Telematikinfrastruktur

IT-Experten entdecken Sicherheitslücken im Konnektor-Anschluss

IT-Experten haben teils gravierende Sicherheitslücken beim Online-Anschluss von Arztpraxen gefunden. Der Fehler lag allerdings nicht in der Telematikinfrastruktur.

Von Margarethe UrbanekMargarethe Urbanek Veröffentlicht:
Detailansicht eines Konnektors

Detailansicht eines Konnektors

© fotowunsch / stock.adobe.com

Münster. Noch immer gibt es in Arztpraxen teils gravierende Sicherheitslücken im Zusammenhang mit dem Anschluss an die Telematikinfrastruktur (TI). Das Problem liege dabei ausdrücklich nicht in der TI selbst, sondern an einer schlechten Absicherung der Arztpraxen gegen Angriffe von Außenstehenden, betont Christoph Saatjohann von der Fachhochschule Münster im Gespräch mit der „Ärzte Zeitung“. Saatjohann hat die Sicherheitslücken mit aufgedeckt.

Insgesamt hätten die IT-Sicherheitsexperten rund 200 Konnektoren entdeckt, die offen über das Internet ausfindig gemacht werden konnten. Davon seien 30 Konnektoren „unzureichend konfiguriert“ gewesen; aufgrund eines fehlenden Passwortschutzes sei es hier möglich gewesen, auf Patientendaten zuzugreifen. „Wir konnten unseren Zugriff von außen als einen Zugriff des Praxisverwaltungssystems ausgeben. Der Konnektor hat keine Chance zu unterscheiden“, erläutert Saatjohann.

„Jeder Einzelfall ist zu viel“

„Gemessen an der Gesamtverbreitung von Konnektoren liegen wir damit in einem Promillebereich, aber jeder Einzelfall, in dem Patientendaten von Dritten einsehbar sind, ist zu viel“, kommentiert Saatjohann, der seine Kritik in diesem Zusammenhang auch an die KBV richtet. „Es fehlt bisher an einer einheitlichen IT-Sicherheitsrichtlinie, die allen Beteiligten eine Verbindlichkeit zusichert.“

Zur Erinnerung: Eigentlich hätte die KBV bereits bis Ende Juni eine IT-Sicherheitsrichtlinie vorlegen sollen, hat dies aber wegen diverser Unstimmigkeiten bisher noch nicht getan. Nun scheint die Richtlinie aber defacto unter Dach und Fach.

„Hätte die KBV im Sommer den ursprünglichen Entwurf verabschiedet, wäre das jetzt aufgetretene Problem entgegen der Richtlinie“, kritisiert Saatjohann. So aber fehle es an verbindlichen Vorgaben, die Ärzte und IT-Dienstleister an die Hand nehmen.

Verantwortung des Arztes

Die IT-Sicherheitsexperten hätten die gematik als Betreibergesellschaft der Telematikinfrastruktur (TI) bereits im Sommer über die Sicherheitslücken informiert. „Die Zusammenarbeit zum Schließen der Lücken war sehr konstruktiv“, lobt Saatjohann die Prozesse. Die gematik erklärt auf Nachfrage, die beteiligten VPN-Zugangsdiensteanbieter „unverzüglich angewiesen“ zu haben, „in den identifizierten Praxen den TI-Zugang am VPN-Zugangsdienst zu sperren“.

Die Einrichtung des IT-Betriebs einer Praxis, zu dem auch der Internetzugang gehört, liege jedoch „außerhalb des Verantwortungsbereiches der gematik und erfolgt durch die jeweiligen Praxen bzw. ihre IT-Dienstleister“. Um fehlerhafte Konfigurationen des Internetanschlusses in den Praxen zu identifizieren hat die gematik nach eigenen Angaben seit Dezember die Sicherheitsscans, die regelmäßig alle Außenstellen der TI scannen, auf die angeschlossenen Praxen erweitert. Bei Auffälligkeiten könne der TI-Zugang bis zur Behebung gesperrt werden.

Weitere Sicherheitslücken entdeckt

Die Sicherheitsexperten hätten zudem weitere Sicherheitslücken „in anderen Geräten und Vernetzungsgeräten“ entdeckt, versichert Saatjohann. Die Veröffentlichung der Ergebnisse steht noch aus. Geplant sei das auf einer Konferenz des Chaos Computer Clubs (CCC) in der letzten Dezemberwoche. Im vergangenen Jahr hatte der CCC, ebenfalls anlässlich seiner Dezember-Konferenz, bereits gravierende Sicherheitsmängel bei den Bestellprozessen von Arzt- und Praxisausweisen öffentlich gemacht.

Zuerst haben BR und NDR von den neuen Sicherheitslücken berichtet. Nach deren Recherchen sind auch Mitte Dezember „noch einzelne Konnektoren“ offen im Internet erreichbar.

Mehr zum Thema

„Impfstoff ist flüssiges Gold“

Interpol warnt vor Corona-Impfstoff-Kriminalität

Manipulationsgefahr

Sicherheitsmängel in Kartenterminals aufgedeckt

Kommentare

Sie müssen angemeldet sein, um einen Kommentar verfassen zu können.
Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

NEU als Themen abonnierbar: Frauengesundheit und Kindergesundheit

Newsletter bestellen »

Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte, Medizinstudenten, MFA und weitere Personengruppen viele Vorteile.

Die Anmeldung ist mit wenigen Klicks erledigt.

Jetzt anmelden / registrieren »

Top-Meldungen
Reha-Übungsanleitung am Bildschirm. Das soll bald auch mittels Smartphone auf Kasse möglich sein.

Teilhabestärkungsgesetz

Auch Reha-Apps sollen in die Erstattung kommen

Lockdown: Die sonst belebte Düsseldorfer Königsallee ist nahezu menschenleer.

Pandemie-Meldewesen

Deutschland im Corona-Blindflug