Spektrum

Stellungnahme zum SZ-/NDR-Bericht

CGM: Sicherheitslücken in den Praxen haben nichts mit der TI zu tun

Stuttgart - 28.11.2019, 11:59 Uhr

Die überwiegende Mehrheit der Arztpraxen hatte bereits vor der Konnektor-Installation einen Zugang zum Internet. Ein zusätzlich parallel installierter Konnektor ändert laut CGM und Gematik nichts am Schutzniveau des bestehenden Internetzugangs. (s / Foto: smolaw11/stock.adobe.com)

Laut einem kürzlich veröffentlichten Bericht von NDR und Süddeutscher Zeitung, soll es in 90 Prozent der Arztpraxen nach Anschluss an die TI erhebliche Sicherheitsrisiken geben. Hintergrund soll die Art und Weise sein, wie die Konnektoren installiert wurden. Wir haben die Compugroup Medical (CGM), Marktführer im Bereich Praxissoftware, mit den Vorwürfen konfrontiert und nachgefragt, ob beim Anschluss der Apotheken ähnliche Sicherheitslücken drohen.

Vor knapp zwei Wochen berichteten NDR und Süddeutsche Zeitung, dass es in über 90 Prozent der an die TI angebundenen Praxen Sicherheitsrisiken gebe, aufgrund derer sich Hacker Zugang zu Patientendaten verschaffen könnten. Die Medien beriefen sich dabei auf ein vertrauliches Papier der Gematik. Grundlage für die Lücke soll sein, dass die zum Anschluss an die TI notwendigen Konnektoren in den betroffenen Praxen mit einer Methode angebunden wurden, dem sogenannten Parallelbetrieb, bei der es einer zusätzlichen Absicherung, wie einer Hardware-Firewall, bedürfe. Die gebe es aber in den meisten Praxen nicht. Die alternative Methode, den Reihenbetrieb, würden viele IT-Dienstleister gar nicht anbieten. In der Ärzte Zeitung war darüber hinaus noch zu lesen, dass der explizite Wunsch nach der angeblich sicheren seriellen Anschlussmethode von den Dienstleistern abgebügelt wurde.

Gematik lässt ersten E-Health-Konnektor zu

Anbindung an die Telematikinfrastruktur

Wie sollen DocMorris und Co. künftig E-Rezepte empfangen?

„Ein parallel installierter Konnektor ändert nichts am Schutzniveau des bestehenden Internetzugangs“

Einer dieser Dienstleister ist die Compugroup Medical (CGM), nach eigener Aussage Marktführer im Bereich der Praxis-Software. Etwa die Hälfte der Praxen in Deutschland nutzt Systeme von CGM. Und CGM widerspricht auf Nachfrage von DAZ.online der Darstellung der oben genannten Medien. Ein parallel installierter Konnektor ändere nichts am Schutzniveau des bestehenden Internetzugangs, erklärt CGM und verweist dabei auf eine Pressemitteilung der Gematik. Auch ein seriell installierter Konnektor – der wiederum in der Berichterstattung als sicher deklariert werde – ersetze keine der üblichen Maßnahmen, die jeder Internetnutzer selbst ergreifen muss, um sich sicher im Internet zu bewegen. Alle Arztpraxen, die in ihrem Praxisnetzwerk einen Internetzugang nutzen, seien gefordert ihr Praxisnetzwerk gegen jegliche Bedrohungen von außen abzusichern. Das gelte, habe schon vor der TI generell gegolten und sei unabhängig von der TI-Anbindung.

Seitens der CGM habe man im Vorfeld der TI-Installation interessierte und Bestellungen tätigende Praxen umfassend über die Notwendigkeit eines sicheren Internetanschlusses informiert. Jede Praxis habe sich bereits mit Bestellung der TI-Komponenten verpflichtet, alle praxisseitigen Vorbereitungen bis zum Tag der Installation getroffen zu haben. Das Bestellformular verweise explizit darauf, dass ein sicherer Onlinezugang unverzichtbare Voraussetzung sei. Zur Unterstützung biete die CGM seit 2017 ein Selfassessment an. Zudem sei es den Praxen freigestanden einen TI-ready-Check zu beauftragen, in dessen Umfang auch der sichere Onlinezugang geprüft werde. Im Übrigen gebe es auch unabhängig von den CGM-gesteuerten Informationen im Vorfeld der Installation die Praxen-Beratung hinsichtlich der notwendigen Voraussetzungen wie dem Onlinezugang oder dem Erwerb der SMC-B, so CGM.