Dr. Günter Gerhardt
schrieb
17 Juli 2017
- Zuletzt bearbeitet 23 Januar 2020
Eine ablehnende Haltung gegenüber E-Health und der Datenautobahn im Gesundheitswesen, der Telematikinfrastruktur (TI), kann man niedergelassenen Ärzten nicht mehr vorwerfen, aber vier Fünftel fühlen sich von der Selbstverwaltung schlecht informiert.
Angehängt auch das Informations-Rundschreiben der KBV vom Juli 2017 und ein Angebot der CGM.
Die Anbindung der Arztpraxen in Deutschland an die Telematikinfrastruktur hat sich unter anderem wegen fehlender Konnektoren immer wieder verzögert. Bundesgesundheitsminister Jens Spahn (CDU) sagte nun der „Frankfurter Allgemeinen Zeitung“ (Samstag): „Niedergelassene Ärzte bekommen ein halbes Jahr mehr Zeit, ihre Praxen an die Telematik-Infrastruktur anzuschließen.“
Dass es länger dauere, hätten nicht die Ärzte zu verschulden, sondern Lieferengpässe der Industrie. Es bleibe aber dabei, dass Praxisinhaber bis Jahresende einen Anschluss bestellt und den Vertrag unterzeichnet haben müssten.
Ärztevertreter hatten gefordert, die bisher bis 31. Dezember laufende Frist für den Anschluss ans Datennetz bis Mitte 2019 zu verlängern. Wenn Praxen die Frist reißen, drohen Sanktionen wie Honorarabzug. Die Telematik-Infrastruktur soll alle Beteiligten des Gesundheitswesens wie Ärzte, Krankenhäuser, Apotheken und Krankenkassen vernetzen. Spahn sagte der Zeitung: „Egal, wie wir die digitale Zukunft des Gesundheitswesens gestalten: Der Anschluss der Praxen an die Telematik-Infrastruktur ist die Basis dafür.“
Nach einer Schätzung der Betreibergesellschaft gematik haben sich bis zum Jahresende maximal 50.000 Arzt- und Zahnarztpraxen an das System angeschlossen – rund ein Drittel aller Praxen.
Die Verunsicherung unter den Niedergelassenen beim Thema Telematikinfrastruktur ist groß, berichtet der Chef des Ärzteverbands Medi, Dr. Werner Baumgärtner. Wer trägt am Ende wirklich die Kosten? Im Falle von Rechtstreitigkeiten kündigt der Verband schon mal eine Sammelklage an.
Medi-Chef Baumgärtner berichtet von großer Verunsicherung in den Praxen.
Medi-Vorstandschef Dr. Werner Baumgärtner berichtet in einer Videobotschaft an seine Mitglieder von einer „großen Verunsicherung in den Praxen“. Er bekäme derzeit täglich Anrufe von besorgten Kollegen. Und rate den Niedergelassenen daher weiter, abzuwarten.
Denn noch immer seien die Kinderkrankheiten der Telematikinfrastruktur nicht vollständig behoben. Zwar laufe es bei der Installation der Konnektoren in den Praxen mittlerweile störungsfreier als noch vor einigen Wochen. Doch im Praxisablauf komme es noch immer zu Problemen. Dies liege vor allem daran, dass einige Patienten noch immer mit der alten Gesundheitskarte in die Praxen kämen. Diese aber können von den neuen Lesegeräten nicht eingelesen werden.
Baumgärtner hält es für „einen Skandal“, dass die Politik mit der TI ein neues System einführe, das die alten eCards nicht akzeptiert, bevor die Umstellung auf die neuen Gesundheitskarten überhaupt komplett abgeschlossen sei.
Auch in Sachen Finanzierung gebe es noch offene Fragen. So sei noch immer nicht abschließend geklärt, ob die Krankenkassen am Ende wirklich alle Kosten, die durch die TI entstehen, auch übernehmen, so der Medi-Chef. So stehe es immerhin im E-Health-Gesetz und „das muss auch so sein“, fordert Baumgärtner. Denn die Ärzte hätten doch gar nichts von der TI. Diese diene allein den Kassen zum Abgleich der Stammdaten ihrer Versicherten. Aber wer bezahle den Ärzten zum Beispiel den bürokratischen Mehraufwand, den sie durch die TI hätten? Solche offenen Finanzierungsfragen lasse man gerade von einer renommierten Anwaltskanzlei klären. Baumgärtner rechnet hier bis Ende des Monats mit Ergebnissen.
Der Medi-Chef bekräftigt zudem sein Vorhaben, für mögliche rechtliche Auseinandersetzungen in Zusammenhang mit dem TI-Konnektor eine Sammelklage anzustrengen zu wollen. Diese wolle der Verband für seine Mitglieder finanzieren. 24.09.2018 16:03:11, Autor: mm
Für TI-angebundene Hausärzte gibt’s einen Zuschlag
Die Techniker Krankenkasse (TK) hat mit den Landesverbänden des Deutschen Hausärzteverbandes (DHÄV) einen neuen Hausarztvertrag abgeschlossen. Mit diesem werden insbesondere Ärzte belohnt, die an die Telematik-Infrastruktur (TI) angeschlossen sind. Auch für die Behandlung chronisch Kranker und für Delegationsleistungen gibt es Zuschläge.
„Der HZV-Vertrag unterstützt Hausärztinnen und Hausärzte dabei, sich an die Telematikinfrastruktur (TI) anzuschließen und fördert dadurch die digitale, standardisierte Vernetzung im Gesundheitswesen“, heißt es in der Mitteilung, mit der TK, DHÄV und die ebenfalls beteiligte Hausärztliche Vertragsgemeinschaft (HÄVG) über ihr neues Vertragswerk informieren.
Danach sieht der HzV-Vertrag einen sogenannten Innovationszuschlag von acht Euro auf jede abgerechnete Grundpauschale (P2) für Hausarztpraxen vor, die drei von sechs digitalen Infrastrukturangeboten bereithalten. Dazu zählen Online-Terminbuchungen, Videosprechstunden, die Nutzung eines elektronischen Heilberufsausweises sowie Dienste zur digitalen Arztvernetzung und der Anschluss an die TI.
Auch für besondere Betreuungsleistungen bei Chronikern gibt es gemäß Vertrag mehr Geld. „Wird ein entsprechender Mehraufwand bei chronisch Erkrankten geleistet, erhalten Hausärzte eine Pauschale – unabhängig von einer gestellten ICD-Diagnose“, heißt es. Diese „besondere Betreuungspauschale“ beträgt laut Vertrag 25 Euro und kann maximal einmal pro Quartal und maximal viermal pro Versicherten-Teilnahmejahr abgerechnet werden. Voraussetzung ist mindestens ein Patientenkontakt im Abrechnungsquartal.
Delegationsleistungen werden den Angaben zufolge ebenfalls extra vergütet: So sieht der neue HzV-Vertrag eine Pauschale von bis zu 32 Euro vor, wenn Versorgungsassistentinnen in der Hausarztpraxis (VERAH) den Hausärzten bestimmte Aufgaben mit Hilfe digitaler Technik abnehmen. Dazu gehören den Vertragspartnern zufolge etwa Hausbesuche mit einem speziellen, telemedizinisch ausgestatteten Rucksack. „Damit können bestimmte Messwerte in die Praxis übertragen und der Arzt bei Bedarf per Video in die Wohnung des Patienten zugeschaltet werden“, erklären TK und DHÄV in ihrer Mitteilung.
Darüber hinaus soll mit dem Vertrag der flächendeckende Einsatz des Arriba-Depressionsmoduls möglich sein. Dabei unterstützt eine spezielle Software Hausärzte dabei, sich gemeinsam mit ihren Patienten erste Therapieschritte zu überlegen.
Nach Ansicht von TK und DHÄV ist der neue Vertrag ein bedeutender Beitrag zur Stärkung der HzV. In ihrer Mitteilung betonen sie: „Durch die selektiv und ohne hohen Aufwand gestalteten Vertragsinhalte ist es nicht nur möglich, die Hausarztzentrierte Versorgung als freiwilliges Primärarztsystem zu sichern, sondern sie mit dem Ziel einer verbesserten Patientenversorgung auch innovativ und bedarfsgerecht weiterzuentwickeln.“
Den Angaben zufolge gilt der Vertrag seit 1. Januar 2020 bundesweit in folgenden 13 KV-Regionen: Bayern, Berlin, Bremen, Hamburg, Hessen, Niedersachsen, Nordrhein, Rheinland-Pfalz, Saarland, Sachsen, Schleswig-Holstein, Thüringen, Westfalen-Lippe. In Brandenburg startet er zum 1. Juli 2020.
Falsche Anschlüsse, unsichere Technik, verunsicherte Ärzte – die Einführung der Telematikinfrastruktur läuft reichlich holprig. Mitschuld an dem Dilemma sei die Gematik, kritisiert die Kassenärztliche Bundesvereinigung.
Fast schon im Monatstakt trudelten im vergangenen Jahr Hiobsbotschaften zur Telematikinfrastruktur ein. Alles begann im Frühjahr, als ein IT-Techniker aus Westfalen, große Sicherheitslücken in Arztpraxen ausmachte, die sich an die TI angeschlossen hatten. Wochenlang diskutierte die Fachwelt anschließend über Sinn und Unsinn von seriellen oder parallelen TI-Anschlüssen. Brütete über der Frage, wie sicher eigentlich dieser Konnektor ist, den sich die Niedergelassenen da in die Praxis holen sollen. Dabei gerieten die Themen „TI-Sicherheit“ und „IT-Sicherheit in den Arztpraxen“ schon mal munter durcheinander.
Und als vor drei Wochen dann auch noch der Chaos Computer Club (CCC) Schwachstellen beim Bestellprozess öffentlich machte, war die Verwirrung komplett: Kann es tatsächlich sein, dass dieses von Politik und Selbstverwaltung so hochgelobte System („Die TI ist sicher“) sich mit einfachsten Taschenspielertricks aushebeln lässt? Den Hackern vom CCC war es fast spielerisch gelungen, alle für die TI relevanten Karten – Arztausweis, Praxisausweis und elektronische Gesundheitskarte – jeweils über einen Dritten zu bestellen und an eine Wunschadresse liefern zu lassen. Sie hätten sich so Zugang zu dem verschlüsselten Netzwerk verschaffen können – und damit im Ernstfall zu Millionen von Patientendaten.
Dazu kam eine quälend lange Debatte darüber, ob viele niedergelassene Ärzte überhaupt in der Lage sind, ihre Praxen gegen mögliche Hackerangriffe zu schützen. Wer ist am Ende verantwortlich, wenn Patientendaten im Darknet landen sollten? Wo endet die Verantwortung des Praxisinhabers? Und wo bleibt eigentlich die Datenschutzfolgeabschätzung, die laut Datenschutzgrundverordnung für die TI zwingend vorgeschrieben ist? Fragen über Fragen.
Das Vertrauen in die TI schwindet
Und die sorgen zunehmend für Verunsicherung unter den niedergelassenen Ärzten. Das Vertrauen in die TI erodiert. Das räumt mittlerweile auch der Vorstand der Kassenärztlichen Bundesvereinigung ein. Er hat dafür eine Mitschuldige ausgemacht: die TI-Betreibergesellschaft Gematik, seit Mai mehrheitlich unter Führung des Bundesgesundheitsministeriums. Die Gematik habe es versäumt, rechtzeitig für „klare, praktikable Rahmenbedingungen für Ärzte“ zu sorgen, kritisiert KBV-Chef Dr. Andreas Gassen.
Darum muss sich nun die KBV kümmern. Zur Erinnerung: Gesundheitsminister Jens Spahn hatte sich im Herbst vergangenen Jahres genötigt gesehen, mit dem Digitale-Versorgungs-Gesetz die KBV mit der Erstellung von IT-Sicherheitsrichtlinien für Arztpraxen zu beauftragen. Dieses Datenschutz-Handbuch für Niedergelassene muss die KBV bis Ende Juni vorlegen.
So sollen künftig nur noch zertifizierte Techniker in die Praxen kommen dürfen. „Damit die Ärzte sicher sein können, dass alles korrekt installiert ist und bei Problemen im Zweifel der IT-Techniker haftet“, erläutert Gassen. So laufe es schließlich auch bei jedem Auftrag, den ein Haushalt in Deutschland an einen Elektriker-Meister vergibt.
Gassen: „Darum hätte sich die Gematik längst kümmern müssen“
Mit Technikern nämlich gab es bei der TI-Einführung immer wieder Probleme. Etliche Ärzte berichteten von unschönen Erlebnissen: So hätten sich PVS-Hersteller geweigert, den sicheren und korrekten Einrichtung von Firewall und Konnektor zu bescheinigen. „Es kann doch aber nicht sein, dass der Arzt verantwortlich ist, ob ein Konnektor korrekt angeschlossen ist“, ärgert sich KBV-Vorstand Thomas Kriedel. Die Ärzte dürften mit der Verantwortung nicht alleine gelassen werden. Genau so etwas sorge für Verunsicherung bei vielen Niedergelassenen.
„Unsere Richtlinien werden praktikabel sein und genau festlegen, welche Anforderungen zur IT-Sicherheit eine Praxis künftig erfüllen muss“, kündigt KBV-Chef Gassen an. Um dieses Thema hätte sich die Gematik allerdings längst kümmern müssen – und zwar bevor die Praxen angeschlossen wurden. „Dann hätte es diese ganzen Akzeptanzprobleme überhaupt nicht gegeben“, ist Gassen überzeugt.
Außerdem hätte er sich in einigen Fällen mehr Entgegenkommen vom Gesetzgeber gewünscht. Dies gelte vor allem für Praxisinhaber, die wenige Jahre vor ihrem Ruhestand stehen. Dass diese wenig motiviert seien, jetzt noch in ihre Praxis-IT zu investieren, sei wenig verwunderlich. Gassen. „Wir können doch schon froh sein, dass wir diese Kollegen überhaupt noch in er Versorgung haben.“
In der Telematikinfrastruktur lauern womöglich hunderte weitere Sicherheitslücken. Dies legen Recherchen des IT-Magazins c’t nahe. Vor allem für die Konnektoren-Hersteller dürften die Ergebnisse ernüchternd sein.
Der IT-Sicherheitsexperte Thomas Maus hat im Auftrag von Ärzten, die ihre Praxen an die TI angeschlossen haben, an deren Konnektoren „nichtinvasive und nichtdestruktive Analysen“ durchgeführt. Schwerpunkt der Tests sei das Modell von T-Systems gewesen, neben der KoCoBox aus dem Hause der Compugroup das am weitesten verbreitete Modell.
Zur Erinnerung: Nur in jeder zehnten Praxis in Deutschland ist aktuell die von der Gematik empfohlene serielle Installation des Konnektors umgesetzt. In dieser Variante sei der Konnektor „angriffsexponiert und sicherheitskritisch“, da er gleichzeitig als Firewall für das Praxis-LAN dient, heißt es in dem c’t-Bericht.
Diesem Anspruch aber werde der Konnektor von T-Systems womöglich nicht gerecht. Schuld sei ein Zertifikatsfehler. Dieser könne dazu führen, dass Hacker das Admin-Passwort abgreifen könnten. „Angreifer in Gestalt von Patienten, Reinigungspersonal oder Lieferanten bräuchten dazu lediglich ein Gerät für unter 100 Euro im Praxis-LAN zu platzieren, und schon könnten sie Kontrolle über den Konnektor erlangen. Dagegen kann sich eine Arztpraxis mit typischer IT-Ausstattung und -Personal kaum schützen“, urteilt das Magazin.
Das System basiere zum Großteil auf Open-Source-Komponenten. Bedenklich sei das hohe Alter einiger Komponenten. Um einzuschätzen, wie verwundbar die auf dem Konnektor eingesetzte Software ist, habe der Sicherheitsfachmann Maus zu allen Komponenten die bekannten Verwundbarkeiten herausgesucht. Das Ergebnis ist ernüchternd: Im T-Systems-Konnektor (Firmware 1.4.13) gebe es demnach Hinweise auf mindestens 402 potenzielle Verwundbarkeiten: 11 kritische, 141 hochbrisante, 250 mittelbrisante.
Auch die Compugroup bediene sich für ihre KoCoBox MED+ bei Open-Source-Codes. Dabei liste der Hersteller allerdings nur die Lizenzen auf, aber nicht die Komponenten. Dies sei ein Verstoß gegen die sogenannte GNU General Public License. „Wenn CGM die verwendeten Open-Source-Komponenten nicht angibt, muss man für die KoCoBox vom schlimmsten Fall ausgehen, also allen Verwundbarkeiten jeglicher Software unter all den angegebenen Lizenzen“, heißt es in dem Bericht.
Ärzte, die den Konnektor von T-Systems einsetzen, sollten dessen Firmware – falls noch nicht geschehen – unbedingt von Version 1.4.13 auf die Ende November veröffentlichte Version 1.5.3 updaten, rät Maus. Dadurch könnten sie die Zahl der möglichen klärungsbedürftigen Verwundbarkeiten immerhin von 402 auf 291 senken. Das sei besser, aber noch lange nicht gut. IT-Fachmann Maus rät Ärzten daher selbst bei einem aktualisierten Konnektor: „abschalten“.
Compugroup: „Wir schließen alle bekannten Lücken umgehend“
Die Compugroup wehrt sich gegen Vorwürfe, ihr Konnektor für die Telemedizininfrastuktur würde nicht die Sicherheitsanforderungen erfüllen. Man schließe jede bekannte Sicherheitslücke umgehend. Sichergestellt würde dies durch „regelmäßige Überprüfung und Updates“.
Das IT-Magazin „c’t“ hatte am Ende vergangener Woche über mögliche weitere Sicherheitslücken in der TI berichtet. Vor allem die Hersteller der Konnektoren kamen bei der Analyse nicht gut weg. Diese bedienten sich für ihre Geräte Open-Source-Codes. Auch die Compugroup nutze diese für ihre KoCoBox MED+. Dabei liste das Unternehmen allerdings nur die Lizenzen auf, nicht aber die Komponenten. Dies sei ein Verstoß gegen die sogenannte GNU General Public License. „Wenn CGM die verwendeten Open-Source-Komponenten nicht angibt, muss man für die KoCoBox vom schlimmsten Fall ausgehen, also allen Verwundbarkeiten jeglicher Software unter all den angegebenen Lizenzen“, heißt es in dem Bericht.
Gegen diese Darstellung wehrt sich die Compugroup am Montag in einer Stellungnahme, die dem änd vorliegt. Man erfülle sämtliche Anforderungen, ein Verstoß gegen die GNU liege nicht vor, heißt es. Und weiter: „Nach Einschätzung unseres Open-Software-Experten sind wir verpflichtet, bei Anfrage eines Lizenznehmers, in diesem Fall jemanden der einen Konnektor erworben hat oder betreibt, die unter einer GPL-Lizenz stehenden Anteile bereitzustellen. Das ist so bei uns umgesetzt.“ Die Herausgabe einer Versionsliste sei nicht notwendig, um die GPL-Lizenz zu erfüllen.
Zwar bediene man sich bei der KoCoBox MED+ Open Source-Komponenten. „Jedoch werden die Systeme grundsätzlich abgesichert – auch indem sie in eine sichere Umgebung eingebunden werden. Jede bekannte Sicherheitslücke wird umgehend geschlossen. Dies wird durch regelmäßige Überprüfung und Updates sichergestellt“, bekräftigt das Unternehmen.
Darüber seien sowohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) als auch die Gematik „im Detail informiert“. Diese zertifizierten die Maßnahmen auf den Open-Source-Komponenten im Übrigen auch regelmäßig. „Im Rahmen der Zulassung wurden alle Komponenten umfassend geprüft und freigegeben“, heißt es.
Der Konnektor sei sowohl für die Erprobung als auch für „den Wirkbetrieb der TI“ zugelassen und erfülle durch diese Zulassung alle notwendigen Sicherheitsanforderungen. Die Umsetzung der Komponenten in der KoCoBox MED+ sei „gängige Praxis“. Dieses Vorgehen werde bei allen als kritisch anzusehenden Infrastrukturen umgesetzt, so zum Beispiel auch in der Energiebranche.
Verbände wollen Bündnis für Patientendatenschutz gründen
Angesichts der derzeitigen Gesetzgebung zur Digitalisierung im Gesundheitswesen wollen mehrere Institutionen gemeinsam ein verbandsübergreifendes Bündnis für Patientendatenschutz im Gesundheitswesen gründen. Am 25. Januar ist dafür ein Treffen in Kassel geplant.
„Das Arzt-Patienten-Geheimnis ist Grundlage des medizinischen Berufes. Patienten müssen sich darauf verlassen können, dass ihre Krankengeschichte bei uns sicher verwahrt wird“, erklärt Dieter Adler, Vorsitzender des Kollegennetzwerkes Psychotherapie und Organisator des Treffens im Vorfeld. „Insbesondere in den psychotherapeutischen Fächern ist es unsere Pflicht, besonders auf den Datenschutz zu achten, damit nicht stigmatisierende Diagnosen unserer Patienten in falsche Kanäle gelangen.“
Das neue Bündnis könne Protest- und Aufklärungsaktionen bündeln, Bürger informieren und auch juristische Schritte „gegen den ungezügelten und rücksichtslosen Digitalisierungstornado des Bundesgesundheitsministers Jens Spahn einleiten“, so Adler.
Die Beteiligten kämen aus der Medizin, der Zahnmedizin und den psychotherapeutischen Fächern, aber auch IT-Spezialisten aus dem Bereich der Sicherheit, Juristen und vor allem Patienten sollen sich in dem neuen Aktionsbündnis wiederfinden und einbringen können.
„Seit März des vergangenen Jahres ist klar, dass die Gesundheitstelematik trotz nunmehr 15 Jahren Entwicklung gravierende Probleme aufweist,“ sagt Jens Ernst, Sicherheitsexperte für IT-Systeme, der ebenfalls in Kassel vor Ort ist. „Allerdings erkennt man seitdem keinen Willen der Beteiligten, insbesondere des Gesundheitsministers, diese Probleme anzuerkennen oder zu analysieren, geschweige denn sie zu beseitigen.“
Probleme gebe es nicht nur auf der technischen Seite, sondern bereits bei den banalen Bestellprozessen für die elektronischen Arzt- und Praxisausweise oder gar die elektronischen Gesundheitskarten der Patienten, wie jüngste Versuche des Chaos-Computer-Clubs zeigten. Dem Identitätsdiebstahl sei Tür und Tor geöffnet, so dass Unbefugte auch in den demnächst angedachten elektronischen Patientenakten lebensgefährliche Änderungen vornehmen könnten. Trotzdem ließen sich Staatssekretäre aus dem Gesundheitsministerium gerne zitieren, dass man Mut zur Lücke beweisen müsse und dass man Tempo vor Perfektion stellen wolle, um die Digitalisierung des deutschen Gesundheitswesens voranzutreiben.
Die Münchner Gruppe „Gesundheitsdaten in Gefahr“ um den Psychiater Andreas Meißner ist ebenfalls Teilnehmer des Aktionsbündnisses und hat gerade eine Bundestagspetition mit ca. 65.000 Unterschriften erfolgreich eingereicht, die sich mit dem Thema Telematik-Infrastruktur beschäftigt (der änd berichtete). Auch die Organisationen Medi und der Bayerische Facharztverband gehören zu dem Bündnis und arbeiten derzeit an Musterklagen gegen die Honorarsanktionen bei nicht angeschlossenen Arzt- und Zahnarzt-praxen.
Die IG Med (ebenfalls Teil des Bündnisses) hat ein Internetsuchportal für Patienten eröffnet, in dem Telematik-freie Praxen angezeigt werden. Diesem Portal haben sich inzwischen auch die Aktionen „Rote Karte für die TI“, „Gesundheitsdaten in Gefahr“ und „TI-Frei“ angeschlossen. Eine Verfassungsbeschwerde gegen die im DVG vorgesehene zentrale Datensammelstelle ohne Widerspruchrecht der Patienten, die nach Ansicht von Verfassungsjuristen gegen das Recht auf informationelle Selbstbestimmung verstoßen dürfte, soll angestrengt werden.
Das Bündnis will in Kassel konkrete Maßnahmen der Bundesregierung gegen bereits bestehende Probleme einfordern. „Die bereits ausgegebenen, unsicheren Identitätskarten müssen sofort wieder eingezogen werden. Sanktionen gegen Praxen, die sich bis jetzt nicht an die Gesundheitstelematik angeschlossen haben oder sich wieder trennen lassen, sind umgehend zu beenden. Es müsse die - immer noch fehlende - Datenschutzfolgeabschätzung für die Gesundheitstelematik erstellt werden“, heißt es in der Ankündigung des Treffens in Kassel. Langfristig fordern die Bündnispartner demnach die Freiwilligkeit der Teilnahme an der TI sowohl für alle Patienten als auch für Ärzte, Zahnärzte und Psychotherapeuten.
Als „ambitioniert“ bewertete IT-Sicherheitsexperte Martin Tschirsich, Mitglied im Chaos Computer Club (CCC), am Freitag in Berlin den Start der elektronischen Patientenakte im Januar 2021. Gematik-Sicherheitsexperte Holm Diening hielt dagegen.
„Die Akte ist unser Masterpiece. Die Anstrengungen, die wir unternommen haben, um sie sicher zu kriegen, sind schon unglaublich“, sagte Diening bei einer Podiumsdiskussion im Rahmen des Deutschen Krebs Kongresses am Freitag in Berlin.
Der CCC hatte allerdings zuvor Sicherheitslücken im Umfeld der Akte gefunden. Die Schwachstelle lag bei der Herausgabe von Schlüsseln (der änd berichtete). Diening räumte ein, dass die Gematik vom Ergebnis des CCC „ziemlich geschockt“ war. „Wir haben uns gefragt: Warum haben wir diese Respektsgrenzen eingehalten? Warum sind wir in diesen Bereich nicht eingetaucht?“, sagte Diening. Der Gematik-IT-Experte zieht daraus den Schluss: „Man muss eben nicht nur die Akte sicher machen, sondern auch das gesamte Umfeld, das darauf zugreift.“ Das habe der Gesetzentwurf nun definiert. „Aber tätig waren wir vorher schon“, so Diening. Es habe nicht der Regelungen im Entwurf zum Patientendatenschutzgesetz bedurft, um die Akte zu schützen.
Die Vorgaben für den Bau der Akte sind Diening zufolge sicher genug. „Nichts was die Akte betrifft, ist noch schnell sicherheitstechnisch nachgestrickt worden“, sagte der Gematik-Experte. „Die Akte selber ist safe, und muss auch nicht wegen dieser Vorfälle nochmal angefasst werden. Die Fehler lagen ja woanders“. Das Umfeld müsse man sich nun noch einmal ansehen.
Diening stritt nicht ab, dass es keine hundertprozentige Sicherheit gebe. „Ja, das ist so“, sagte er. Entscheidend sei, diese kleine Lücke zu challengen. „Ich bin dem CCC extrem dankbar.“
CCC verschnupft über Spahn
Der CCC ist dagegen über die Einladung von Bundesgesundheitsminister Jens Spahn (CDU), die ePA zu „challengen“ und Schwachstellen zu finden, reichlich verschnupft. „Der CCC lässt sich nicht einspannen als Gehilfe für irgendetwas. Wir haben die Hand gereicht – als Projektteam, das sich mit dieser Akte auseinander gesetzt hat, aber nicht als CCC“, stellte Martin Tschirsich, IT Sicherheits-Experte und Mitglied des Chaos Computer Clubs klar. Spahn habe die gereichte Hand praktisch am Arm gepackt. „Das war ein Schritt zu weit“, so Tschirsich.
Der Hacker und IT-Sicherheitsexperte räumte ein, dass die ePA selbst gut geschützt sei. Doch es habe sich gezeigt, dass es im bestehenden Prozess Defizite gab. Die seien angegangen worden. Jetzt müsse man noch einmal ehrlich diskutieren. „Ich halte das Datum 1.1.2021 persönlich für sehr ambitioniert“, sagte Tschirsich. Er mahnte: „Sicherheit lässt sich nicht beschleunigen.“
Problem: Verteilte Verantwortlichkeiten
Tschirsich meint, dass Fehler im Umfeld der Akte, wie sie der CCC ausfindig gemacht hat, deutlich schwieriger zu finden seien als technische Fehler in der Akte selbst. Das sei ein strukturelles Problem der Informationssicherheit und nicht nur der IT-Sicherheit – und damit schwieriger zu beheben als technische Fehler. Um solche Fehler festzustellen, müsse man sich in die Spezifikationen einarbeiten. Im Fall des Fehlers, den der CCC gefunden hat, habe das drei Monate gedauert. „Das ist eine langwierigere Geschichte. Ich stimme nicht zu, dass man das schnell lösen könnte“, sagte der IT-Sicherheitsexperte.
Dass dieser Fehler nicht aufgefallen sei, liegt Tschirsich zufolge daran, „dass diese Prozesse nicht in der Hand eines Verantwortlichen lagen, sondern dass es verteilte Verantwortlichkeiten gab“. Tschirsich hofft, dass er nicht noch einmal einen Schlüssel bekommt. „Wenn ein zweiter Versuch gelingt, dann hoffentlich durch jemanden, der beauftragt wurde, das zu tun.“ Er appellierte an die Verantwortlichen, offen mit Risiken umzugehen. Es sei falsch, zu sagen, dass die ePA hundertprozentig sicher sei. Stattdessen sollte Transparenz über Sicherheitsmaßnahmen hergestellt werden, forderte er.