„Die Telematikinfrastruktur ist sicher“, sagt die Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH – kurz Gematik. Das klingt ein wenig nach dem Blümschen Diktum über die Rente. „Der Konnektor verbindet die IT-Systeme medizinischer Einrichtungen sicher mit der Telematikinfrastruktur. Richtig installiert, werden Patientendaten in der Praxis sogar effektiver als bisher geschützt“, heißt es von der Gematik. Schließlich hat die Gematik die technischen Vorgaben in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert und in einem aufwendigen Zulassungsverfahren auch kontrolliert.
Nun kursieren ja schon seit einiger Zeit Berichte über angeblich falsch installierte Konnektoren. Nicht zufällig spricht die Gematik ja auch von „richtig installiert“. Offenbar nun doch heimlich beunruhigt, hat die Gematik mal im richtigen Leben geprüft wie „richtig installiert“ die Konnektoren in der Praxis nun wirklich sind. Das Ergebnis hat sie in einem vertraulichen Papier zusammengefasst. Und wie es manchmal so ist, hat jemand das mit dem Vertrauen nicht ganz so ernst genommen und nun liegt dieses Papier „NDR“ und „Süddeutscher Zeitung“ vor. Die SZ resümiert: „In mehr als 90 Prozent der Praxen, die an das bundesweite Gesundheitsdatennetzwerk angeschlossen sind, gibt es Sicherheitsrisiken.“ Das klingt nicht gut. Wird doch Bundesgesundheitsminister Jens Spahn nicht müde, sein Mantra von „Gesundheitsdaten seien die sensibelsten Daten“ vor sich her zu tragen. Und das Sensibelchen soll jetzt offen zu Markte getragen werden, gestohlen von bösen Hackern?
Gleich zwei Fernsehformate widmeten sich diesem Aufregerthema. Panorama 3 vom NDR und ZDF-Zoom sehen Gesundheitsdaten in Gefahr. Das belegen dann beide Sendungen mit dem immer gleichen IT-Sicherheitsexperten, dem es gelingt, mittels einer Trojaner behafteten E-Mail in die Praxissysteme einzudringen. Von wegen „richtig installiert“. Das ist natürlich Öl ins Feuer derer, die in größeren oder kleineren Lobbyvereinen gegen die TI schießen. Und ein wenig stellt sich auch die Frage, wie es zu nicht „richtig installierten“ Konnektoren kommen konnte. Schließlich mussten die Unternehmen, die Elemente der Telematikinfrastruktur entwickelt haben, sich auch jeden einzelnen Schritt in der Prozess- und Lieferkette zertifizieren lassen. Hier ist für lückenlose Sicherheit gesorgt. Für die Praxen sollen KBV, KZBV zusammen mit dem BSI bis Juni 2020 eine „Richtlinie zur IT-Sicherheit“ erarbeiten. Juni 2020? Mitte nächsten Jahres? Der Ansatz ist interessant: Es wird eine hochsichere Infrastruktur für hochsensible Gesundheitsdaten installiert, und Höchstbegabte vergessen Normen aufzustellen, was mit dem Konnektor passiert, nachdem er die Praxisschwelle überschritten hat? In Praxen, wo so ziemlich jeder benutzte Gummihandschuh dokumentiert werden muss, doppelt mit Durchschlag, fehlen klare IT-Richtlinien?
Tief durchatmen. Es gibt rund 177.000 Arzt- und Zahnarztpraxen hierzulande. Wenn die alle über die notwendigen TI-Komponenten verfügten, kostete das die Versicherten die kleine Summe von über 450.000.000 Euro. Peanuts, wir kippen ja eh täglich mehr als eine Milliarde Euro in das Gesundheitswesen, mag sich jemand gedacht haben, bevor er mit dem Denken fertig war. Was kümmert es mich, wenn der Arzt und die Zahnärztin kein IT-Fachmann oder -frau sind?
Auf einem Pressetermin argumentierte sich Spahn entsprechend aus der Verantwortung: „Es gibt klare Regelungen auch zur Sicherheit der Telematik-Anbindung von Arztpraxen und Zahnarztpraxen, und diese Sicherheitsanforderungen sind auch umzusetzen – vor Ort beim Einbauen. Dafür sind diejenigen Unternehmen zuständig, die die Anbindung vornehmen. Und für die Sicherheit der Daten in der Praxis ist der Praxisinhaber selbst zuständig.“
„Jeder Arzt ist im normalen Praxisalltag für die Sicherheit seiner Praxis-IT selbst verantwortlich – unabhängig von einer Reihen- oder Parallelinstallation“, bestätigt auch die Gematik lapidar. Im „Reihenbetrieb“ ist der TI-Konnektor die Schnittstelle zur TI. Alle Computer und Geräte erhalten über ihn den TI-Zugang. Die Firewall ist im Konnektor integriert und schützt die digitale Infrastruktur in der Praxis vor Angriffen von außen. Alles gut und sicher. Die allermeisten scheinen nun aber im „Parallelbetrieb“ angeschlossen worden zu sein. Es gibt also parallele Strukturen zum Konnektor, der so nicht ausschließlich den digitalen Zugang bietet. Das ergibt Sinn für größere Einheiten mit einem eigenen lokalen Netzwerk, das wiederum selbst ausreichend schützt und nicht auf die Firewall des Konnektors angewiesen ist. Und hier liegt das Sicherheitsproblem. Wenn 90 Prozent der Praxen „parallel“ angeschlossen sind, werden wohl kaum auch alle 90 Prozent über individuelle Schutzmaßnahmen gegen Hackerangriffe verfügen – zumal sie sich ja auf den „sicheren“ Konnektor verlassen. Der ist ja auch sicher, Schutz bietet er allein aber nur in der Reiheninstallation. „Und um die Qualität der beteiligten IT-Dienstleister hat sich bislang weder in der Gematik noch im Ministerium jemand ausreichend gekümmert“, konstatiert auch die gesundheitspolitische Sprecherin der Bundestagsfraktion von Bündnis 90/Die Grünen Maria Klein-Schmeink.
Sicherheitslücken in der TI sind aber für Patienten unzumutbar – für Ärzte sind sie existenzbedrohend.