Telematikinfrastruktur
IT-Experten entdecken Sicherheitslücken im Konnektor-Anschluss
IT-Experten haben teils gravierende Sicherheitslücken beim Online-Anschluss von Arztpraxen gefunden. Der Fehler lag allerdings nicht in der Telematikinfrastruktur.
Veröffentlicht:
Detailansicht eines Konnektors
© fotowunsch / stock.adobe.com
Münster. Noch immer gibt es in Arztpraxen teils gravierende Sicherheitslücken im Zusammenhang mit dem Anschluss an die Telematikinfrastruktur (TI). Das Problem liege dabei ausdrücklich nicht in der TI selbst, sondern an einer schlechten Absicherung der Arztpraxen gegen Angriffe von Außenstehenden, betont Christoph Saatjohann von der Fachhochschule Münster im Gespräch mit der „Ärzte Zeitung“. Saatjohann hat die Sicherheitslücken mit aufgedeckt.
Insgesamt hätten die IT-Sicherheitsexperten rund 200 Konnektoren entdeckt, die offen über das Internet ausfindig gemacht werden konnten. Davon seien 30 Konnektoren „unzureichend konfiguriert“ gewesen; aufgrund eines fehlenden Passwortschutzes sei es hier möglich gewesen, auf Patientendaten zuzugreifen. „Wir konnten unseren Zugriff von außen als einen Zugriff des Praxisverwaltungssystems ausgeben. Der Konnektor hat keine Chance zu unterscheiden“, erläutert Saatjohann.
„Jeder Einzelfall ist zu viel“
„Gemessen an der Gesamtverbreitung von Konnektoren liegen wir damit in einem Promillebereich, aber jeder Einzelfall, in dem Patientendaten von Dritten einsehbar sind, ist zu viel“, kommentiert Saatjohann, der seine Kritik in diesem Zusammenhang auch an die KBV richtet. „Es fehlt bisher an einer einheitlichen IT-Sicherheitsrichtlinie, die allen Beteiligten eine Verbindlichkeit zusichert.“
Zur Erinnerung: Eigentlich hätte die KBV bereits bis Ende Juni eine IT-Sicherheitsrichtlinie vorlegen sollen, hat dies aber wegen diverser Unstimmigkeiten bisher noch nicht getan. Nun scheint die Richtlinie aber defacto unter Dach und Fach.
„Hätte die KBV im Sommer den ursprünglichen Entwurf verabschiedet, wäre das jetzt aufgetretene Problem entgegen der Richtlinie“, kritisiert Saatjohann. So aber fehle es an verbindlichen Vorgaben, die Ärzte und IT-Dienstleister an die Hand nehmen.
Verantwortung des Arztes
Die IT-Sicherheitsexperten hätten die gematik als Betreibergesellschaft der Telematikinfrastruktur (TI) bereits im Sommer über die Sicherheitslücken informiert. „Die Zusammenarbeit zum Schließen der Lücken war sehr konstruktiv“, lobt Saatjohann die Prozesse. Die gematik erklärt auf Nachfrage, die beteiligten VPN-Zugangsdiensteanbieter „unverzüglich angewiesen“ zu haben, „in den identifizierten Praxen den TI-Zugang am VPN-Zugangsdienst zu sperren“.
Die Einrichtung des IT-Betriebs einer Praxis, zu dem auch der Internetzugang gehört, liege jedoch „außerhalb des Verantwortungsbereiches der gematik und erfolgt durch die jeweiligen Praxen bzw. ihre IT-Dienstleister“. Um fehlerhafte Konfigurationen des Internetanschlusses in den Praxen zu identifizieren hat die gematik nach eigenen Angaben seit Dezember die Sicherheitsscans, die regelmäßig alle Außenstellen der TI scannen, auf die angeschlossenen Praxen erweitert. Bei Auffälligkeiten könne der TI-Zugang bis zur Behebung gesperrt werden.
Weitere Sicherheitslücken entdeckt
Die Sicherheitsexperten hätten zudem weitere Sicherheitslücken „in anderen Geräten und Vernetzungsgeräten“ entdeckt, versichert Saatjohann. Die Veröffentlichung der Ergebnisse steht noch aus. Geplant sei das auf einer Konferenz des Chaos Computer Clubs (CCC) in der letzten Dezemberwoche. Im vergangenen Jahr hatte der CCC, ebenfalls anlässlich seiner Dezember-Konferenz, bereits gravierende Sicherheitsmängel bei den Bestellprozessen von Arzt- und Praxisausweisen öffentlich gemacht.
Zuerst haben BR und NDR von den neuen Sicherheitslücken berichtet. Nach deren Recherchen sind auch Mitte Dezember „noch einzelne Konnektoren“ offen im Internet erreichbar.
