Stellungnahme zum SZ-/NDR-Bericht

CGM: Sicherheitslücken in den Praxen haben nichts mit der TI zu tun

Stuttgart - 28.11.2019, 11:59 Uhr

Die überwiegende Mehrheit der Arztpraxen hatte bereits vor der Konnektor-Installation einen Zugang zum Internet. Ein zusätzlich parallel installierter Konnektor ändert laut CGM und Gematik nichts am Schutzniveau des bestehenden Internetzugangs. (s / Foto: smolaw11/stock.adobe.com)

Die überwiegende Mehrheit der Arztpraxen hatte bereits vor der Konnektor-Installation einen Zugang zum Internet. Ein zusätzlich parallel installierter Konnektor ändert laut CGM und Gematik nichts am Schutzniveau des bestehenden Internetzugangs. (s / Foto: smolaw11/stock.adobe.com)


Laut einem kürzlich veröffentlichten Bericht von NDR und Süddeutscher Zeitung, soll es in 90 Prozent der Arztpraxen nach Anschluss an die TI erhebliche Sicherheitsrisiken geben. Hintergrund soll die Art und Weise sein, wie die Konnektoren installiert wurden. Wir haben die Compugroup Medical (CGM), Marktführer im Bereich Praxissoftware, mit den Vorwürfen konfrontiert und nachgefragt, ob beim Anschluss der Apotheken ähnliche Sicherheitslücken drohen.

Vor knapp zwei Wochen berichteten NDR und Süddeutsche Zeitung, dass es in über 90 Prozent der an die TI angebundenen Praxen Sicherheitsrisiken gebe, aufgrund derer sich Hacker Zugang zu Patientendaten verschaffen könnten. Die Medien beriefen sich dabei auf ein vertrauliches Papier der Gematik. Grundlage für die Lücke soll sein, dass die zum Anschluss an die TI notwendigen Konnektoren in den betroffenen Praxen mit einer Methode angebunden wurden, dem sogenannten Parallelbetrieb, bei der es einer zusätzlichen Absicherung, wie einer Hardware-Firewall, bedürfe. Die gebe es aber in den meisten Praxen nicht. Die alternative Methode, den Reihenbetrieb, würden viele IT-Dienstleister gar nicht anbieten. In der Ärzte Zeitung war darüber hinaus noch zu lesen, dass der explizite Wunsch nach der angeblich sicheren seriellen Anschlussmethode von den Dienstleistern abgebügelt wurde.

Mehr zum Thema

„Ein parallel installierter Konnektor ändert nichts am Schutzniveau des bestehenden Internetzugangs“

Einer dieser Dienstleister ist die Compugroup Medical (CGM), nach eigener Aussage Marktführer im Bereich der Praxis-Software. Etwa die Hälfte der Praxen in Deutschland nutzt Systeme von CGM. Und CGM widerspricht auf Nachfrage von DAZ.online der Darstellung der oben genannten Medien. Ein parallel installierter Konnektor ändere nichts am Schutzniveau des bestehenden Internetzugangs, erklärt CGM und verweist dabei auf eine Pressemitteilung der Gematik. Auch ein seriell installierter Konnektor – der wiederum in der Berichterstattung als sicher deklariert werde – ersetze keine der üblichen Maßnahmen, die jeder Internetnutzer selbst ergreifen muss, um sich sicher im Internet zu bewegen. Alle Arztpraxen, die in ihrem Praxisnetzwerk einen Internetzugang nutzen, seien gefordert ihr Praxisnetzwerk gegen jegliche Bedrohungen von außen abzusichern. Das gelte, habe schon vor der TI generell gegolten und sei unabhängig von der TI-Anbindung.

Seitens der CGM habe man im Vorfeld der TI-Installation interessierte und Bestellungen tätigende Praxen umfassend über die Notwendigkeit eines sicheren Internetanschlusses informiert. Jede Praxis habe sich bereits mit Bestellung der TI-Komponenten verpflichtet, alle praxisseitigen Vorbereitungen bis zum Tag der Installation getroffen zu haben. Das Bestellformular verweise explizit darauf, dass ein sicherer Onlinezugang unverzichtbare Voraussetzung sei. Zur Unterstützung biete die CGM seit 2017 ein Selfassessment an. Zudem sei es den Praxen freigestanden einen TI-ready-Check zu beauftragen, in dessen Umfang auch der sichere Onlinezugang geprüft werde. Im Übrigen gebe es auch unabhängig von den CGM-gesteuerten Informationen im Vorfeld der Installation die Praxen-Beratung hinsichtlich der notwendigen Voraussetzungen wie dem Onlinezugang oder dem Erwerb der SMC-B, so CGM.

Drohen auch bei den Apotheken Sicherheistlücken?

Die Techniker, mit denen CGM arbeitet, sind laut eigener Aussage ausgebildet und zertifiziert und in mehrtägigen Schulungen in der TI-Thematik auf Basis der Gematik- Vorgaben geschult. Die meisten Praxen würden schon seit Jahren von diesen Technikern betreut. Wenn Firewalls und Virenschutz trotz Empfehlung in der Vergangenheit nicht installiert wurden, habe dies nichts mit dem TI-Anschluss an sich zu tun. Bei der Installation folgen die Techniker laut CGM den Vorgaben der Gematik. Zu deren Einhaltung seien sie vertraglich gegenüber der CGM verpflichtet. Als Nachweis soll es ein Abnahmeprotokoll geben, das einen Hinweis auf die vorgefundene Sicherheitsstufe enthalte. Im Falle einer als niedrig eingestuften Sicherheitsstufe werde mit dem Praxisinhaber über die Sicherheit gesprochen. Aber: Die Beauftragung eines IT Dienstleisters seiner Wahl, um die Sicherheit des gewählten Internetanschlusses zu erhöhen, obliege dem Praxisinhaber, so die CGM.

Welche Installationsmethode nun konkret von CGM vorgenommen wird, parallel oder in Reihe, und ob man auf Nachfrage die jeweils andere anbiete, dazu machte CGM keine Aussage.

Mehr zum Thema

Interview ABDA-IT-Chef Sören Friedrich (Teil 1)

„Apotheker sehen neue Technologien nicht so skeptisch wie Ärzte“

„Auch Apotheken müssen ihren Internetanschluss schützen – wie bisher auch schon“

Zu der Frage, ob beim bevorstehenden TI-Anschluss der Apotheken ähnliche Sicherheitslücken drohen, erklärt CGM: „Beim TI-Anschluss in Apotheken gelten grundsätzlich die gleichen Rahmenbedingungen wie auch in Arztpraxen. Auch dort ist, wie bisher auch schon, der Internetanschluss der Apotheke gesondert gegen Angriffe von außen zu schützen. Dies setzt voraus, dass die eingesetzten Systeme immer auf dem aktuellsten Stand sind. CGM-Lauer-Kunden haben beim Einsatz von Winapo® bereits eine entsprechende Firewall und Virenschutzlösung in Betrieb, um die Apotheke bestmöglich von außen und innen zu schützen.“

Laut Pressemitteilung der Gematik werden mit einem richtig installierten Konnektor Patientendaten in der Praxis sogar effektiver als bisher geschützt. Denn der Konnektor besitze – neben notwendigen Funktionen eines Routers – vor allem Sicherheitsfunktionen wie beispielsweise eine Firewall. Diese blockiere jede eingehende Verbindung aus der Telematikinfrastruktur in die Arztpraxis und könne auch die Verbindung ins Internet sichern, heißt es.



Julia Borsch, Apothekerin, Chefredakteurin DAZ.online
jborsch@daz.online


Diesen Artikel teilen:


Das könnte Sie auch interessieren

Gematik stellt Checkliste für Apotheker bereit

Checkliste für den TI-Anschluss

TI-Anbindung sorgt für Ärger und Verunsicherung

Sand im Getriebe

„Alternativloser“ Konnektorentausch – eine kommentierende Analyse

Operation Edelschrott sofort stoppen!

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.