Telematikinfrastruktur

IT-Experten entdecken Sicherheitslücken im Konnektor-Anschluss

IT-Experten haben teils gravierende Sicherheitslücken beim Online-Anschluss von Arztpraxen gefunden. Der Fehler lag allerdings nicht in der Telematikinfrastruktur.

Von Margarethe UrbanekMargarethe Urbanek Veröffentlicht:
Detailansicht eines Konnektors

Detailansicht eines Konnektors

© fotowunsch / stock.adobe.com

Münster. Noch immer gibt es in Arztpraxen teils gravierende Sicherheitslücken im Zusammenhang mit dem Anschluss an die Telematikinfrastruktur (TI). Das Problem liege dabei ausdrücklich nicht in der TI selbst, sondern an einer schlechten Absicherung der Arztpraxen gegen Angriffe von Außenstehenden, betont Christoph Saatjohann von der Fachhochschule Münster im Gespräch mit der „Ärzte Zeitung“. Saatjohann hat die Sicherheitslücken mit aufgedeckt.

Insgesamt hätten die IT-Sicherheitsexperten rund 200 Konnektoren entdeckt, die offen über das Internet ausfindig gemacht werden konnten. Davon seien 30 Konnektoren „unzureichend konfiguriert“ gewesen; aufgrund eines fehlenden Passwortschutzes sei es hier möglich gewesen, auf Patientendaten zuzugreifen. „Wir konnten unseren Zugriff von außen als einen Zugriff des Praxisverwaltungssystems ausgeben. Der Konnektor hat keine Chance zu unterscheiden“, erläutert Saatjohann.

„Jeder Einzelfall ist zu viel“

„Gemessen an der Gesamtverbreitung von Konnektoren liegen wir damit in einem Promillebereich, aber jeder Einzelfall, in dem Patientendaten von Dritten einsehbar sind, ist zu viel“, kommentiert Saatjohann, der seine Kritik in diesem Zusammenhang auch an die KBV richtet. „Es fehlt bisher an einer einheitlichen IT-Sicherheitsrichtlinie, die allen Beteiligten eine Verbindlichkeit zusichert.“

Zur Erinnerung: Eigentlich hätte die KBV bereits bis Ende Juni eine IT-Sicherheitsrichtlinie vorlegen sollen, hat dies aber wegen diverser Unstimmigkeiten bisher noch nicht getan. Nun scheint die Richtlinie aber defacto unter Dach und Fach.

„Hätte die KBV im Sommer den ursprünglichen Entwurf verabschiedet, wäre das jetzt aufgetretene Problem entgegen der Richtlinie“, kritisiert Saatjohann. So aber fehle es an verbindlichen Vorgaben, die Ärzte und IT-Dienstleister an die Hand nehmen.

Verantwortung des Arztes

Die IT-Sicherheitsexperten hätten die gematik als Betreibergesellschaft der Telematikinfrastruktur (TI) bereits im Sommer über die Sicherheitslücken informiert. „Die Zusammenarbeit zum Schließen der Lücken war sehr konstruktiv“, lobt Saatjohann die Prozesse. Die gematik erklärt auf Nachfrage, die beteiligten VPN-Zugangsdiensteanbieter „unverzüglich angewiesen“ zu haben, „in den identifizierten Praxen den TI-Zugang am VPN-Zugangsdienst zu sperren“.

Die Einrichtung des IT-Betriebs einer Praxis, zu dem auch der Internetzugang gehört, liege jedoch „außerhalb des Verantwortungsbereiches der gematik und erfolgt durch die jeweiligen Praxen bzw. ihre IT-Dienstleister“. Um fehlerhafte Konfigurationen des Internetanschlusses in den Praxen zu identifizieren hat die gematik nach eigenen Angaben seit Dezember die Sicherheitsscans, die regelmäßig alle Außenstellen der TI scannen, auf die angeschlossenen Praxen erweitert. Bei Auffälligkeiten könne der TI-Zugang bis zur Behebung gesperrt werden.

Weitere Sicherheitslücken entdeckt

Die Sicherheitsexperten hätten zudem weitere Sicherheitslücken „in anderen Geräten und Vernetzungsgeräten“ entdeckt, versichert Saatjohann. Die Veröffentlichung der Ergebnisse steht noch aus. Geplant sei das auf einer Konferenz des Chaos Computer Clubs (CCC) in der letzten Dezemberwoche. Im vergangenen Jahr hatte der CCC, ebenfalls anlässlich seiner Dezember-Konferenz, bereits gravierende Sicherheitsmängel bei den Bestellprozessen von Arzt- und Praxisausweisen öffentlich gemacht.

Zuerst haben BR und NDR von den neuen Sicherheitslücken berichtet. Nach deren Recherchen sind auch Mitte Dezember „noch einzelne Konnektoren“ offen im Internet erreichbar.

Mehr zum Thema

„EvidenzUpdate“-Podcast

Digitalisierung? „Muss für Ärzte einen Mehrwert bieten!“

„ÄrzteTag“-Podcast

„Die Corona-Warn-App ist ein stumpfes Schwert!“ (Streitgespräch Teil 2)

Das könnte Sie auch interessieren
Digitalisierung? „Muss für Ärzte einen Mehrwert bieten!“

„EvidenzUpdate“-Podcast

Digitalisierung? „Muss für Ärzte einen Mehrwert bieten!“

Digitalisierung und Datenschutz pandemiekonform: SVR-Vorsitzender Professor Ferdinand Gerlach (li.) am 24. März in Berlin bei der Vorstellung des Ratsgutachtens und der Bundesdatenschutzbeauftragte Professor Ulrich Kelber (re.) einen Tag später bei der Vorlage seines Tätigkeitsberichts.

„ÄrzteTag“-Podcast

„Wir verlangen Digitalisierung mit Gehirnschmalz!“ (Streitgespräch Teil 1)

Thorsten Kaatze, kaufmännischer Direktor am Uniklinikum Essen

„ÄrzteTag“-Podcast

Ein „Kochrezept“ für die Digitalisierung einer Uniklinik

Kommentare

Sie müssen angemeldet sein, um einen Kommentar verfassen zu können.
Die Newsletter der Ärzte Zeitung

Lesen Sie alles wichtige aus den Bereichen Medizin, Gesundheitspolitik und Praxis und Wirtschaft.

Nachmittags: das schnelle Telegramm. Am Morgen: Ihr individuell zusammengestellter Themenmix.

Newsletter bestellen »

Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte, Medizinstudenten, MFA und weitere Personengruppen viele Vorteile.

Die Anmeldung ist mit wenigen Klicks erledigt.

Jetzt anmelden / registrieren »

Top-Meldungen
Das Bundesverfassungsgericht hat das Recht auf selbstbestimmtes Sterben in jeder Lebensphase, auch ohne Krankheit, betont. Ärzte wollen nun ein starkes Signal senden, dass der ärztlich assistierte Suizid keine ärztliche Aufgabe ist.
Update

Berufsrecht beim DÄT

Ärztetag hebt Verbot der Suizidbeihilfe auf

Die COVID-Impfung bei Schwangeren könnte sich lohnen: Allein das Frühgeburtsrisiko liegt bei SARS-CoV-2 positiv getesteten Frauen bis zu 80 Prozent höher als bei gesunden.

Elf Fachverbände einig

Frauenärzte empfehlen COVID-19-Impfung für Schwangere

Apathie, Gleichgültigkeit - kommt es plötzlich zu ungewohntem Verhalten, kann dies vielleicht auch der Beginn einer Demenz sein.

Tagung der amerikanischen Psychiatervereinigung APA

Hohes Demenzrisiko bei Patienten mit Verhaltensänderungen