Sicherheitsprüfung

Ich erhebe auf die Daten und Informationen ausdrücklich keine Urheberrechte. Ich erlaube und wünsche ausdrücklich unwiderruflich die Verbreitung der Informationen auf jede beliebige Art und Weise!

Kopieren Sie die Texte, senden Sie die per Mail, binden Sie das in Ihre Informationsschriften ein!

Ich bedanke mich für die Verbreitung der Informationen ganz herzlich.

DSFA
Wir empfehlen dringend jedem Arzt eine Datenschutz‑Folgenabschätzung zu erstellen!!

Der Bundesdatenschutzbeauftragte hat in seinem Tätigkeitsbericht (Seite 59) klar gemacht, wie die gesetzliche Lage ist. So ist dort zu lesen:
Nach dem Anwendungsbeginn der DSGVO im Mai 2018 stellte sich mit Nachdruck die Frage, wer eigentlich Verantwortlicher für die Telematik‑Infrastruktur (TI) ist und damit eine Datenschutz‑Folgenabschätzung (DSFA) vorzulegen hat (vgl. hierzu auch unter Nr. 15.2.3). Viele Arztpraxen sind ihrer gesetzlichen Verpflichtung zur Erstellung einer DSFA nachgekommen. Sie haben dabei allerdings nicht an der Schwelle ihrer Praxisräume Halt gemacht, sondern vielmehr auch die TI in ihre Betrachtungen mit einbezogen. Die gesetzlich vorgeschriebene DSFA der Arztpraxis ergab dann, dass ein Anschluss an die TI nicht vertretbar sei. Viele Ärzte haben sich des‑halb an mich gewandt. Die Frage, wer der datenschutzrechtliche Verantwortliche im Sinne der DSGVO für die TI ist, konnte bis zum Redaktionsschluss noch nicht endgültig geklärt werden.“

Das bedeutet: Jeder Arzt sollte eine DSFA anfertigen. Der Bundesdatenschutzbeauftragte meint sogar, dass jeder Arzt gesetzlich dazu verpflichtet ist. Da die gematik jedoch – trotz mehrfacher Aufforderung – nicht in der Lage ist, eine DSFA vorzulegen, kann ein Arzt nur zu dem Ergebnis kommen, dass er sich erst dann an die TI anschließen lässt, wenn die DSFA vorliegt. Er muss sich nun an den Bundesdatenschutzbeauftragten wenden und dort die weitere Vorgehensweise erfragen.

Der Arzt kann auch nach dem Anschluss der TI und den Veröffentlichungen der Probleme zu der Erkenntnis kommen, dass er womöglich gegen die DSGVO verstößt. Also erst einmal den Stecker ziehen und den Bundesdatenschutzbeauftragten fragen, wie weiter verfahren werden soll. Erst wenn diesem die DSFA der gematik vorliegt oder die Verantwortung juristisch (nicht publizistisch) geregelt wird, kann der Stecker wieder eingesteckt werden.

Arztpraxen müssen übrigens nicht nur die Vorgaben des Grundschutzkatalogs „Basisanforderung“ umsetzen, sondern die Vorgaben des erhöhten Schutzes. Das gilt besonders bei der Konfiguration von Firewall-Regeln und Sicherheitsproxies.

Wichtig: Der Grundschutzkatalog ist kein Gesetz. Man kann vom Aufbau abweichen, muss dies aber begründen können, und die Sicherheit darf dabei nicht beeinträchtigt werden. Da Ärzte in der Regel nicht genügend IT-Wissen haben, sollten sie nicht vom geforderten Aufbau abweichen. Jeder Richter und jeder Sachverständige wird prüfen, ob die Regeln des BSI eingehalten wurden. Wurden diese nicht eingehalten, und der Arzt kann das nicht begründen, ist er haftbar.

Auch Ärzte, welche über den „sichere“ SIS angeschlossen wurden müssen eine DSFA erstellen.

Beim ÄND kann man https://www.aend.de/article/197426 nachlesen, was KBV, gematik und Herr Kriedel zu allen Anschlüssen schreiben:
„Die Praxis muss – wie bisher auch schon – spezielle Sicherheitsmaßnahmen wie Firewall und Virenschutz ergreifen, um sich vor Angriffen von außen zu schützen.“

Also muss ein Arzt in jedem Fall testen ob er geschützt ist, egal wie er angeschlossen ist.

Nach meiner Meinung sollte jeder Arzt der sich an die TI anschließen lässt, eine Firewall haben, ob parallel oder seriell. Der Schutz der Patientendaten sollte über allem stehen. Ich bin auch der Meinung, dass die TI in eine DMZ gehört. Nur so kann das Praxisnetz vor Angriffen und Übergriffen aus der TI bzw. über den Konnektor geschützt werden.

Mit einfachsten Testmethoden kann jeder Arzt seine eigene Praxis testen. Dafür muss er im Browser lediglich 2 Links ausführen.

TEST 1

Hier der einfachste und wichtigste Test, welchen jeder Arzt sofort ausführen kann und welcher komplett ohne Risiko ein schnelles Ergebnis bringt.

http://portquiz.net:449/ Bekommt man hier ein Ergebnis, findet ausgehend keine Kommunikationskontrolle statt.

Das Ergebnis muss immer so aussehen:

nicht so!      

Kommt eine Ergebnisseite, dann ist ein Abziehen der Daten mit Hilfe von Malware problemlos möglich! (Wie das geht, schauen Sie z.B. hier: https://www.heise.de/ct/artikel/Emotet-bei-Heise-4437807.html) Aber auch jeder beliebige andere Port ist zum Abziehen von Daten geeignet. (https://www.all-about-security.de/security-artikel/plattformsicherheit/single/dns-das-unterschaetzte-datenleck/)

Diesen Test sollte jeder Anschluss bestehen, welcher BSI-konform (Gundschutzkompendium Grundschutzkatalog erhöhte Anforderung) hergestellt wurde!

Kommt hier eine Ergebnisseite muss der IT Dienstleister informiert werden!

Meiner Meinung nach sollte auch sofort der Internetstecker gezogen werden, da die Gefahr besteht, gegen die DSGVO zu verstoßen. Wenn ich eine DSFA erstelle und dieser Link ein Ergebnis bringt, ist mein Ergebnis eindeutig. In der Empfehlung steht dann: Das Praxisnetz sollte sofort vom Internet getrennt werden. Da ich kein Jurist bin, maße ich mir jedoch nicht an, Weisungen zu erteilen.
Lesen Sie dazu Tätigkeitsbericht (Seite 59) sowie die DSGVO. Fragen Sie einen Datenschutzbeauftragten oder Anwalt.

WICHTIG!!! Sie müssen sich an den Bundesdatenschutzbeauftragten wenden mit der Bitte , zu raten wie weiter verfahren werden soll. Diese Mail (Mustertext für Mail) ist wichtig, da diese Mail laut DSGVO gefordert ist und deshalb meiner Meinung nach von der Bestrafung befreit!
Wichtig: Sie müssen gegen den Bescheid der KV über den Honorarabzug Rechtsmittel einlegen! Wird das Rechtsmittel abgelehnt müssen Sie Klage beim Sozialgericht einreichen und um ruhen des Verfahrens bitten bis die Musterklagen entschieden sind. Zu den Musterklagen gibt es Informationen beim Medi-Verbund.

Die Mailadresse ist: poststelle@bfdi.bund.de

Das ist absolut im Einklang mit den Gesetzen. Nach DSGVO muss der Stecker gezogen werden!!

Auch hier sind die Behörden gefordert, klare Anweisungen herauszugeben, wie Ärzte auf einfachste Weise prüfen können, ob sie gegen Richtlinien des BSI und damit gegen die DSGVO verstoßen. WICHTIG!!! Verstoßen die Ärzte gegen die DSGVO bzw. die Richtlinien des BSI haften sie auch, da der Konnektor nicht wie zertifiziert benutzt wird!!!

TEST 2

Ein weiterer Test, für alle die in der Firewall eine Antivireneinrichtung haben oder die am SIS hängen.

Der EICAR Testvirus ist eine Textdatei mit einem speziellen Inhalt, die zum Prüfen von Virenscannern verwendet wird. Jeder Virenscanner muss diese Dateien als Virus erkennen – auch wenn diese natürlich völlig harmlos sind. Daher ist es auch normal, dass Ihr Virenscanner Sie beim Download dieser Dateien warnen sollte.
Urheber dieses einheitlichen Tests ist das EICAR (European Institute for Computer Anti-Virus Research).
Wenn Ihr Virenscanner Sie nicht darauf hinweist, dass diese Datei gefährlich für Ihren Computer sein kann, sollten Sie dringend Ihre Virus-Software wechseln.
(Quelle: https://www.etes.de/downloads/eicar-testvirus/ )

Ich wähle extra eine andere Quelle als mich, damit Sie Vertrauen fassen und den Test durchführen. Er ist absolut ungefählich!

Der Test sieht folgendermaßen aus:

Der Link: https://www.etes.de/downloads/eicar-testvirus/?file=files/etes/downloads/anwenden/eicar.com oder https://happycomputer.eu/testdaten/eicar.com Testet, ob eine Antiviren Testdatei von den Sicherheitseinrichtungen in der Telematik bzw. des SIS erkannt wird. Meldet sich der lokale Virenscanner (und das wird er tun) ist die Testdatei unerkannt über den (angeblich) sicheren SIS und den (angeblich) schützenden Konnektor auf den Rechner gelangt. ( Es ist mir an dieser Stelle egal, ob das Virus über die TI oder einen anderen Tunnel oder wo auch immer her kommt. Der Konnektor ist Bestandteil der TI und damit kommt das Virus durch die TI auf Ihren Rechner! Entscheidend ist, er kommt nicht durch Ihren Internetanschluss sondern durch den SIS). Das beweist, dass es keinen wirksamen Schutz gegen Malware (Viren und Trojaner) gibt. (Dieser Test ist für den seriellen Anschluss wichtig. Bei einem parallelen Anschluss kann es richtig sein, dass sich der lokale Virenscanner meldet, wenn in der Firewall kein Virenscanner eingerichtet ist) Von einem als „SICHER“ verkauften Anschluss kann ein Arzt einen entsprechenden Virenscanner erwarten!

Konsequenz: Hinter solch einem Anschluss müssen alle Geräte durch den Praxisinhaber geschützt werden. Der SIS schützt Sie nicht ausreichend!! Medizinische Geräte, auf denen kein Virenschutz installiert werden kann dürfen sich nicht im selben Netz befinden!! DAS IST WICHTIG!!!

Auch an dieser Stelle eine weitere Differenzierung. Es ist mir egal, welche Dienstleistungen von wem angeboten werden. Ich muss aber ehrlich sagen was der angebotene Anschluss leistet, damit der Kunde sich entsprechend verhält.
Wenn ich die Aussage mache: „Durch die integrierte Firewall des Konnektors wird das LAN optimal vor unautorisierten Zugriffen von außen geschützt. “ wie im Informationsblatt der gematik steht, dann ist das für jeden Arzt missverständlich. Ich bin sogar der Meinung, dass hier ein Werbeversprechen gegeben wird, das nicht gehalten wird. Da keinerlei Kommunikationskontrolle von innen nach außen statt findet, frage ich mich wirklich, was den SIS denn überhaut noch zu einem sicheren Anschluss macht?

Was ist der Unterschied ob ein Arzt sein System an einer FritzBox hat oder an einem SIS? Für die Bedrohung des Praxisnetzes sehe ich kaum einen Unterschied. Lediglich Port 80 wird gescannt? Das reicht einfach nicht!
Auch hier bin ich der Meinung, dass ich nicht nachvollziehen kann, wie das BSI-Konform und zertifiziert sein kann? Ich habe das aber beim BSI angefragt. Sollte ich eine Antwort bekommen, werde ich die veröffentlichen.

Keine Angst, das AntiViren-Testfile ist kein echter Virus und kann keinen Schaden anrichten. Wenn der lokale Virenscanner sich an einem SIS meldet, und der Virenschutz nicht auf jedem Gerät installiert und aktuell ist, ist die Datenschutz‑Folgenabschätzung negativ und der Internetstecker sollte gezogen werden.

WICHTIG!!! Sie müssen sich an den Bundesdatenschutzbeauftragten wenden mit der Bitte , zu raten wie weiter verfahren werden soll. Diese Mail (Mustertext für Mail) ist wichtig, da diese Mail laut DSGVO gefordert ist und deshalb meiner Meinung nach von der Bestrafung befreit!
Wichtig: Sie müssen gegen den Bescheid der KV über den Honorarabzug Rechtsmittel einlegen! Wird das Rechtsmittel abgelehnt müssen Sie Klage beim Sozialgericht einreichen und um ruhen des Verfahrens bitten bis die Musterklagen entschieden sind. Zu den Musterklagen gibt es Informationen beim Medi-Verbund.


Diese Anleitung sollte nun unter allen Ärzte. verteilt werden.

Jeder Arzt sollte im eigenen Interesse und im Interesse der Patienten diese Anleitung befolgen.

Wer mir nicht vertraut sollte seinen IT Berater fragen. Ich stehe ebenfalls jeder Zeit zur telefonischen Beratung zur Verfügung.

Diese Anleitung ist einfach und von jedem Arzt umsetzbar.

Noch etwas zu dem Artikel https://www.aend.de/article/197426und der Haftung.

Besonders gefällt mir in Ihrem veröffentlichten Artikel die Aussage: In einem heute veröffentlichten Informationsblatt zu Datenschutz und Haftung stelle die gematik nun klar, dass eine Haftung des Arztes oder Psychotherapeuten ausscheide, sofern die zugelassenen Konnektoren vorschriftsgemäß verwendet, aufgestellt und betrieben würden.

Auch hier wird von der gematik (meiner Meinung nach sehr bewusst) verschwiegen, dass die Konnektoren größtenteils falsch installiert wurden und auch heute noch zum Teil falsch installiert werden und damit die Haftung doch beim Arzt liegt, da die Konnektoren NICHT VORSCHRIFTSMÄßIG verwendet werden!

Und dann  war ja noch der bereits zitierte Satz: „Die Praxis muss – wie bisher auch schon – spezielle Sicherheitsmaßnahmen wie Firewall und Virenschutz ergreifen, um sich vor Angriffen von außen zu schützen.“ Diese Meldungen sind für mich neu. Bisher war solch ein Zusatz beim SIS nicht zu finden, ich habe ihne auf jeden Fall in den Dokumenten der gematik nicht gefunden. Aber es ist gut für die Datensicherheit, dass es solch eine Weisung nun ausgesprochen wird. Bleibt da nur noch die Frage nach den Kosten. Werden die auch im Zuge der Telematik übernommen? Eigentlich sollten die übernommen werden! ich glaube es aber eher nicht.

Zuerst wird den Ärzten ein „sicherer“ Internetanschluss verkauft (SIS), dann wird denen gesagt, dass sie nicht haften. Im Kleingedruckten steht aber noch, das gilt nur bei korrektem Aufbau und bei zusätzlichen Sicherungsmaßnahmen.

Derzeit wird trotz der vorgelegten Beweise immer noch behauptet, dass die TI sicher sei, Glaubt jemand ernsthaft, dass diese Menschen zugeben einen Fehler gemacht zu haben, im Fall eines Datenverlustes durch Malware oder Hacker? Ich glaube das nicht! Sie als Arzt können auch nichts schlüssig vor einem Gericht beweisen. Glauben Sie mir.

 Vor Gericht stehen Sie, der Arzt ohne IT Ausbildung einem BSI Sachverständigen gegenüber, der dem Richter sagt, dass nach Zertifizierung ein Verlust der Daten bei richtigem Aufbau ausgeschlossen ist.

Fragen Sie sich selbst, wem wird der Richter glauben?

Weiter ist die geregelte Haftung eine reine Behauptung, welche in Gesetz und Urteil nicht juristisch aufgearbeitet ist und damit rechtlich vollkommen bedeutungslos.

Über Recht und Unrecht entscheidet in Deutschland immer noch ein Richter. Und der handelt nach Gesetzen und nicht nach der Meinung von Herrn Kriedel.

Hier wird nur Publizismus betrieben. Der Bundesdatenschutz, der Landesdatenschutzbeauftragte mit seiner Juristin haben ganz klar erklärt, dass die rechtliche Situation eindeutig ist und in beiden besuchten Arztpraxen der Arzt auf Grund des nicht richtigen Anschlusses voll haftbar ist. Die Juristin war vom Landesdatenschutz, Frau Mia Jun, und der glaube ich mehr als Herrn Kriedel, zumal ich ja sehe, was seine Aussagen wert sind.

Solche Aussagen dienen nur einem Zweck: Erst einmal alle dazu bringen sich anschließen zu lassen. Die Aussage ist ja auch nicht direkt falsch! Sie verschweigt nur das Problem und das daraus resultierende Risiko. Wenn Sie in der Patsche stecken und verklagt werden, glauben Sie wirklich, dass Herr Kriedel Ihnen dann hilft?

Ich möchte dann noch Mustertexte für die DSFA zur Verfügung stellen. Aus Zeitgründen habe ich das aber noch nicht geschafft. Wenn ich das geschafft habe,  kann man sich die hier herunterladen. Aber den Test sollten Sie jetzt schon durchführen!!

MUSTERMAIL an Bundesdatenschutzbeauftragen Adresse: poststelle@bfdi.bund.de

Sehr geehrte Datenschutzbeauftragte,

meine Datenschutzfolgeabschätzung für die Praxis xxxxx hat ergeben, dass die Praxis bei einer Anbindung an die Telematik-Infrastruktur unkalkulierbare Datenschutzrisiken eingehen würde.

Begründung:
Seit über einem Jahr liegt immer noch keine Datenschutzfolgeabschätzung der Gematik vor, die als zentrale Stelle für die TI zuständig ist. Auf Grund der fehlenden DSFA der Gematik sowie der vielen, mittlerweile bekannt gewordenen Probleme beim Anschluss an die TI in Praxen (z. B. paralleler Anschluss, Ausschaltung der Firewall, Freigabe aller Ports), über die u. a. der Bundesdatenschutzbeauftragte, das BSI, die KBV und die Gematik informiert sind, hat meine DSFA ergeben, dass sich die Praxis nicht an die Telematik anschließen sollte.

Derzeit werden die Ärzte von der Politik genötigt, sich an die TI anschließen zu lassen, obwohl die benannten Defizite (fehlender DSFA der Gematik und massenweise falsch durchgeführte TI-Installationen, mittlerweile wohl auch technische Unzulänglichkeiten bei mindestens einem Konnektor) weiter bestehen. Die Ärzte werden mit 1% Abzug des Kassenumsatzes bestraft, wenn sie nicht an die Telematik angeschlossen ist.
Würden wir uns trotz der ungeklärten Probleme anschließen lassen, würden wir sofort gegen die DSGVO verstoßen.

Wie lautet Ihre Empfehlung, wie sich die Praxis aus datenschutzrechtlicher Sicht verhalten soll?

Wer haftet bei einem Datenverlust nach Anschluss an die TI?

Datenschutzbeauftragter

Praxis xxxx

Wenn ich die Ärzte dazu bekomme, ich drück das mal geschwollen aus, „Ihrer staatsbürgerlichen Pflicht nachzukommen“ und DSGVO konform und gesetzestreu zu handeln, ist kurze Zeit später das Telematikland verwaist. Alle Praxen, die ich getestet haben sind durchgefallen.  Das ist beschämend. Sind die Daten der Menschen so wenig wert? Nein, sie sind unfassbar wertvoll und eigentlich unbezahlbar.

IT-Sicherheit kennt KEINE Kompromisse.