetriebs“ an (vgl. gematik-Infoblatt). Diese Installationsform bietet keinen Schutz gegen Angriffe aus dem Internet und eignet sich daher nur für lokale Netzwerke, die zusätzlich durch eigene Firewalls und Virenscanner abgesichert sind. Die sichere Konfiguration aller beteiligten Komponenten ist dabei ziemlich aufwändig.
So viel Mühe machten sich die mit dem TI-Anschluss beauftragten Techniker allerdings nicht. Stattdessen schalteten sie „störende“ Firewalls einfach ab, wodurch die Praxisnetzwerke (neben der Anbindung an die TI) auch völlig ungeschützt mit dem Internet verbunden waren.
Solche offenen Zugänge können Kriminelle nutzen, um Daten aus den Praxisnetzwerken zu entwenden. Haftbar wären in diesem Fall die Ärzte. Ihnen fehlt jedoch meist die technische Expertise, so dass sie sich darauf verlassen müssen, dass der TI-Anschluss korrekt ausgeführt wird. Konsequenterweise war es daher auch ein Systemadministrator, der mehrere Arzt- und Zahnarztpraxen betreut, der als Erster auf die eklatanten Sicherheitslücken bei der TI-Installation aufmerksam wurde und die zuständigen Behörden verständigte.
Der Bundesdatenschutzbeauftragte bezeichnete daraufhin das Vorgehen der TI-Installateure als „grob fahrlässig“. Die Gematik GmbH, die Aufbau und Betrieb der TI kontrolliert, betonte, das Problem läge nicht beim Konnektor. Außerdem wiegelte sie ab, es handele sich nur um „Einzelfälle“. Dies ist eine stark verharmlosende Bewertung, da jeder einzelne bekannte TI-Anschluss im Parallelbetrieb ohne weitere Absicherung erfolgte.
Aus Sicht des Vereins Patientenrechte und Datenschutz e.V. war ein derartiges Desaster unter den gegebenen Umständen zu erwarten. Hauptgrund dafür ist der von Spahn erzeugte Zeitdruck: Einerseits sind selbst skeptische Ärzte gezwungen, den TI-Anschluss zu beauftragen, wenn sie keine Honorarabzüge riskieren wollen. Andererseits stehen auch die Betreiber der TI unter Zugzwang. Sie müssen die Anbindung der Arztpraxen ermöglichen, ob die TI bereits ausreichend weit entwickelt ist oder nicht. Und weil nicht genügend eigene Techniker für die Konnektor-Installation verfügbar sind, mussten Dienstleister – d.h. eine weitere Partei – einbezogen werden. Umso wichtiger wäre es für die gematik gewesen, eine „narrensichere“ Vorgehensweise festzulegen, die eine Kompromittierung der IT-Systeme von Arztpraxen ausschließt, und deren Einhaltung zu kontrollieren. Andernfalls platzt die Vision vom „sicheren Gesundheitsdatennetz“ schon beim ersten Kontakt mit der Realität wie eine Seifenblase.
Hier muss man leider feststellen, dass die von Bundesgesundheitsminister Spahn erzwungene rasche Einführung der TI zulasten der Sorgfalt geht, die im Umgang mit derart brisanten persönlichen Informationen wie Gesundheitsdaten eigentlich erforderlich wäre. Datenverluste aus der TI oder den angeschlossenen Praxis-IT-Systemen wären jedoch verheerend, weil sie das Vertrauensverhältnis zwischen Arzt und Patient untergraben. Wer befürchten muss, dass Details über seine Erkrankungen publik werden, wird sich genau überlegen, was er seinem Arzt noch mitteilt. Ein Zurückhalten von Informationen kann jedoch Fehldiagnosen und -behandlungen zur Folge haben.
Wir fordern daher:
- 1. Der TI-Rollout muss sofort gestoppt werden!
- 2. Der bereits erfolgte, unsichere TI-Rollout muss rückgängig gemacht werden!
- 3. Sanktionen (Honorarkürzungen) für Ärzte, die den Anschluss Ihrer Praxis an die TI verweigern, müssen aufgehoben werden!
- 4. Bundesgesundheitsminister Spahn muss aus dem von ihm herbeigeführten Debakel die Konsequenzen ziehen!
Um in Erfahrung zu bringen, wieviele TI-Anschlüsse unsachgemäß ausgeführt wurden, haben wir eine Anfrage nach dem Informationsfreiheitsgesetz an das Bundesgesundheitsministerium gestellt.
Unser Kinderarzt hat die Konsequenz gezogen und hat seine Kassenlizenz zurückgegeben, was ihm nicht leicht gefallen ist. Unfassbar dass ein Arzt seiner Berufung – Menschen zu helfen – nun nicht mehr nachgeht weil er durch die politischen Neuerungen keinen anderen Weg mehr sah. Und er ist nicht der einzige. Viele weitere Ärzte haben ihre Zulassung ebenfalls abgegeben und sie erhalten Lob und größten Respekt seitens ihrer Kollegen.
Herr Spahn, im Falle der ersten Hackerangriffe auf unsere Patientendaten sollten Sie als Erster persönlich dafür haftbar gemacht werden. Trotz massiven Widerstands zwingen Sie Ärzte, unter Androhung von Honorarkürzungen, diese unsichere TI einzurichten…. aber Hauptsache Digitalisierung, Öffentlichkeitsarbeit und Pseudo-Gesetzemarathon.