Tausende Konnektoren falsch angeschlossen?

Berlin. Zehntausende Vertragsarztpraxen könnten unsicher an die Telematikinfrastruktur (TI) angeschlossen und ungenügend gegen Hacker geschützt sein.

„Süddeutsche Zeitung“ und NDR hatten darüber berichtet, dass in 90 Prozent der an die TI angeschlossenen Praxen die Konnektoren im Parallelbetrieb installiert seien – das wären also mehr als 60.000 betroffene Praxen. Die angeschlossenen Praxisnetze würden damit nicht durch die installierten Konnektoren geschützt.

Die Medien berufen sich auf ein „vertrauliches Papier“ der TI-Betreibergesellschaft gematik. Die teilte am Mittwoch als Reaktion auf die Berichte mit: „Die Telematikinfrastruktur ist sicher.“ Und: „Jeder Arzt ist im normalen Praxisalltag für die Sicherheit seiner Praxis-IT selbst verantwortlich.“

Sicherheitsmängel bei zwei von drei Praxen gefunden

Eine Untersuchung des Fraunhofer-Instituts für angewandte Informationstechnik (FIT) im Auftrag des Bayerischen Fachärzteverbands (BFAV) ergab den Berichten zufolge, dass viele der betroffenen Praxen ein leichtes Ziel für Hackerangriffe seien.

Professor Harald Mathis vom FIT hat in zwei Drittel von 30 exemplarisch untersuchten Arztpraxen Sicherheitsmängel gefunden. Die stellvertretende Vorsitzende des BFAV, Dr. Ilka Enger, bestätigte die Ergebnisse auf Anfrage der „Ärzte Zeitung“.

Die IT-Techniker seien für den TI-Anschluss teilweise „überfallartig“ in die Arztpraxen gekommen. Ärzte, die wegen der schon seit März bekannten Berichte einen sichereren seriellen Anschluss gewünscht hätten, seien teilweise mit den Worten abgebügelt worden: „Das machen wir nicht“, berichtet Enger. Problematisch sei, dass die Ärzte in den Praxen „gar nicht beurteilen können, was der Computer macht“ und ob der Anschluss am Ende den Sicherheitsanforderungen genüge oder nicht.

Das Problem sei bereits länger bekannt, sagte ein Sprecher des Bundesdatenschutzbeauftragten Ulrich Kelber der „Ärzte Zeitung“. Dass tatsächlich so viele Arztpraxen betroffen sein könnten, sei vorher aber nicht klar gewesen.

KBV: „Versäumnisse werden wir aufarbeiten“

Auf Anfrage bestritt die Kassenärztliche Bundesvereinigung (KBV) die Zahl, dass „90 Prozent der an die TI angeschlossenen Praxen unsicher“ seien. „Wenn ich einen zusätzlichen Anschluss ins Internet außerhalb der TI habe, muss ich diesen natürlich sichern, zum Beispiel mit Firewalls. Das war vorher aber auch schon so, da die Praxen ja auch vor der TI-Infrastruktur im Netz unterwegs waren“, sagte KBV-Sprecher Dr. Roland Stahl.

Installationstechniker müssten „natürlich“ die Vorgaben der gematik im Rahmen des Anschlusses der Praxen einhalten. Idealerweise werde ein Protokoll erstellt, mindestens aber der Arzt vom Techniker genau informiert, was er genau macht, beschrieb Stahl die Erwartungen der ärztlichen Selbstverwaltung.

Und: „Versäumnisse, die beispielsweise durch IT-Dienstleister geschehen sind, werden wir konsequent und transparent aufarbeiten.“ Die KBV habe ursprünglich eine Zertifizierung der Techniker durch die gematik gefordert. Das habe im Gesellschafterkreis jedoch keine Mehrheit gefunden.

Kassen sehen Ärzte in der Verantwortung

Der GKV-Spitzenverband besteht auf der Verantwortung der Ärzte für den Datenschutz: „Wir erwarten, dass die Ärzte und die sie vertretenden Organisationen alle Datenschutzfragen mit der gebotenen Sorgfalt angehen“, äußerte sich Pressesprecher Florian Lanz auf Anfrage. Gerade bei medizinischen Daten müsse der Datenschutz immer an erster Stelle stehen.

Heftige Kritik kam am Mittwoch dagegen vom Vorstand der KV Bayerns: Sie macht die „völlig unzulängliche Informationspolitik der gematik“ verantwortlich für die Unsicherheit in den Praxen. Die KV erneuert zudem die Kritik „an der mit Honorarkürzungen verbundenen Zwangsanbindung“ an die TI.