Schon vor gut vier Jahren gab es laut IT-Experten bestimmte Sicherheitslücken bei der Telematik-Anbindung der Praxen. Man kann die Praxen mit einem Filter seriell anschließen, was die Arbeit im Internet etwas schwieriger macht oder man kann sie parallel anschließen, wobei die Praxis gleichzeitig auch im Internet arbeiten kann. Aber wenn man wirklich auf Nummer Sicher gehen will, müssten die Connectoren eben seriell angeschlossen sein. Das haben allerdings die meisten Software-Anbieter nicht so gemacht, weil der Parallelanschluss einfacher zu installieren war. Natürlich beschäftigen sich die meisten Arztpraxen nicht mit derartigen Details und vertrauen einfach auf ihre Anbieter. Und die Politik hat, wie so oft, die Sache stillschweigend ausgesessen.
Derzeit gehen wir daher davon aus, dass die meisten Praxen parallel angeschlossen sind – und somit potenziell mit einer Sicherheitslücke leben.
Wir als IG Med wollen uns nun zusammen mit einer IT-Firma für die digitale Sicherheit engagieren. Die Experten, mit denen wir zusammenarbeiten, sagen, dass sie noch keine einzige Praxis gefunden hätten, die wirklich korrekt und sicher angeschlossen ist. Das bedeutet, dass sich Hacker jederzeit leicht Zugang zu den Patientendaten verschaffen können.
Deswegen bieten wir unseren Mitgliedern und auch Neumitgliedern jetzt die Möglichkeit an, kostenlos zu testen, wie sicher ihre Praxis an die Telematik angeschlossen ist, beziehungsweise welche Sicherheitslücken vorliegen. Hundertprozentige Sicherheit kann es nicht geben, weil gewiefte Hacker letztendlich immer Wege zu den Daten finden können, wenn sie nur genug Energie und Zeit dafür aufwenden. Aber man kann natürlich versuchen, diese Gefahr so gut wie möglich zu reduzieren.
Unsere Praxen waren ja bis zum Zeitpunkt des Anschlusses an die Telematik-Infrastruktur nicht im Internet unterwegs. Daher haben wir auch Geräte bei uns stehen, wie zum Beispiel Ultraschallgeräte, die im eigenen, abgeschlossenen Netz völlig ungefährlich und harmlos sind. Wenn aber nun das Intranet an das Internet angeschlossen wird, bieten die Geräte mit alten Betriebssystemen Angriffspunkte für den leichten Zugang zu den Daten im Praxisnetz. Die Möglichkeit des Datenklaus ist dann also ganz real. Wer sich mit dem Thema beschäftigt, weiß das, doch die Ärzteschaft, die auf ihren Software-Anbieter vertraut, glaubt, dass Telematik und Gematik gut geregelt sind. Manche glauben, das Sicherste sei ein Air-Gap, also Luft zwischen Praxis und Internet – die brauchen keinen Sicherheitstest. Aber die meisten sind dann doch im Internet, weil sie etwas nachschauen wollen, weil sie Termine vergeben müssen, weil sie mit ihrem Labor kommunizieren müssen – und für diese ist der Sicherheitstest gemacht. Dabei wird getestet, ob die IP-Adresse der Praxis irgendwo eine Lücke hat.
Nun haben alle unsere Mitglieder und auch Neumitglieder die Möglichkeit, diesen Test kostenlos zu machen – samt Lizenzen und Beratung würde er sonst 700 bis 900 Euro kosten. Wir wollen möglichst viele Praxen dafür gewinnen, weil wir in einem zweiten Schritt eine Statistik erstellen wollen. Wir möchten wissen und auch publik machen, wie viele Praxen tatsächlich sicher angeschlossen sind.
Bei mir wurde das Ganze zuerst ausprobiert, und es wurde bei einem Drucker und in der Telefonanlage ein Sicherheitsrisiko gefunden. Das hat mich erstaunt, denn bis dahin hatte ich immer gedacht, bei mir sei alles sicher. Ich musste die Telefonanlage updaten und der Drucker hat ein richtiges Passwort bekommen. Das waren sehr kleine Problemchen, aber bis dahin wäre es tatsächlich möglich gewesen, digital in die Praxis einzudringen. Jetzt fühlt sich das Ganze für mich natürlich besser an.
Die Telematik gilt ja als Allheilmittel für alle unsere Probleme – wir wollen digitale Einschätzungen machen und wir wollen die elektronische Patientenakte haben. Dazu braucht es die TI. Und deswegen wurden mögliche Anfangsfehler von der Politik ignoriert. Das ist uns auch im politischen Diskurs wichtig zu wissen, weil ja immer gesagt wird, die TI sei hundertprozentig sicher. Ob dem wirklich so ist, oder ob man einfach schnell etwas eingeführt hat und die Praxen damit im Regen stehen lassen hat – das wollen wir feststellen.
Die Digitalisierung kostet die Praxen eine Menge Geld – und man geht natürlich davon aus, dass das vernünftig gemacht wird. Aber leider ist es in Teilen weder vernünftig, noch bringt es den Praxen große Vorteile. Die Erstanschlüsse wurden von den Krankenkassen bezahlt. Aber das deckte bei weitem nicht die Folgekosten ab, wenn etwas nicht funktioniert. Und letztendlich brachte das Ganze einen Rattenschwanz an finanziellen Herausforderungen mit sich. Beispielsweise lief der Austausch der Heilberufsausweise nicht problemlos. Ich denke auch an die elektronische AU – der Arzt sollte sie eigentlich nur an die Krankenkasse schicken – aber wenn die TI wieder einmal nicht funktioniert, was bei uns alle zwei Tage für zehn Minuten passiert, geht die Krankmeldung nicht raus, dann müssen wir es immer wieder probieren, und am Ende wird die AU nicht selten ausgedruckt und per Post geschickt. Dasselbe Spiel gibt es beim E-Rezept – der Patient steht in der Apotheke, das Rezept ist aus verschiedensten Gründen noch nicht da, und der Patient kommt zurück in die Praxis und ist sauer auf den Arzt.
In anderen Worten: Das Ganze ist nicht fehlerfrei und in Teilen auch nicht sicher. Der kostenlose Sicherheitstest ist also in doppelter Hinsicht sinnvoll: Wir wollen eine Statistik zur Sicherheit machen und wir möchten damit auch neue Mitglieder einladen.
Wie ist Ihre Erfahrung mit der TI-Sicherheit in Ihrer Praxis? Wurden auch bei Ihnen schon Schwachstellen entdeckt – oder vertrauen Sie Ihrem Anbieter blind? Diskutieren Sie mit in den Kommentaren!