Gematik widerspricht Panorama

Eingabe von Patientendaten
Eingabe von Patientendaten: „Das größte Einfallstor für (...) Sicherheitsrisiken ist eine unsichere Internetnutzung kombiniert mit Rechnern, deren Software nicht auf dem aktuellen Stand ist“ (Foto: © Phonlawat Chaicheevinlikit/123rf.com)

Zahlreiche Arztpraxen sollen nach Recherchen von NDR und „Süddeutscher Zeitung“ fehlerhaft an die Telematikinfrastruktur angeschlossen und damit ungenügend vor Hacker-Angriffen geschützt sein. Die zuständige IT-Gesellschaft Gematik widerspricht indes einem Bericht von Panorama 3.

Laut den Medienberichten sollen einem vertraulichen Gematik-Papier zufolge mehr als 90 Prozent der an die Telematikinfrastruktur angeschlossenen Praxen Sicherheitsrisiken in ihrer IT-Infrastruktur haben. Sie seien „parallel“ an das Netz angeschlossen worden. Wurde diese Anschlussmöglichkeit gewählt, sei eine zusätzliche technische Absicherung der Praxis erforderlich. Doch ausgerechnet hierbei sollen einige beauftragte IT-Dienstleister geschlampt haben.

Ist das Netzwerk der Arztpraxis mangelhaft gesichert, können sich Computerkriminelle relativ einfach Zugang zu sensiblen Gesundheitsdaten verschaffen. Das ist offenbar bereits geschehen:  Ärzte berichten, dass sie auf ihren Praxis-Computern Schadsoftware zum Abgreifen von Daten gefunden haben.

BMG: Ärzte selbst verantwortlich

Das Bundesgesundheitsministerium betont, dass die IT-Netze in den Praxen nicht Teil der Telematikinfrastruktur seien. Die sichere Installation sei Aufgabe der Praxen zusammen mit den von ihnen beauftragten Dienstleistern. Die zuständige Gesellschaft Gematik ergänzt, sie verfüge nicht über Vertragsbeziehung zu den IT-Dienstleistern und könne „daher nicht direkt auf die Dienstleister Einfluss nehmen“. 

In einer aktuellen Stellungnahme geht die Gematik auch noch einmal ausdrücklich auf die Problematik von „parallel“ oder „in Reihe“ installierten Systemen ein: „…der Konnektor besitzt – neben notwendigen Funktionen eines Routers – vor allem Sicherheitsfunktionen wie beispielsweise eine Firewall. (…) Die überwiegende Mehrheit der Arztpraxen hatte bereits vor der Konnektor-Installation einen Zugang zum Internet. Ein zusätzlich parallel installierter Konnektor ändert nichts am Schutzniveau des bestehenden Internetzugangs. Aber auch ein „in Reihe“ installierter Konnektor ersetzt keine der üblichen Maßnahmen, die jeder Internetnutzer selbst ergreifen muss, um sich sicher im Internet zu bewegen.“

Schwarzer Peter geht an Arztpraxen

Die Gematik warnt die Arztpraxen in ihrer Stellungnahme deutlich davor, Sicherheitslücken auf die leichte Schulter zu nehmen: „Das größte Einfallstor für (…) Sicherheitsrisiken ist eine unsichere Internetnutzung kombiniert mit Rechnern, deren Software nicht auf dem aktuellen Stand ist. Kommt der Arzt dieser Verantwortung nicht oder nur unzureichend nach, verstößt er gegen geltendes Recht, z.B. die Datenschutzgrundverordnung.“ Das Fazit der Gesellschaft: Gelange Schadsoftware wie Viren und Trojaner in das IT-System einer Arztpraxis, werde das nicht durch einen parallel installierten Konnektor verursacht, sondern durch mangelhafte Sicherheitsvorkehrungen der Praxis-IT kombiniert mit einer möglicherweise unbedachten Internetnutzung.