Nach TI-Anschluss: Sicherheitslücken in Arztpraxen

NDR und Süddeutsche Zeitung berufen sich in ihrem Bericht auf ein vertrauliches Papier der Gematik. Demnach soll es in über 90 Prozent der an die TI angebundenen Praxen Sicherheitsrisiken geben, aufgrund derer sich Hacker Zugang zu Patientendaten verschaffen können. Ärzte haben auf ihren Praxiscomputern auch schon Schadsoftware gefunden, um Daten abzugreifen, heißt es. 

Grund für die Lücke ist wohl, dass die betroffenen Praxen mit einer Methode an die TI angebunden wurden, dem sogenannten Parallelbetrieb, bei der es einer zusätzlichen Absicherung, wie einer Hardware-Firewall, bedarf. Die gibt es aber in den meisten Praxen nicht. Die alternative Methode, den Reihenbetrieb, würden viele IT-Dienstleister gar nicht anbieten, zitiert die SZ aus dem Papier.

Dem Bericht zufolge warnen Experten schon lange, dass bei der Anbindung der Praxen die Sicherheitsstandards nicht eingehalten werden. Denn definiert hat die Gematik diese durchaus – es gibt klare Vorgaben. Allerdings wird nicht überprüft, ob die von den IT-Dienstleistern, die die Installationen letztendlich vornehmen, auch umgesetzt werden. Bei der Gematik ist man dem nachgegangen: Laut dem Papier wurden in mehr als 90 Prozent der Praxen die Installationen im Parallelbetrieb durchgeführt, ohne dass eine zusätzliche Absicherung erfolgte. 

Das BMG und die Gematik sehen sich offenbar nicht in der Verantwortung. Die sichere Installation sei Aufgabe der Praxen, heißt es auf SZ-Anfrage

Laut Ärztezeitung (ÄZ) teilte die Gematik am Mittwoch als Reaktion auf die Berichte mit: „Die Telematikinfrastruktur ist sicher.“ Und: „Jeder Arzt ist im normalen Praxisalltag für die Sicherheit seiner Praxis-IT selbst verantwortlich.“ In der ÄZ heißt es allerdings weiter, dass der explizite Wunsch nach der sicheren seriellen Anschlussmethode von den Dienstleistern abgebügelt wurde – das mache man nicht. Das berichtet die Vorsitzende des Bayerischen Fachärzteverbands, Dr. Ilka Enger. Problematisch ist in ihren Augen, dass die Ärzte in den Praxen „gar nicht beurteilen können, was der Computer macht“ und ob der Anschluss am Ende den Sicherheitsanforderungen genüge oder nicht. 

Im Auftrag des bayerischen Fachärzteverbands hat Harald Mathis, Professor am Fraunhofer-Institut für Angewandte Informationstechnik, 30 im Parallelbetrieb angeschlossene Praxen untersucht. Auch dieses Ergebnis ist für Patienten wenig erfreulich: „Ein Drittel war sicher, und die anderen zwei Drittel waren in einem beklagenswerten Zustand", erklärte der Experte gegenüber der SZ. In seinen Augen besteht das Risiko, „dass mit den Daten auch Schindluder getrieben wird“.

Der GKV-Spitzenverband besteht aber offenbar auf der Verantwortung der Ärzte für den Datenschutz: „Wir erwarten, dass die Ärzte und die sie vertretenden Organisationen alle Datenschutzfragen mit der gebotenen Sorgfalt angehen“, äußerte sich Pressesprecher Florian Lanz gegenüber ÄZ. Die Kassenärztliche Bundesvereinigung (KBV) hingegen bestritt auf Anfrage der ÄZ, dass 90 Prozent der an die TI angeschlossenen Praxen unsicher seien. Es wird ein Sprecher zitiert: