< vorheriger Artikel

DGVT-BV-Info: TI-Sicherheitslücken? - Was es beim Parallelbetrieb zu beachten gilt


Bericht im NDR-Fernsehen am 12.11.2019

Ein Bericht im NDR-Fernsehen am 12.11.2019, den einige von Ihnen vielleicht ebenfalls gesehen haben, beschrieb das Szenario mit der Parallelschaltung, das wir hier auch vor einigen Wochen diskutiert haben, äußerst kritisch. Ein Experte des Fraunhofer Instituts (Prof. Mathis) beschrieb in einem Bericht das Problem der parallel geschalteten Konnektoren und einem daraus resultierenden Sicherheitsproblem für die gesamte Praxis-IT. Der Parallel-Betrieb ohne zusätzlichen Secure Internet Service ist als nicht sicher einzustufen! Diese Erkenntnis ist aus unserer Sicht nicht neu. Hierzu ausführlicher im Folgenden. Zunächst der Hinweis auf den Fernseh-Beitrag im NDR:

NDR, 12.11.2019, https://www.ndr.de/fernsehen/sendungen/panorama3/Sensible-Patientendaten-in-Gefahr,patientendaten110.html

Fraunhofer Institut: Zwei Drittel der getesteten Praxen unsicher

Prof. Harald Mathis vom Fraunhofer Institut für Angewandte Informationstechnik (FIT) hat im Auftrag des bayrischen Fachärzteverbands 30 parallel angeschlossene Praxen exemplarisch auf ihre Sicherheit nach dem Anschluss an das Netzwerk untersucht. "Ein Drittel war sicher und die anderen zwei Drittel waren in einem beklagenswerten Zustand", sagt er. Diese Praxen hätten laut Mathis so nicht an das Netzwerk angeschlossen werden dürfen.Er kritisiert, dass bei der Installation vor Ort nicht sichergestellt wurde, dass Praxen am Ende über die nötigen Schutzfunktionen verfügen. Damit sei man das Risiko eingegangen, "dass mit den Daten möglicherweise auch Schindluder getrieben wird.(…)“

Parallelbetrieb

Wir hatten im Mai dieses Jahres über die Mailingliste Niedergelassene in diesem Sinne wie folgt informiert (Info ist weiterhin gültig):

(...) Für KollegInnen, die sich für den Parallelbetrieb entschieden haben, bzw. die keine explizite Entscheidung für den Reihenbetrieb getroffen haben bislang. Man kann und darf, wie gesagt, die TI auch im Rahmen der Parallelschaltung betreiben. Es sind dann aber die besonderen Sicherheitsvorkehrungen zu treffen bzw. es ist zu prüfen, ob die bisherigen ausreichend sind. Bitte gehen Sie hierzu nochmals die Kriterien durch, die z.B. PsyPrax veröffentlicht hat, mit den Argumenten für Parallel- bzw. Reihenbetrieb. Falls Sie bei der Parallelschaltung bleiben, sollte sichergestellt sein, dass Sie Ihr Netzwerk bereits professionell administrieren und eine Firewall existiert. Ich sende das Aufklärungsblatt von PsyPrax nochmals mit.(…)

Ich zitiere hier nochmals aus dem Info-Schreiben von PsyPrax, das wir weitergeleitet hatten. Auch andere Anbieter (z.B. Hasomed, s. Anhang) hatten zur Sicherheitsfrage informiert. PsyPrax (vgl. Infoblatt im Anhang):

„Wenn Sie sich den Parallelbetrieb entscheiden, ändert sich an der bestehenden Verbindung ins Internet und an der Sicherheit nichts im Vergleich zum Zustand vor der TI, was den Zugang Ihres Praxis-PCs ins Internet betrifft. Sie gehen an der TI vorbei wie bisher ins Netz, und es hängt von der Firewall im Router und in Ihrem PC ab, wie sicher Ihre Daten sind. Da der Konnektor nicht als Firewall im LAN fungiert, ist der Parallelbetrieb laut gematik nur für medizinische Einrichtungen geeignet, die bereits ein größeres LAN etabliert haben und über entsprechende Sicherheitsfunktionen gemäß dem Bundesamt für Sicherheit in der Informationstechnik verfügen.(…)

Hier nochmals die schriftliche Auskunft des Bundesministeriums fu?r Gesundheit vom Mai 2019 zum Thema Datensicherheit der Telematikinfrastruktur, Datenschutz und Haftungsfragen:

„(…) Das zentrale Netz der Telematikinfrastruktur ist ein in sich geschlossenes Netz. Der Zugang zu diesem ist nur über sichere zentrale Zugangspunkte möglich. Eine Anbindung an die Plattform der Telematikinfrastruktur setzt voraus, dass der jeweilige Dienst ein Zulassungs- oder Bestätigungsverfahren bei der gematik durchlaufen hat. Wird ein Fachdienst angeschlossen, muss dieser ebenfalls ein Zulassungs- oder Bestätigungsverfahren bei der gematik durchlaufen haben.

Für den Bereich der Datenverarbeitung im Rahmen der TI bestehen keine besonderen haftungsrechtlichen Regelungen. Es gelten vielmehr die allgemeinen haftungsrechtlichen Vorgaben. Dabei kommen vertragliche, deliktische und datenschutzrechtliche Haftungstatbestände in Betracht. Allen haftungsrechtlichen Tatbeständen gemein ist, dass den Datenverarbeiter ein Verschulden für den eingetretenen Schaden treffen muss.

Die ab dem 25. Mai 2018 unmittelbar geltende DSGVO regelt die Haftung des Verantwortlichen oder Auftragsverarbeiters in Artikel 82 DSGVO und ersetzt dann die bislang im Bundesdatenschutzgesetz (BDSG) maßgebliche Regelung des § 7 BDSG. Auch die DSGVO knüpft bei der Haftung an die Verantwortlichkeit des Datenverarbeiters für den eingetretenen Schaden an. Nach Artikel 82 Absatz 3 DSGVO besteht eine Haftungsbefreiung, wenn der Verantwortliche oder Auftragsverarbeiter in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Sofern der Konnektor oder eine andere zugelassene Komponente der Telematikinfrastruktur bestimmungsgemäß verwendet wird und gemäß den, mit dem BSI abgestimmten, allgemeinen Anforderungen durch den Leistungserbringer aufgestellt und betrieben wird, scheidet sowohl ein Verstoß gegen die DSGVO als auch ein Verschulden des Leistungserbringers aus, wenn ein Dritter eine – derzeit nicht bekannte – Sicherheitslücke des Konnektors ausnutzen würde. (!!!) Eine Haftung des Leistungserbringers scheidet in diesem Fall somit nach der DSGVO, aber auch nach jeder anderen vergleichbaren zivilrechtlichen Norm (Deliktsrecht) aus. Gleiches gilt für jegliche strafrechtliche Haftung (z. B. § 203 Strafgesetzbuch - Verletzung von Berufsgeheimnissen), die immer eine vorsätzliche unbefugte Offenbarung durch den Geheimnisträger voraussetzt, was bei einer Ausnutzung von Sicherheitslücken durch Dritte per se ausscheidet. (!!!)

Mit freundlichen Grüßen
(Referat Beratung und Information fu?r Versicherte und Leistungserbringer)“

Herzlichen Gruß
Ihre Bundesgeschäftsstelle

Hiermit möchten wir Ihnen beispielhaft die Schreiben von Hasomed und Psyprax vom Sommer 2019 zur Verfügung stellen.


Zurück