Probleme über Probleme und kein Ende in Sicht!
Da die gematik und das BMG nicht mit mir zusammenarbeiten und meine Fragen seit 08.08.2019 nicht beantworten, bleibt mir nun nur der Weg, alles weiter öffentlich zu diskudieren.
Heute geht es um das Kartenlesegerät. Bei meinen Begutachtungen in den Arztpraxen habe ich feststellen müssen, dass kein einziges Kartenlesegerät die in der Bedienungsanleitung aufgeführten Eigenschaften aufweist.
Unter dem folgenden Link präsentiert der Hersteller der Öffentlichkeit seine zertifizierte und von der gematik abgenommene Bedienungsanleitung seines o.g. Modells in den beiden Firmwareversionen:
https://ingenico.de/healthcare/downloads/info-seiten/bedienunqsanleitung-orga-6141-online.html
Bei der FW Version 3.7.4 z.B. wird auf der Seite 20 ff u.a. die Sicherheit des Gerätes beschrieben. Dort wird erklärt, dass alle Gehäuseteile mit den durchnummerierten BSI Siegeln so versiegelt sind, dass dem Anwender eine Manipulation des Gerätes sichtbar gemacht wird.
Auf Seite 36 wird unter dem Kapitel Produktbeschreibung unter Abbildung 10 auf eine Klappe mit folgender Eigenschaft hingewiesen:
„ACHTUNG! Die Klappe auf der Rückseite des Gerätes ist mit der Gehäuseunterseite verklebt! Das Öffnen der Klappe ist nicht möglich und würde zur Beschädigung des Gerätes führen.“
Damit wird dem Anwender eine weitere Sicherheitseigenschaft des zugelassenen eHealth Kartenterminals beschrieben. Diese Sicherheit ist eine wichtige Voraussetzung für die BSI-Zertifizierung und soll gegen einen Datenmissbrauch (z.B. Abhören der PIN) schützen. Kein Arzt würde also auf die Idee kommen und ein Kartenlesegerät auf Manipulation untersuchen und die Klappe öffnen. Das kann fatale Folgen haben.
Nach unseren Recherchen entspricht keinn einziges Gerät dieser in der Bedienungsabnleitung beschriebenen Eigenschaft. Alle bisher in Verkehr gebrachten Geräte lassen sich unbemerkt öffnen und ggf. manipulieren, ohne dass der Arzt dies bemerken kann. Die versprochene Eigenschaft der Klappe wurde nicht eingehalten. Jeder Arzt kann das gern ausprobieren (bitte nicht mit Gewalt, es geht ganz leicht), sollte ein Arzt ein verklebtes Gerät finden, dann hätte ich gern die Info, aber ich glaube nicht, dass es ein verklebtes Gerät gibt.
Dadurch wird die auf Seite 20 beschriebene Sicherheit durch die Versieglung obsolet, da man, wie die Bilder zeigen, unbemerkt Manipulationen am Gerät vornehmen kann und die Datensicherheit der Patienten verletzt werden kann. Der komplette Sinn einer BSI-Zertifizierung wird hiermit obsolet.
Es kursieren bereits Bilder, in welcher Abfolge die Geräte manipuliert werden können und Bilder von manipulierten Kartenterminals. Ich möchte dies hier nicht weiter ausführen, will ja mehr Sicherheit und nicht mehr Hacker.
So das fertig manipulierte Gerät.
Laut BSI ist das Gerät nur dann zertifiziert, wenn folgende Sicherheitseigenschaften erfüllt werden. Diese können unter folgendem Link abgerufen werden
So viel zum Thema Sicherheit. Aber noch einen weiteren Aspekt, welcher ebenfalls seit meinem Besuch im BMG im August gefragt und nie beantwortet wurde. Hier ein neuer Versuch.
Viele Praxen (vor allem größere) mussten täglich die Geräte mehrfach neu starten. Seit 06.08.2019 weiß man auch warum. Nun, jede KVK-Karte ist mit einem elektronischen Zertifikat pro Krankenkasse gesichert (also jede Krankenkasse hat ein eigenes Zertifikat). Der Kartenleser holt sich über die SMC-B Karte, über den Konnektor, VPN-Tunnel usw. sozusagen das „Gegen-„Zertifikat um zu schauen ob die Karte echt ist. Für diese „Gegen-„Zertifikate gibt es 8 Speicherplätze (pro alle Kartenleser einer BSNR), die je einmal belegt werden können und nicht mehr freigegen werden (außer man schaltet alles aus).
Na, Sie ahnen es schon? Es gibt dummerweise mehr als 8 Krankenkassen in unserem Lande, wer konnte denn nur sowas ahnen.
Und so lange man den ganzen Tag nur Patienten behandelt, die zur gleichen Kasse gehören oder einfach eh nur 8 Patienten am Tag macht, läuft die Telematik auch.
Bei den Testes der ganzen Telematik hatte man einfach nur mit 5 Karten gearbeitet, bevor man den Mist auf die Menschheit losgelassen hat, wie uns der zuständige Entwickler berichtete.
Mit dem neuen Update (was gerade auf die Konnektoren und Kartenlesegeräte installiert wird) soll nun der Fehler behoben werden, in dem die Prüfung des Zertifikates wegfällt, so wurde uns das berichtet. Da wir auf unsere Fragen keine Antwort bekommen frage ich nun öffentlich nach und bitte alle Ärzte und Ärzteverbände mich in meiner Anfrage zu unterstützen. Hier geht es nicht um eine Hexenjagd sondern um Sicherheit, Haftung und Aufklärung!
- Ich frage hiermit öffentlich die gematik und das BMG an, ist es richtig, dass der einzige Grund, die Telematik einzuführen (die Prüfung der KVK-Karte mit deren Zertifikaten um Missbrauch zu verhindern) nun wegfällt?
- Ist es richtig, dass kein einziges Kartenlesegerät den in der Bedienungsanleitung zugesicherten Eigenschaften entspricht?
- Warum ist bei solch einem Projekt nur ein einziges Kartenlesegerät zugelassen? Sollten bei solch wichtigen und großen Projekten nicht schon per Gesetz 3 Konkurenten verpflichtend sein? (nun können wir nicht ausweichen)