19.03.2024
Anzeige

Selbst 4 Monate nach Ablauf der Frist für den verbindlichen Anschluss aller Leistungserbringer an die TI sind nicht einmal 50% angeschlossen.
Quelle:
http://dip21.bundestag.de/dip21/btd/19/137/1913787.pdf

Die Gründe dafür sind vielfältig und absolut nachvollziehbar.
Eine sinnvolle Neuregelung der datenschutzrechtlichen Verantwortlichkeiten in der TI ist trotz Aufforderung der Datenschutzkonferenz - Kommission (DSK) nicht in Sicht.
Stattdessen wird wieder von der Verantwortung des Leistungserbringers bis zum Konnektor geredet.
Diese Vereinfachung ist natürlich falsch. Wer will den später feststellen auf welchem Weg Daten aus einer Praxis ins Netz gelangt sind?
Sicherlich haben Leistungserbringer erheblichen Nachholbedarf Ihre Netzwerke auch nur annähernd sicher zu machen, aber selbst dann, ist eine solche Formulierung fatal.
Insgesamt lässt sich von unsere Seite folgendes feststellen:
Sowohl die DVO's als auch die IT-Dienstleister gehen zu Lachs mit der Anbindung von Leistungserbringern an das Internet  um.
Jüngstes Beispiel aus der Region (Celle) belegte dies eindrucksvoll. Hier nur von einem Fehler im Router zu reden wäre, fatal.
Unserer Auffassung nach dürfen sensible Systeme nicht ohne einen weiteren Netzwerkschutz vom Internet aus erreichbar sein.
Und genau genommen hat die Blackbox "Konnektor" nichts im Netzwerk eines Leistungserbringers verloren.
Sie gehört ebenfalls durch eine entsprechende Hardware Firewall aus dem Netzwerk des Leistungserbringers ausgesperrt.
Lediglich die durch die Spezifikation erforderlichen Kommunikationskanäle zu Kartenleser und PVS dürfen erlaubt sein.
Und selbst dann bietet das Ganze noch genug Angriffsfläche, da die Zertifikate zum Austausch von Daten zwischen PVS und Konnektor nicht öffentlich signiert sind.
 
In der Regel wurde wohl diese Kommunikation durch die DVO's nicht einmal verschlüsselt eingerichtet.
Erst dann könnte der Satz: "..Verantwortung bis zum Konnektor.." eine Gültigkeit bekommen.

Wir sehen noch viele ungeklärte Baustellen, welche, durch die ePA und den Zugriff durch APP's auf diese, noch um ein Vielfaches potenziert würden.
Man könnte hier noch länger über unzulängliche Handhabung der Sicherheit von sensiblen Patientendaten aus dem Nähkästchen plaudern. (Siehe weiter unten)


Von, durch das BSI nicht geprüften VPN Providern, bis zu dem Secure Internet Service, welcher seinen Namen je nach VPN Provider nicht einmal im Ansatz verdient.
Schaut man sich die Aussagen der TI Dienstleister zum SIS an, reichen die Aussagen von:
Letzte Aussage der GEMATIK zum SIS:
Der SIS (Secure Internet Service) ersetzt keine Firewall.
https://www.gematik.de/news/news/konnektor-kein-ersatz-fuer-sicherheitsmassnahmen-im-praxisalltag/

Die KVN hingegen ist der Ausfassung:
Zitat:
"Der Konnektor selbst kann im Reihenbetrieb allerdings als zusätzliche Firewall agieren, so dass
unter Umständen auf eine Installation einer eigenständigen Firewall verzichtet werden kann."

Hierzu können wir nur sagen, bei unseren Tests hat bislang nur ein VPN Provider hinsichtlich der Aufgaben einer Firewall seine Hausaufgaben gemacht.
Das dürfte an seinem Hauptgeschäftsfeld liegen, in dem Netzwerksicherheit ein wesentlicher Bestandteil ist.

Unabhängig davon, bei den Leistungserbringern sieht es mit der IT-Sicherheit oft nicht rosig aus.

Zusammenfassend lässt sich folgendes feststellen:
Das Pferd wurde mal wieder von hinten aufgezäumt. Es fehlt an einer alles umfassenden Strategie und jeder denkt nur an seinen (vor)Teil.
Das hier alle zusammen arbeiten sollen, wurde mehrfach ignoriert.  Und statt einer guten Lösung und weit über 2 Milliarden Kosten, wurde es dann einfach per Gesetz erzwungen.
Nach über 15 Jahren Entwicklungszeit im stillen Kämmerlein kann man wohl auch nicht von Zeitmangel reden.
Und, dass die Leistungserbringer ein wesentlicher Bestandteil dieses riesigen Netzwerks sind, kann man schon mal aus versehen vergessen. Wichtig war den Entwicklern und Entscheidern offensichtlich nur die Verantwortung nicht bei sich selber zu haben?

Werden nun im Nachhinein einige der Probleme gelöst, so sollte man eines nicht vergessen:
Das Leistungserbringer (immerhin mehr als 50%), welche sich aus Bedenken nicht angeschlossen haben,
hatten damit durchaus Recht, und werden nun wohl offensichtlich zu Unrecht bestraft.

Denn nur, durch diese Hartnäckigkeit kommen die Probleme auf den Tisch und können nicht weiter weg ignoriert werden.
Alle Anderen hatten 15 Jahre der Vorbereitung und die Leistungserbringer nicht einmal 2 Jahre?
Wer nun den Kopf schüttelt, denkt bitte daran, Leistungserbringer sind keine IT-Experten und wurden durch entsprechende Gremien vertreten.

Aus aktuellem Anlass ein Nachtrag!

Es kommt noch dicker, viel dicker.

Wie der CCC jüngst eindrucksvoll belegte, müsste man bei allen anderen TI Beteiligten den Kopf nicht nur schütteln,sondern eigentlich schon in einen Ventilator verwandeln.
Die Sicherheit des Konnektors ist keineswegs bewiesen aber dadurch, das man alle notwendigen Sicherheitsschlüssel für die TI ohne Probleme bekommt, spielt im Augenblick die Sicherheit des Konnektors noch eher eine untergeordnete Rolle.

https://www.heise.de/newsticker/meldung/36C3-Unsichere-Patientendaten-die-Telematik-Infrastruktur-des-Gesundheitswesens-hat-ein-4624092.html

Vom Sicherheitsstandpunkt aus betrachtet, müssten nun die bislang ausgelieferten TI Komponenten als kompromittiert gelten.
Und wer weis, wie einfach es wäre VPN-Povider zu spielen?

Wer hier nun geschlafen hat, möge sich jeder der Beteiligten selber beantworten.
Die so hoch gepriesene Sicherheit der TI hat hier auf ganzer Linie völlig versagt.
Und da wollen wir alle Patientendaten speichern?

Aber Hauptsache die Leistungserbringer werden in dieses völlig unsichere Netz per Gesetz gezwungen und bei Zuwiderhandlung bestraft.
Wir raten unverändert seit nunmehr über 2 Jahren dazu:

Schützt eure Patienten und deren Daten, denn die wissen über den ganzen Unfug noch weniger als Ihr.
TI in der jetztigen Form abschalten oder Stecker ziehen und zurück ans "Zeichenbrett".
Das kann man besser, viel besser und vor allem ohne diese verkrusteten Strukturen auch viel günstiger.
Und Hinweise, wie das gehen könnte, hat z.B. das BSI in den Berichten zum Konnektor massenhaft gegeben.

Empfehlen Sie uns
Mitglieder
Mitgliederverzeichnis

Angemeldet

184 Mitglieder aus 26 Fachgruppen

Fachgruppe Anzahl
Allgemeinmedizin 93
Chirurgie 6
Innere Medizin 25
Nervenheilkunde 4
Innere Medizin - Kardiologie 7
Fördermitglied 3
Hals-, Nasen-, Ohrenheilkunde 7
Augenheilkunde 6
Frauenheilkunde und Geburtshilfe 4
Neurologie 1
Kinder- und Jugendmedizin 4
Innere Medizin - Pneumologie 3
Innere Medizin - Rheumatologie 1
Innere Medizin - Nephrologie 2
Psychiatrie und Psychotherapie 4
Innere Medizin - Gastroenterologie 1
Urologie 2
Orthopädie 3
Nuklearmedizin 1
Innere Medizin - Hämatologie und internistische Onkologie 1
Anästhesiologie 1
Innere Medizin - Angiologie 1
Kieferorthopädie 1
Radiologie 1
Plastische Chirurgie 1
Psychosomatische Medizin und Psychotherapie 1
Aktuelle Besucher

Aktuell sind 189 Gäste und keine Mitglieder online

107.23.85.179