Telematik-Infrastruktur

Was ist die Telematik Infrastuktur (TI)

Der Begriff „Telematik“ ist eine Kombination der Wörter „Telekommunikation“ und „Informatik“. Als Telematik wird die Vernetzung verschiedener IT-Systeme und die Möglichkeit bezeichnet, Informationen aus unterschiedlichen Quellen miteinander zu verknüpfen.

Die Telematikinfrastruktur (TI) vernetzt alle Akteure des Gesundheitswesens im Bereich der Gesetzlichen Krankenversicherung und gewährleistet den sektoren- und systemübergreifenden sowie sicheren Austausch von Informationen. Sie ist ein geschlossenes Netz, zu dem nur registrierte Nutzer (Personen oder Institutionen) mit einem elektronischen Heilberufs- und Praxisausweis Zugang erhalten.
(Quelle: https://www.gematik.de/telematikinfrastruktur/)

Probleme Beim Aufbau der TI

Patientendaten sind im Moment für Hacker leicht zugänglich. Und das, obwohl die Gesundheitsdaten unsere intimsten Daten sind, die sogar über unseren Tod hinaus brisant bleiben..
Im März habe ich aufgedeckt, dass die Telematik-Infrastruktur – kurz TI – deutschlandweit größtenteils nicht so aufgebaut wurde, wie sie vom Bundesamt für Sicherheit in der Informationstechnik als sicher zertifiziert wurde.

sehen Sie den Beitrag von kontrovers.

Paralleler Aufbau

Da mir vorgeworfen wird, dass ich ein Gegner des parallelen Anschlusses sei, möchte ich an der Stelle folgendes klar stellen. Der Parallele Anschluss kann, wenn er richtig umgesetzt wird, deutlich sicherer sein, als der SIS. Leider wird er viel zu häufig nicht richtig umgesetzt.

Nach Technikerangaben wird der Konnektor in fast allen Praxen parallel zu allen anderen Netzwerkkomponenten im LAN angeschlossen. Die gematik schreibt dazu in Ihren Unterlagen:

„Im Parallelbetrieb ist keine Komponente des LAN durch den Konnektor vor unautorisierten Zugriffen geschützt. Ohne zusätzliche Sicherungsmaßnahmen haben alle Komponenten im LAN Zugriff aufeinander (somit auch eine potenzielle Schadsoftware auf einem der Geräte). Außerdem besteht kein Schutz vor Angriffen aus dem Internet. […] Da der Konnektor nicht als Firewall im LAN fungiert, ist der Parallelbetrieb nur für medizinische Einrichtungen geeig­net, die bereits ein größeres LAN etabliert haben und über entsprechende Sicherheitsfunktionen gemäß dem BSI verfügen.

Das bedeutet: Der Parallelbetrieb ist nur mit richtig konfigurierter HARDWARE Firewall zulässig. Aus „angeblichen Datenschutzgründen“ nennen die Netzbetreiber aber absurderweise nicht die IP-Adressen, die für eine sichere Konfiguration der Firewall notwendig sind. Von einem Anbieter (CGM) liegen uns die IP-Adressen mittlerweile vor. Hier die Einstellungen, welche vorgenommen werden müssen. Ein Admin hat die Daten von DGN veröffentlicht. Hier die Daten. Damit ist ein sicherer paralleler Anschluss mit Proxy – so wie es das BSI vorschreibt – fast unmöglich. In den meisten Praxen sind derzeit alle Rechner und Geräte schutzlos an einem Router angeschlossen, welcher keinen ausreichenden Schutz bietet. Anti-Viren-Programme und Firewalls wurden abgeschaltet oder es wurden sicherheitsrelevante Funktionen deaktiviert.

Ein Router ersetzt keine Firewall und ist nicht geeignet ein Praxisnetz zu schützen. Aktuelle Untersuchungen zeigen, dass 5 von 6 modernen Routern teils erhebliche, bekannte Sicherheitslücken aufweisen. Die in den meisten Arztpraxen seit Jahren liegenden Speedports mit ewig nicht upgedateter Firmware haben noch größere Lücken. Selbst wenn in einer Praxis eine Firewall vorhanden war, wurde sie nicht richtig konfiguriert. Die Techniker können die Firewalls nicht konfigurieren und umgehen diese deshalb. Selbst wenn ein praxisbetreuender Techniker die Firewall entsprechend konfigurieren wollte, so war das nicht möglich. Die benötigten Informationen zu IP-Adressen werden absurderweise aus angeblichen Datenschutzgründen geheim gehalten. Selbst große Firmen schätzen die Bedrohung der Daten durch fehlende oder falsch konfigurierte Firewalls vollkommen falsch ein. Genau diese „Sicherheitseinrichtung Router“ war Teil meiner Kontroverse mit einer großen Online Redaktion zum Thema TI.

So teilte uns man uns per Mail mit:
„Wie genau kann man über das Internet auf die Patientendaten zugreifen? Wenn ich das richtig verstehe, dann wird der Konnektor im Parallelbetrieb als Client in ein bestehendes Netzwerk gehängt. Anscheinend wird im Zuge der Einrichtung auch die Windows Firewall bei Clients im Praxisnetz abgeschaltet oder es werden zumindest bestimmte Ports freigegeben. Ein Zugriff aus dem Internet ist damit jedoch noch nicht möglich, schließlich sind die Clients über einen Router mit dem Internet verbunden. Und der Router lässt eingehende Verbindungen aus Richtung Internet nur durch, wenn ein Port-Forwarding eingerichtet wurde.“

Die Redaktion  wurde wenige Tage nach diesen Mails, trotz Firewall, Opfer solch einer Fehleinschätzung. Dabei wurden über den Port 449 Vedrbindungen von innen aufgebaut und wahrscheinlich Daten gestohlen. 

Bei einer richtig konfigurierten Firewall hätte kein Rechner über den Port 449 eine Verbindung nach Außen aufbauen können. Entscheidend für die Sicherheit von Daten in einem Netzwerk ist nicht, ob ich direkt auf die Daten zugreifen kann. Entscheident ist, ob die Daten abgezogen werden können.

Ein Softwarehersteller für Praxissoftware für Psychotherapeuten und Ärzte schreibt in einem Rundschreiben z.B.:
Szenario 3 (laut „Technischer Anlage Datenschutz“ nicht optimal, aber in Ordnung)
• Parallele Anbindung
• Router mit NAT-Firewall

NEIN DAS IST NICHT IN ORDNUNG!!

Leider ist der Hersteller nicht gewillt mit mir zu sprechen. Zahlreine Versuche Verbindung aufzunehmen schlugen fehl. Ich habe eine Mail gesendet. Ich bin in der Mail auch auf weitere Fehler eingegangen.

Wenn kein Mensch jemals einen Fehler machen würde, wäre ohne Hardwaresicherheitslücken solch ein Router schon eine Barriere, die nur durch Hacker zu überwinden ist.

Mit diesem Satz habe ich bereits drei Probleme aufgezeigt.

  1. Menschen machen Fehler, auch Ärzte. Sei es durch unachtsames öffnen einer Mail oder benutzen eines USB Sticks und vieles mehr.
  2. Die Router haben (sogar bekannte) Sicherheitslücken. Router sind außerdem so nett, sich am Internetanschluss mit ihrer Identität vorzustellen. Das heißt, ich weiß immer, welcher Router da steht und kann die aufgelisteten Sicherheitslücken für den betroffenen Router abarbeiten und mir so Zugriff auf das Netzwerk verschaffen.
  3. Die Daten sind so begehrt, das auch Hacker die Praxen angreifen um Ärzte oder ihre Patienten zu erpressen oder die Daten gewinnbringend zu verkaufen.

All diese Probleme veranlassen mich zu der Vermutung, dass deutschlandweit die meisten Arztpraxen derzeit nicht sicher an das Internet angeschlossen sind. Eine Ermittlung, wie viele Praxisrechner ohne Fireawll unsicherer an einem Router hängen, lehnen alle Verantwortlichen ab. Ohne Erhebung kann so weiter behauptet werden, es handele sich um Einzelfälle. Ein sicherer Anschluss wäre unseren Ergebnissen nach ein Einzelfall.

Ich möchte noch einmal auf den Satz der gematik eingehen. „Da der Konnektor nicht als Firewall im LAN fungiert, ist der Parallelbetrieb nur für medizinische Einrichtungen geeignet, die bereits ein größeres LAN etabliert haben und über entsprechende Sicherheitsfunktionen gemäß dem Bundesamt für Sicherheit in der Informationstechnik verfügen.

Die Firmen setzen sich jedoch offensichtlich nicht wirklich mit den Anforderungen des Grundschutzes des BSI auseinander. So schreibt weitere  große Firma auf der Webseite, dass „ keine Veränderungen an den Firewall- und Filtereinstellungen notwendig“ seien um den Konnektor in Betrieb zu nehmen.

Wenn in einer Praxis eine wie von der gematik geforderte (wie zertifiziert) nach BSI eingerichtete Firewall (Whitelist-Ansatz NET.3.2.A2 Festlegen der Firewall-Regeln ) vorhanden ist, kann der Konnektor ohne Änderungen in der Firewall keine Verbindung ins Internet aufbauen. Die Firewall würde alle Datenpakete blocken. Funktioniert der Konnektor,  ist die Firewall nicht BSI konform eingerichtet, was aber die gematik für einen parallelen Anschluss voraussetzt! Bei der Zertifizierung ist NICHT von der Windows-Firewall die Rede sondern von einer echten Hardwarefirewall. Außerdem ist es sehr wichtig zu verstehen, dass es nicht nur um die eingehenden Regeln geht. Auch ein NAT Router lässt nicht einfach eine Verbindung von außen zu. Entscheidend ist, dass eine richtig eingerichtete Firewall die Kommunikation auch von innen nach außen kontrolliert.

Serieller / Reihenanschluss

Bisher sind wir davon ausgegangen, der serielle Anschluss sei durch die integrierte Firewall im Konnektor sicher.
Zur Sicherheit bei Reihenbetrieb und Netztrennung schreibt die gematik:
„Durch die integrierte Firewall des Konnektors und den optionalen und gege­benenfalls kostenpflichtigen Secure Internet Service (SIS) wird das LAN optimal vor unautorisierten Zugriffen von außen geschützt.“

Hinter solch vermeintlich sicheren Anschlüssen befinden sich unter anderem medizinische Geräte und PC ohne Schutzmechanismen, da Ärzte den Sicherheitsversprechen der gematik glauben. Wir können diese Sicherheit nicht bestätigen.

Aufgrund von Berichten über eine Trojaner-Infektion eines seriellen und SIS-geschützen Anschlusses, bat mich ein Arzt eine Datenschutzfolgeabschätzung (DSFA) für seine Praxis zu erstellen. Dazu habe ich eine Anti-Viren-Testdatei (EICAR European Institute for Computer Anti-Virus Research) unerkannt und vollkommen problemlos auf verschiedenste Wege über die TI in das Praxisnetz transferiert.

Zu dem Testfile kann man lesen: „Der EICAR Testvirus ist eine Textdatei mit einem speziellen Inhalt, die zum Prüfen von Virenscannern verwendet wird. Jeder Virenscanner muss diese Dateien als Virus erkennen – auch wenn diese natürlich völlig harmlos sind. Daher ist es auch normal, dass Ihr Virenscanner Sie beim Download dieser Dateien warnen sollte. […] Wenn Ihr Virenscanner Sie nicht darauf hinweist, dass diese Datei gefährlich für Ihren Computer sein kann, sollten Sie dringend Ihre Virus-Software wechseln. (Quelle: https://www.etes.de/downloads/eicar-testvirus/)

Wir haben das Testfile zu Tests ebenfalls auf unseren Server gelegt. Hier können Sie selbst den Test durchführen.

https://happycomputer.eu/testdaten/eicar.com
https://happycomputer.eu/testdaten/eicar.zip
https://happycomputer.eu/testdaten/eicar.tgz

Lediglich bei http (Port 80) wurde der EICAR geblockt.

Weiterhin haben wir getestet, ob ein stehlen der Daten aus dem Praxisnetz möglich sein könnte. Da alle Ports offen sind ist auch das problemlos möglich. Damit ist ein Rechner hinter einem SIS keies Wegs geschützt. Das ist bei weitem nicht einmal Gundschutz.

Wir haben folgende Ports getestet und keine Firewall hat uns aufgehalten: Sie können hier den Test sebst durchführen. Sie sollten das unten abgebildete erfolgsfenster nur auf en Ports 443 und 80 erhalten. Bei jedem anderen Port kontaktieren Sie Ihren IT-Dienstleister. Es kann sein, dass es sinnvoll ist, einen weiteren Port frei zu schalten. Aber in der Regel sollten alle Ports geschlossen sein. Vor allem z.B. Port 53.

21 FTP, 22 SSH, 23 TELNET, 25 SMTP, 53 DNS, 80 HTTP, 110 POP3, 115 SFTP, 135 RPC, 139 NetBIOS, 143 IMAP, 194 IRC, 443 SSL, 445 SMB, 449 Malware, 1433 MSSQL, 3306 MySQL, 3389 Remote Desktop, 5632 PCAnywhere, 5900 VNC, 65000 HighPort zufällig ausgewählt.

offener Port 449
offener Port 449

Was mit Ihren Daten passieren kann, wenn der Schutz vor Viren, Trojanern (Malware) nicht ausreichend und z.B. der Port 449 ausgehend nicht geschlossen ist, können Sie hier nachlesen. Aber auch über jeden anderen offenen Port können Daten gestohlen werden (z.B. Port 53). Auch dieser war, wie alle Port vollkommen offen.

Wenn Sie mehr über Ports wissen möchten, hier ist eine gute einfache Erklärung.

Ich habe bisher den Aussagen von gematik und Herstellern geglaubt, dass der serielle Anschluß des Konnektors wegen des SIS sicher sei. Nach meinen Tests, welche wegen des Testverbotes nur die absolut simpel waren, kann ich derzeit keine Anschlußart mehr empfehlen. Die DSFA hat ergeben, dass der Betrieb des Anschlusses gegen die DSGVO verstößt und der Internetstecker musste gezogen werden.

Datenschutz‑Folgenabschätzung (DSFA)

Wir empfehlen jedem Arzt eine DSFA zu erstellen!!

Mehr Infos zu Tests und Muster-E-Mail an Bundesdatenschutzbeauftragten

Der Bundesdatenschutzbeauftragte hat in seinem Tätigkeitsbericht (Seite 59) klar gemacht, wie die gesetzliche Lage ist. So ist dort zu lesen:
Nach dem Anwendungsbeginn der DSGVO im Mai 2018 stellte sich mit Nachdruck die Frage, wer eigentlich Verantwortlicher für die Telematik‑Infrastruktur (TI) ist und damit eine Datenschutz‑Folgenabschätzung (DSFA) vorzulegen hat (vgl. hierzu auch unter Nr. 15.2.3). Viele Arztpraxen sind ihrer gesetzlichen Verpflichtung zur Erstellung einer DSFA nachgekommen. Sie haben dabei allerdings nicht an der Schwelle ihrer Praxisräume Halt gemacht, sondern vielmehr auch die TI in ihre Betrach‑tungen mit einbezogen. Die gesetzlich vorgeschriebene DSFA der Arztpraxis ergab dann, dass ein Anschluss an die TI nicht vertretbar sei. Viele Ärzte haben sich des‑halb an mich gewandt. Die Frage, wer der datenschutzrechtliche Verantwortli‑che im Sinne der DSGVO für die TI ist, konnte bis zum Redaktionsschluss noch nicht endgültig geklärt werden.“

Das bedeutet: Jeder Arzt sollte eine DSFA anfertigen. Der Bundesdatenschutzbeauftragte meint sogar, dass jeder Arzt gesetzlich dazu verpflichtet ist. Da die gematik jedoch – trotz mehrfacher Aufforderung – nicht in der Lage ist, eine DSFA vorzulegen, kann ein Arzt nur zu dem Ergebnis kommen, dass er sich erst dann an die TI anschließen lässt, wenn die DSFA vorliegt. Er muss sich nun an den Bundesdatenschutzbeauftragten wenden und dort die weitere Vorgehensweise erfragen. Der Arzt kann auch nach dem Anschluss der TI und den Veröffentlichungen der Probleme zu der Erkenntnis kommen, dass er womöglich gegen die DSGVO verstößt. Also erst einmal den Stecker ziehen und den Bundesdatenschutzbeauftragten fragen, wie weiter verfahren werden soll. Erst wenn diesem die DSFA der gematik vorliegt oder die Verantwortung juristisch geregelt wird, kann der Stecker wieder eingesteckt werden. Arztpraxen müssen übrigens nicht nur die Vorgaben des Grundschutzkatalogs „Basisanforderung“ umsetzen, sondern die Vorgaben des erhöhten Schutzes. Das gilt besonders bei der Konfiguration von Firewall-Regeln und Sicherheitsproxies. Wichtig: Der Grundschutzkatalog ist kein Gesetz. Man kann vom Aufbau abweichen, muss dies aber begründen können, und die Sicherheit darf dabei nicht beeinträchtigt werden. Da Ärzte in der Regel nicht genügend IT-Wissen haben, sollten sie nicht vom geforderten Aufbau abweichen. Jeder Richter und jeder Sachverständige wird prüfen, ob die Regeln des BSI eingehalten wurden. Wurden diese nicht eingehalten, und der Arzt kann das nicht begründen, ist er haftbar.

Ärzte berichten mir, dass sie nach meinen Veröffentlichungen von ihren Dienstleistern einen sichereren, seriellen, Anschluss fordern, die Dienstleister sich jedoch weigern einen solchen aufzubauen. Die Ärzte werden ohne Sicherheit parallel ohne Firewall angeschlossen und müssen den ordnungsgemäßen Aufbau anschließen quittieren, sonst drohe der Honorarabzug. Selbst der Berufsverband der Psychologen, bei dem sich ein betroffener Arzt beschwerte, antwortete harsch: „Sie können […] hier im Grunde nicht zu einem Vertragsschluss zwingen (Vertragsfreiheit)“.  So darf auf Grund der Vertragsfreiheit ein Unternehmen ausschließlich einen unsicheren Anschluss anbieten und der Arzt hat dies zu akzeptieren. Die Patientendaten werden mit keinem Wort erwähnt. Mir kommt das so vor, als ob sich für diese wichtigen Daten nur die Hacker interessieren. Dem Berufsverband waren sie auf jeden Fall kein Wort wert.

Das ist unerhört. Hier sollte meiner Meinung nach die Staatsanwaltschaft prüfen, ob es sich um eine Nötigung handelt.

Nach meinem Interview bei „kontrovers“ im BR haben sich Praxen bei mir gemeldet und berichtet, dass sie nach dem Anschluss an die TI gehacked wurden. Dabei sind auch Daten gestohlen worden. Aufgrund existenzieller Strafen werden die Vorfälle vertuscht. Im Juni startete zuletzt ein gezielter Angriff auf Ärzte und Apotheker mittels Trojaner.

Tiefergehende Tests wurden uns unter Strafandrohung untersagt. Hier müssen dringend Whitehacking-Tests von unabhängigen Spezialisten zugelassen werden. Wir können sagen, dass schon bei der Zertifizierung wesentliche Angriffsszenarien in den Schutzprofilen nicht behandelt wurden: Zum einen die Angreifbarkeit der Praxis aus der TI heraus, zum anderen die Angreifbarkeit des Konnektors über die Fernupdatefunktion. 2016 hat eine zwei Jahre ignorierte Sicherheitslücke im Fernwartungsprotokoll (TR-069) bei Routern zum Ausfall von fast 1.000.000 Anschlüssen geführt (Mirai). Wir sollten diesen Fehler nicht wiederholen.

Auf vielen medizienischen Geräten, welche am Praxisnetz hängen, kann man gar keine Sicherheitsprogramme installieren. Teilweise sind die Betriebsysteme vollkommen veraltet.

Stellen Sie sich beispielsweise vor, die Fern-Update-Funktion der Konnektoren würde wie 2016 bei der Speedport- Panne [Suchbegriff Mirai-Botnetz] genutzt werden, um einen gezielten Angriff auf das Gesundheitswesen zu führen. Angreifer könnten so, wenn sogar alle Krankenhäuser, Apotheken, Ärzte und Pflegeeinrichtungen an der TI angeschlossen sind, also das gesamte Gesundheitswesen deutschlandweit vollständig zum Erliegen bringen.

Allein im Jahr 2018 sind mehr als 16 500 Sicherheitslücken und andere Schwachstellen in Computersystemen- und Hardware registriert worden, was einer Steigerung gegenüber 2016 von mehr als dem 2,5 fachen entspricht. Das zeigt, dass selbst hochsichere IT-Systeme ein Ablaufdatum haben. Es ist also nicht die Frage, ob, sondern nur, wann ein IT-System geknackt werden wird.

Da alle Praxen Tag und Nacht an der TI hängen, wären z.B. alle Patientendaten deutschlandweit innerhalb weniger Stunden verschlüsselt und die Ärzte damit nicht mehr arbeitsfähig, was sagt der hippokratische Eid dazu? Entschuldigung, ich kann Ihnen nicht helfen, mein Computer läuft nicht? Lebenswichtige medizinische Geräte mit Netzwerkanschluss würden erst nach Eingriff durch einen Systemtechniker wieder funktionieren. Da alle Geräte in Deutschland gleichzeitig betroffen wären würde dies einen wochenlangen Ausfall bedeuten. Noch schlimmer, Patienten, welche auf solche Geräte angewiesen sind oder gerade an solchen Geräten hängen würden sterben.

Auch ein unbemerktes systematisches Ausspionieren der Praxis durch Angreifer ist auf diese Weise vollkommen problemlos möglich. Wer macht so was?

Nehmen wir zum Beispiel die Steuerdaten CD, welche die deutschen Finanzbehörden aus der Schweiz gekauft haben. Dabei handelte es sich um gestohlene Daten, die ein offensichtlich korrupter Mitarbeiter einer Bank vom Computersystem illegal kopiert hat. Wenn sich sogar Staaten an solchen Geschäften beteiligen stelle ich mir die Frage, was wohl die Gesundheitsdaten aller Deutschen wert wäre. Ich glaube nicht ernsthaft, dass es bei allen KV Mitarbeitern, egal ob Putzfrau oder ITler oder Büroangestellter, zu keinem Zeitpunkt einen Mitarbeiter geben wird, der entweder erpresst wird oder seiner Meinung nach zu wenig verdient?

Ich habe mit einem Vertreter des Bundesdatenschutzes, dem Landesdatenschutzbeauftragten NRW und seinem Techniker sowie seiner Juristin zwei Arztpraxen besichtigt. Die Delegation hat sich vor Ort vom desaströsen Zustand der TI-Anschlüsse überzeugt. Leider sehen sich weder die Datenschützer noch die gematik, die Kassenärztlichen Vereinigungen oder das BMG in der Verantwortung. Bei der Zertifizierung sei ja alles richtiggemacht worden. Die Sicherheitslücken bleiben bestehen.

Wer sich auf Grund der Probleme nicht anschließen lassen will oder wer Informationen benötigt, findet auch Hilfe beim Mediverbund. Hier ein Informationsvideo.

Haftungsfragen

Da bei der Zertifizierung alle richtig gemacht wurde haften allein die Praxisbetreiber. Dies haben uns mehrfach sowohl, Bundes- als auch Landesdatenschutz bestätigt.
Das bedeutet für den Praxisbetreiber:
Tritt ein Datenverlust oder Hackerangriff ein und der parallele Anschluss ist so schlecht aufgebaut wie in unseren Beispielen, dann ist das fahrlässig bis vorsätzlich, da die Software unter Windows selbst auf die Lücke hinweist. Alle Beteiligten nehmen das scheinbar billigend in Kauf – und der Arzt wird mit aller Härte des Gesetzes bestraft. Übrigens: Keine Cyberpolice deckt Fahrlässigkeit ab.

Aus diesem Grund droht jedem Arzt nach § 203 StGB eine Geld- oder Gefängnisstrafe.
Es gibt beispielsweise eine Praxis, der aufgrund eines Datenverlustes eine Geldbuße von 250 000 Euro sowie drei Monate Berufsverbot auferlegt wurde, wie uns ein Mitglied des C-Netz e.V. im Zusammenhang mit unserer Kampagne vertraulich mitgeteilt hat. Zusätzlich droht gemäß DSGVO eine Geldbuße bis zu 4 % des Jahresumsatzes der Praxis. Auch hier gibt es bereits einen Fall aus Baden-Württemberg: Eine Einrichtung musste 80 000 Euro Geldbuße wegen Verstoßes gegen die DSGVO bezahlen. In diesem Fall gelangten aufgrund unzureichender Sicherheit Gesundheitsdaten ins Internet. Hinzu kommt, dass jeder Patient schriftlich per Post über das Datenleck informiert werden muss. Mit Anwaltskosten und Portokosten kommen da auch schnell 50 000 Euro zusammen. Zudem drohen natürlich auch Schadensersatzforderungen und ein Imageverlust. Wenn ein Patient beispielsweise aufgrund des Datenlecks einen Risikozuschlag zu seiner Versicherung zahlen muss, dann muss die Arztpraxis diesen Zuschlag für den Rest seines Lebens übernehmen.

Die Sicherheitslücken haben verheerende Konsequenzen: Informationen von den Konnektoren werden ungefiltert bearbeitet, da die Konnektoren im Praxisnetz die höchste Vertrauensstufe „LAN“ besitzen. Dies vereinfacht Angriffe aus der TI heraus und kann sogar zu einem Zusammenbruch des Gesundheitssystems führen. Auch in dieser direkten LAN Anbindung sehe ich einen Verstoß gegen das Grundschutzkompendium. Die Verbindung nach Außen sollte durch eine DMZ abgesichert werden. Ich halte das für unbedingt erforderlich. Besonders weil die DSFA für den Konnektor von der gematik nicht vorliegt.

Diese Lücken beim Anschluss an die TI sind so eklatant, dass derzeit unsere Patientendaten mit Sicherheit täglich abgefischt werden. Im Darknet kann man Patientendaten kaufen. 300 Datensätze kosten rund 500 Dollar in Bitcoin. Bei der Beschreibung der Daten steht: „Frische Gesundheitsdaten“.

Wie McAfee berichtet, wurden Politiker bereits mit Gesundheitsdaten erpresst.
„Wir haben Fälle analysiert, in denen Medikationsdaten von Politikern verwendet worden sind, um diese Politiker unter Druck zu setzen.“  (Hans-Peter-Bauer, Sicherheitsexperte McAfee) Durch eine unsichere Installation machen wir solche Angriffe noch einfacher, als bislang.

Viele Praxen nutzen WLAN. In ein WLAN kann in der Regel vergleichsweise einfach eingedrungen werden. Da die Kommunikation im LAN unseren Erfahrungen nach unverschlüsselt, also im Klartext, abläuft, kann der Datenverkehr vom WLAN aus mitgelesen oder manipuliert werden. Die Praxis-Geräte beherrschen die Verschlüsselung, sie findet jedoch entgegen der Spezifikation, keine Anwendung.

Der §1 BSIG sagt: „Das Bundesamt [für Sicherheit in der Informationstechnik] ist zuständig für die Informationssicherheit auf nationaler Ebene.“ Ich fordere das BSI auf: Kümmern Sie sich um die Sicherheit unserer Gesundheitsdaten. Die TI ist ein Risiko für unsere sensibelsten Daten.

Um IT sicher zu gestalten, müssen ALLE Angriffe auf ein System abgewehrt werden.
Nur ein einziger erfolgreicher Angriff kann zum Verlust, zur Offenlegung oder zur Manipulation von Daten, zu nicht funktionierender Infrastruktur, und damit zum Tod von Menschen führen.

IT-Sicherheit kennt keine Kompromisse.

Für unsere Bemühungen um die Datensicherheit wurden wir bei den Big Brother Awards 2019 gelobt. Danke dafür.

https://digitalcourage.de/blog/2019/bigbrotherawards-2019-alle-preistraeger


Medien und Links

Heise informiert über Probleme am 24.04.2019

Jens Spahn mit den besten Aussichten auf den Big Brother Award 2020

Freie Ärzteschaft warnt: Schwere Sicherheitsmängel beim Anschluss an die Telematikinfrastruktur gefährden Praxisnetze und Patientendaten

Sicherheitslücken: Probleme mit der elektronischen Patientenakte

Anschluss der Arztpraxen an Telematikinfrastruktur offenbar mit vielen Fehlern