Sicherheitsrisiko KV SafeNet - was ist dran?
Das KV SafeNet ist wegen angeblicher Sicherheitslücken in die Kritik geraten. Doch wie funktioniert es überhaupt, und wo könnten Risiken lauern?
Veröffentlicht:
Für die Online-Abrechnung brauchen Praxen eine Anbindung an die KV-Server, das KV SafeNet soll eine sichere Variante sein.
© Sabine / fotolia.com
NEU-ISENBURG (reh). Die Pflicht zur Online-Abrechnung steht vor der Tür - ab 2011 soll sie für Vertragsärzte gelten -, und ausgerechnet jetzt ist das KV SafeNet wegen angeblicher Sicherheitsrisiken unter Beschuss geraten. Dabei galt gerade das SafeNet und die diversen Abwandlungen einzelner KVen als besonders sichere Anbindungen an die KV-Rechner. Doch was ist dran an den vermeintlichen Sicherheitslücken?
Dazu muss man zunächst den Vorwurf kennen: Angeblich soll es beim KV SafeNet-Router mehrere offene Ports (Schnittstellen) geben. Diese zumindest will der Informatiker Lew Palm, der eine psychotherapeutische Praxis betreut, ausfindig gemacht haben.
Er erhebt in einem mehrseitigen Papier, das der Redaktion vorliegt, aber ebenso den Vorwurf, dass nicht offengelegt würde, mit welcher Verschlüsselung der Router arbeite.
Viele technische Begriffe, die sich einfach erklären lassen. Zunächst einmal ist das SafeNet keine offene Verbindung ins Internet, sondern ein sogenanntes virtuelles privates Netzwerk (VPN). Also eine Art Intranet, zu dem nur Personen mit vorher angelegten Berechtigungen Zugriff haben. Das VPN schottet nach Angaben der KBV die Verbindung vom Internet ab und gewährleistet einen sicheren Datenaustausch mit dem Rechenzentrum der jeweiligen KV.
Nur über die Blackbox kommen Praxen ins Netz
Um in das Netz zu kommen, brauchen Praxen aber auch die Blackbox beziehungsweise den KV SafeNet-Router. Dabei funktioniert die Anbindung wie folgt: Die Blackbox (Router) wird zwischen den Telefon-/Internetanschluss und den Praxisrechner oder das Praxisnetzwerk geschaltet und baut einen sicheren Tunnel, nämlich das VPN, auf.
Dabei blockiere die Blackbox den Zugriff von außen auf die angeschlossenen Praxis-PCs und die dortigen Daten, erklärt KBV-Pressesprecher Roland Stahl. "Angriffe aus dem Internet auf die Arztpraxis werden somit verhindert."
Festdefinierter Endpunkt der Daten, und damit auch der Endpunkt des sicheren Tunnels, sei das jeweilige Rechenzentrum der KV. Wobei die Daten einen zweiten Router passieren, bevor sie an den KV-Server gelangen. Und alle Daten werden verschlüsselt versendet.
Der Router ist dabei nichts anderes als ein Gerät, das mehrere Rechner oder Rechnernetze miteinander koppelt oder trennt. Wobei er die ankommenden Datenpakete nach Zieladresse analysiert und blockt oder eben weiterleitet. Im Fall des SafeNet-Routers verschlüsselt er die Daten vor dem Weiterleiten auch.
Ebenfalls wichtig: Von außen in die Praxis gibt es laut KBV nur einen einzigen Zugang - und der ist durch den Router gesichert. Allerdings verteilen weder die KBV noch die einzelnen KVen die Router an die Praxen. Sie werden von zertifizierten Anbietern, sogenannten Providern, samt KV SafeNet-Verbindung und diversen Service-Leistungen zur Verfügung gestellt. Eine Schwachstelle?
Auch zertifizierte Provider lohnen einen prüfenden Blick
Generell rät die KBV, einen Provider vor Vertragsschluss genau unter die Lupe zu nehmen. Sie sollten etwa darauf achten, dass der Provider von der KBV zertifiziert ist und die allgemeinen Hinweise aus dem IT Grundschutz-Katalog des Bundesamts für Sicherheit in der Informationstechnik (BSI) umsetzt. Hierzu können Ärzte Infos vom Provider einfordern. Wer Bedenken hat, sollte sich an seine KV wenden.
Für das KBV-Zertifikat müssen die Provider unter anderem darlegen, wie das KV SafeNet, die Blackbox, aber auch das lokale Netz des Anbieters selbst vor unbefugten Zugriffen geschützt wird. Außerdem muss ein Testgerät für die Blackbox eingereicht werden und das Verschlüsselungsverfahren beschrieben werden.
Trotzdem gilt: Jeder Praxisrechner sollte noch einmal selbst abgesichert werden, etwa indem die Desktop-Firewall aktiviert wird und auch der Virenschutz aktuell gehalten wird.
Für Praxen, die über den SafeNet-Router auch ins Internet gehen wollen, gilt zusätzlich: "Alle aktuellen Sicherheitsupdates für das Betriebssystem sowie für die verwendeten Programme beispielsweise den Browser sollten installiert sein", so die klare Ansage der KBV. Denn für den sicheren Internetzugang - unabhängig vom KV-SafeNet-Anschluss - sei der Arzt oder Psychotherapeut selbst verantwortlich.
