Ärzte Zeitung, 21.10.2010

Sicherheitsrisiko KV SafeNet - was ist dran?

Das KV SafeNet ist wegen angeblicher Sicherheitslücken in die Kritik geraten. Doch wie funktioniert es überhaupt, und wo könnten Risiken lauern?

Sicherheitsrisiko KV SafeNet - was ist dran?

Für die Online-Abrechnung brauchen Praxen eine Anbindung an die KV-Server, das KV SafeNet soll eine sichere Variante sein.

© Sabine / fotolia.com

NEU-ISENBURG (reh). Die Pflicht zur Online-Abrechnung steht vor der Tür - ab 2011 soll sie für Vertragsärzte gelten -, und ausgerechnet jetzt ist das KV SafeNet wegen angeblicher Sicherheitsrisiken unter Beschuss geraten. Dabei galt gerade das SafeNet und die diversen Abwandlungen einzelner KVen als besonders sichere Anbindungen an die KV-Rechner. Doch was ist dran an den vermeintlichen Sicherheitslücken?

Dazu muss man zunächst den Vorwurf kennen: Angeblich soll es beim KV SafeNet-Router mehrere offene Ports (Schnittstellen) geben. Diese zumindest will der Informatiker Lew Palm, der eine psychotherapeutische Praxis betreut, ausfindig gemacht haben.

Er erhebt in einem mehrseitigen Papier, das der Redaktion vorliegt, aber ebenso den Vorwurf, dass nicht offengelegt würde, mit welcher Verschlüsselung der Router arbeite.

Viele technische Begriffe, die sich einfach erklären lassen. Zunächst einmal ist das SafeNet keine offene Verbindung ins Internet, sondern ein sogenanntes virtuelles privates Netzwerk (VPN). Also eine Art Intranet, zu dem nur Personen mit vorher angelegten Berechtigungen Zugriff haben. Das VPN schottet nach Angaben der KBV die Verbindung vom Internet ab und gewährleistet einen sicheren Datenaustausch mit dem Rechenzentrum der jeweiligen KV.

Nur über die Blackbox kommen Praxen ins Netz

Um in das Netz zu kommen, brauchen Praxen aber auch die Blackbox beziehungsweise den KV SafeNet-Router. Dabei funktioniert die Anbindung wie folgt: Die Blackbox (Router) wird zwischen den Telefon-/Internetanschluss und den Praxisrechner oder das Praxisnetzwerk geschaltet und baut einen sicheren Tunnel, nämlich das VPN, auf.

Dabei blockiere die Blackbox den Zugriff von außen auf die angeschlossenen Praxis-PCs und die dortigen Daten, erklärt KBV-Pressesprecher Roland Stahl. "Angriffe aus dem Internet auf die Arztpraxis werden somit verhindert."

Festdefinierter Endpunkt der Daten, und damit auch der Endpunkt des sicheren Tunnels, sei das jeweilige Rechenzentrum der KV. Wobei die Daten einen zweiten Router passieren, bevor sie an den KV-Server gelangen. Und alle Daten werden verschlüsselt versendet.

Der Router ist dabei nichts anderes als ein Gerät, das mehrere Rechner oder Rechnernetze miteinander koppelt oder trennt. Wobei er die ankommenden Datenpakete nach Zieladresse analysiert und blockt oder eben weiterleitet. Im Fall des SafeNet-Routers verschlüsselt er die Daten vor dem Weiterleiten auch.

Ebenfalls wichtig: Von außen in die Praxis gibt es laut KBV nur einen einzigen Zugang - und der ist durch den Router gesichert. Allerdings verteilen weder die KBV noch die einzelnen KVen die Router an die Praxen. Sie werden von zertifizierten Anbietern, sogenannten Providern, samt KV SafeNet-Verbindung und diversen Service-Leistungen zur Verfügung gestellt. Eine Schwachstelle?

Auch zertifizierte Provider lohnen einen prüfenden Blick

Generell rät die KBV, einen Provider vor Vertragsschluss genau unter die Lupe zu nehmen. Sie sollten etwa darauf achten, dass der Provider von der KBV zertifiziert ist und die allgemeinen Hinweise aus dem IT Grundschutz-Katalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) umsetzt. Hierzu können Ärzte Infos vom Provider einfordern. Wer Bedenken hat, sollte sich an seine KV wenden.

Für das KBV-Zertifikat müssen die Provider unter anderem darlegen, wie das KV SafeNet, die Blackbox, aber auch das lokale Netz des Anbieters selbst vor unbefugten Zugriffen geschützt wird. Außerdem muss ein Testgerät für die Blackbox eingereicht werden und das Verschlüsselungsverfahren beschrieben werden.

Trotzdem gilt: Jeder Praxisrechner sollte noch einmal selbst abgesichert werden, etwa indem die Desktop-Firewall aktiviert wird und auch der Virenschutz aktuell gehalten wird.

Für Praxen, die über den SafeNet-Router auch ins Internet gehen wollen, gilt zusätzlich: "Alle aktuellen Sicherheitsupdates für das Betriebssystem sowie für die verwendeten Programme beispielsweise den Browser sollten installiert sein", so die klare Ansage der KBV. Denn für den sicheren Internetzugang - unabhängig vom KV-SafeNet-Anschluss - sei der Arzt oder Psychotherapeut selbst verantwortlich.

[21.10.2010, 16:42:11]
Dr. Michael Kirsch 
Eine unzureichende Darstellung!
Bei ihrem Text unterschlagen sie, dass ein derartiges VPN mit gleicher Sicherheit über eine Softwarelösung aufgebaut werden kann. In Verbindung mit einer Identifikationskarte und einem einfachen Kartenlesegerät ist so eine kostengünstige Alternative zu dem KV-Safenet gegeben. Diese hat den Vorteil, dass man keinen Router benötigt und keine externe Firmen einschalten muss, die monatlichen Zahlungen für diese entfallen.

Außerdem hat das KV-Safenet die unabänderliche Problematik, dass die Datensicherheit in die Hände einer Firma gegeben wird, von der die Ärzte allenfalls die äußeren Informationen erhalten aber deren tatsächliche Sicherheit sie nicht beurteilen können. Die Mitarbeiter dort sind aber sehr wahrscheinlich nicht vertrauenswürdiger als Bankmitarbeiter.
Wann also werden Patientendatensammlungen von allen durch die Firma betreuten Ärzten Interessenten angeboten?
Wer ist dann verantwortlich für den Bruch der Schweigepflicht?
Wie ist die Rechtslage in diesem Fall für den Arzt?

Die nächste kritische Stelle ist, dass die Sicherheit der Firma und damit der Router zu hinterfragen ist. Wenn sich ein Hacker in das Netz der Firma einhackt, kann er auf alle von ihr betreuten Router zugreifen. Da wir keinerlei Einblick in die Routerarchitektur und deren Rechte im Netz haben, bleibt vollkommen unklar, das dann möglich ist. Sehr wahrscheinlich kann ein solcher Hacker aber über die Router auf die internen Netze aller angeschlossenen Arztpraxen zugreifen und hat die Möglichkeit zu Datenabfragen und Manipulationen.

Die Verlässlichkeit der Router ist also keinesfalls das einzige oder größte Problem.

All das wäre mit einer rein softwaregestützten VPN-Lösung zu vermeiden.
Es bleibt also die Schlussfolgerung, dass mit dem KV-Safenet das teuerste Verfahren gewählt wurde, das prinzipielle Probleme bereitet, die durch andere, billigere Verfahren zu vermeiden wäre. zum Beitrag »

Schreiben Sie einen Kommentar

Überschrift

Text

Im Sushi war der Wurm drin

Der Hinweis aufs Sushi brachte die Ärzte auf die richtige Spur. Statt den Patienten wegen Verdachts auf akutes Abdomen zu operieren, führten sie eine Gastroskopie durch. mehr »

Importierte Infektionen führen leicht zu Diagnosefehlern

Wann muss ein Arzt für eine Fehldiagnose gerade stehen? In einem aktuellen Fall entschied das Oberlandesgericht Frankfurt gegen einen Arzt. mehr »

"Turbolader einer Zwei-Klassen-Medizin"

Die Einheitsversicherung als Garant für Gerechtigkeit im Versorgungssystem? Aus Sicht von BÄK-Präsident Professor Frank Ulrich Montgomery eine fatale Fehleinschätzung. Die "Ärzte Zeitung" dokumentiert Auszüge aus seiner Ärztetags-Eröffnungsrede. mehr »