Eine wirklich wahre Geschichte, aus einem Tag im Leben eines Arztes, der, wie viele Ärzte, nicht in der Lage war, seine Praxis sicher an die TI anschließen zu lassen, wie es gematik KBV und BMG fordern. (Achtung! Sarkasmus)
Der Arzt hatte sich, wie viele, zwangsweise anschließen lassen. Dabei forderte er ausdrücklich einen sicheren und richtigen Anschluss seiner Praxis, da er das Arzt – Patientenverhältnis als ein hohes Gut einschätzt. Er bestellte bei seinem PVS ITler auch gleich eine Firewall mit. Diese bekam er auch geliefert. Nach den zahlreichen Medienberichten wollte der Arzt von seinem PVS Hersteller, der ihm auch Firewall und Konnektor lieferte und anschloss, eine Bescheinigung, dass er sicher und richtig angeschlossen sei. Statt der Bescheinigung bekam er aber nur Standardschreiben, dass das Personal des PVS Herstellers geschult sei und man alle Vorgaben von gematik und KBV selbstverständlich einhalten würde. Der Arzt fragte mehrfach nach einer Bescheinigung, diese wurde ihm jedoch verweigert. Daraufhin teilte er dem PVS Hersteller mit, dass er einen externen Dienstleister, Jens Ernst, beauftragen werde, seine Praxis zu prüfen. Von da an wurde der Ton rauer. Als der Arzt noch das Passwort für seine Firewall haben wollte, war es komplett vorbei mit einem höflichen Umgang.
Dazu eine grundsätzliche Anmerkung. Sie haben den Konnektor und die Firewall gekauft. Es ist Ihr alleiniges Eigentum! Sie tragen außerdem die volle Verantwortung für die Geräte. Also müssen Sie die Zugangsdaten haben und die Einstellungen kontrollieren. Niemand anderes muss die Zugangsdaten haben, nur Sie. Die Erfahrung zeigt mittlerweile, dass Ärzten gern Firewalls verkauft werden, welche aber nicht richtig oder gar nicht eingerichtet sind. Dann sind das nur teure Stromverbraucher. Fordern Sie Ihre unbedingt Zugangsdaten an!
Zurück zu der wahren Geschichte. Das Passwort, so der PVS Hersteller, könne man ihm nur in der Firmenzentrale in Oldenburg persönlich aushändigen. Also setzte sich der Arzt ins Auto und fuhr in die Zentrale. Dort nötigte man ihn ein Schreiben zu unterschreiben, dass der PVS Hersteller aus aller Haftung raus ist, sonst würde der Arzt sein Passwort nicht bekommen.
Nach der Aushändigung des Passwortes hat sich die Firma auf die Firewall aufgeschaltet, Updates durchgeführt und Firewall-Regeln geändert sowie eine Sicherung der Einstellungen als Beweissicherung heruntergeladen. Alles ohne Wissen oder Genehmigung des Arztes. Leider war man trotzdem nicht in der Lage, auch nur annähernd richtige Regeln einzutragen. Trotz dem der PVS Hersteller wusste, dass der Ernst sich diese ansehen möchte, war er mit seiner ganzen IT Abteilung und seinem Sachverstand und seinem „top geschultem Personal“ nicht in der Lage, die Firewall auch nur annähernd so einzurichten, dass sie den Bestimmungen von KBV, gematik usw. entspricht. Ports waren grundsätzlich aus dem Netz offen. Es gab sogar Einstellungen, bei der ein nicht mehr vorhandenes Gerät ein- und ausgehend alle Ports offen hatte. Wenn diese IP von einem Rechner benutzt worden wäre, wären die Daten direkt aus dem Internet zugänglich gewesen.
Weiterhin hatte ich an Hand der Bilder bereits eine weitere gravierende Sicherheitslücke gefunden. Der SIS war trotz parallelem Anschluss geschaltet (LED SIS am Konnektor leuchtet).
Das ist zwar vollkommen sinnfrei, war aber der Fall. Ich wies den Arzt bereits im Vorfeld darauf hin. Als der Arzt den PVS Hersteller damit konfrontierte, wurde dem Arzt mitgeteilt, dass der SIS nicht geschaltet sei. Auch das war eine Lüge. Ich konnte mit nur einem Befehl den Standardgateway der Praxis auf den Konnektor legen und mich sofort an einem FTP anmelden. Damit ist der Beweis erbracht, dass die Aussage: „Keine Praxis ist mit Konnektor unsicherer angeschlossen als vorher“ ebenfalls erwiesenermaßen FALSCH!
Ich suchte das Gespräch mit der Firmenzentrale in Oldenburg, um über diese und andere Lücken zu sprechen. Dort wollte man aber nicht mit mir sprechen und verwies mich in die Zentrale nach Bamberg. Der Geschäftsführer dort teilte mir am Telefon mit, dass ich „vom Bösen“ instrumentalisiert worden sei. Als ich ihm sagte, dass es mir um die Einhaltung der grundlegenden Menschenrechte ginge, legte er auf.
Nun eine weitere öffentliche Frage an KBV, gematik, Datenschützer, BMG usw. Sie schreiben und sagen immer, die Ärzte wären schuld und die tragen die Verantwortung und müssen dafür Sorge tragen, dass die Praxen sicher angeschlossen seien. Ich habe eine ganz einfache Frage, die ich gern beantwortet haben möchte und ich werde auch nur diese eine Frage stellen, damit Sie nicht überfordert sind.
Was hätte der Arzt anders machen können?
Ich hätte gern eine Antwort auf diese Frage!
Übrigens habe ich letzte Woche eine KV (Vorstand) mit ihrer gesamten IT Abteilung über die Sicherheitslücken aufgeklärt. Die haben bis letzte Woche noch nicht einmal geahnt, welche Lücken die den Ärzten zumuten. Die IT Abteilung hat das jetzt verstanden, so hoffe ich. Wie soll das weiter gehen? Nötigung, Erpressung, vorenthalten von Eigentum, Lügen, Falschaussagen, Beweismittelmanipulation…fahrlässiges oder sogar vorsätzliches gefährden des Arztgeheimnisses, die Liste liest sich wie ein Mafia-Roman.
Liebe Ärzte, es ist höchste Zeit zu handeln! Ziehen Sie den Stecker! Zwingen Sie die Politik tätig zu werden! Wenn Sie Fragen dazu haben, wie man den Stecker zieht und trotzdem ganz normal weiter arbeitet, rufen Sie mich an. Ich berate Sie gern. Lassen Sie sich nicht weiter so behandeln, weder von der Politik noch von den Softwareherstellern. Fordern Sie einen sicheren Anschluss und lassen Sie sich das bescheinigen oder ziehen Sie den Stecker.