Konnektoren & Co.: BSI fühlt Arztpraxen bei IT-Sicherheit auf den Zahn
Die Sicherheitslage im Kern der Telematikinfrastruktur erachtet das BSI als entspannt. Nun prüft es den Schutz von Gesundheitsdaten in angeschlossenen Systemen.
(Bild: tingsriton chairat/Shutterstock.com)
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat drei Projekte gestartet, um die IT-Security in Arztpraxen verstärkt unter die Lupe zu nehmen. Laut der Behörde sei die Sicherheitslage in den an die Telematikinfrastruktur (TI) angeschlossenen Netzen "bisher kaum erfasst". Dabei spiele sie "für die Verarbeitung sensibler Gesundheitsdaten" und die Patientensicherheit eine essenzielle Rolle.
In einer Umfrage sollen im Teilvorhaben CyberPraxMed Netzwerkaufbau und die Ausstattung typischer Arztpraxen erfasst und Sicherheitsrisiken eingeschätzt werden, teilte das BSI am Montag mit. Damit soll statistisch die Frage beantwortet werden, "wie häufig sich der Konnektor im Parallelbetrieb zu einem privaten, konventionellen Router befindet und damit seine Schutzwirkung nicht vollständig entfalten kann". Die Verbindungsgeräte, deren Austausch heftig umstritten ist, bilden die Schnittstelle zwischen einem Praxisverwaltungssystem (PVS), einem Kartenterminal vor Ort und der TI.
BSI will Fachexpertise untersuchen
Mit CyberPraxMed will das BSI auch "die Fachexpertise im Bereich der IT-Sicherheit des Personals, der Ärzte und eines gegebenenfalls beauftragten IT-Dienstleisters" bestimmen. Zusätzlich sollen Korrelationen der IT-Security "mit der Praxisgröße, dem Praxistyp und der geographischen Lage untersucht werden". Ergänzend wollen die Experten mit dem Projekt SiPra die IT-Sicherheit von Praxisverwaltungssystemen untersuchen. Dabei ist vorgesehen, den sicheren Betrieb von verschiedenen Praxissystemen zu analysieren.
Dazu läuft bereits eine Online-Umfrage im Rahmen des Projekts SiRiPrax. Dabei stützt sich das BSI auf seine Aufgabe aus dem Sozialgesetzbuch, eine 2020 zusammen mit der Kassenärztlichen sowie der Kassenzahnärztlichen Bundesvereinigung verfasste IT-Sicherheitsrichtlinie regelmäßig zu beurteilen und anzupassen. Damit sollen Vorkehrungen im Bereich IT-Security für niedergelassene Ärzte, Zahnärzte sowie Psychotherapeuten "nachhaltig" gestärkt werden. Praxen sollen dabei angeben, welche Schritte sie ergriffen haben, um die Vorgaben umzusetzen. Dabei auftretende Schwierigkeiten können dabei ebenfalls genannt werden.
Die Ergebnisse aus allen drei Initiativen sollen es dem BSI ermöglichen, "gezielt die IT-Sicherheit in Arztpraxen durch entsprechende Empfehlungen und Vorgaben zu verbessern und somit einen essenziellen Beitrag zur Digitalisierung des Gesundheitswesens zu leisten".
Gute Noten für Gematik
Wenig besorgt zeigt sich die Behörde über die Sicherheitslage im Kernnetzwerk der TI, insbesondere bei der Gematik. Sie beruft sich dabei auf ein parallel veröffentlichtes, von ihr erstelltes Lagebild Gesundheit 2022. Demnach werden die dortigen Vorschriften "regelmäßig überwacht" und orientieren sich an "strengen Spezifikationen". Dadurch ist die Anzahl der Sicherheitsvorfälle, die das Computer Emergency Response Team (CERT) der Gematik an das Pendant beim BSI gemeldet habe, "sehr gering". Bei zwei von sechs angezeigten Vorkommnissen habe es sich um DDoS-Angriffe gehandelt. Das kleine Aufkommen sei "ein deutlicher Hinweis darauf, dass die getroffenen Sicherheitsmaßnahmen und Prozesse wirksam sind".
Im August 2022 habe der Chaos Computer Club (CCC) eine Dokumentation von Angriffsvektoren auf die Video und Autoidentifizierungsverfahren publiziert, verweisen die Autoren noch auf "besondere Ereignisse". Die Hacker hätten die Verfahren von sechs VideoIdent-Anbietern aushebeln und dabei etwa eine elektronische Patientenakte (ePA) anlegen und befüllen können. Zudem seien Zugriffe auf Daten einer eingeweihten Testperson abgegriffen worden. Infolge sei das Identifizierungsverfahren ausgesetzt worden. Die Bedrohung sei nicht für das Gesundheitswesen spezifisch.
Sicherheitsforscher sehen Lage kritisch
Sicherheitsforscher aus dem CCC-Umfeld sehen die Lage weniger rosig. Sie haben immer wieder eklatante Schwachstellen und Sicherheitslücken etwa beim ePA-Testballon Vivy, bei Corona-Apps und -Impfzertifikaten, Praxissoftware, der Arzttermin-Buchungssoftware Doctolib, einem digitalen Arztkalender oder bei VideoIdent-Systemen aufgedeckt. An des Pudels Kern – dem Nachweis der Identität von Teilnehmern und damit der Wahrung der Integrität der Verfahren – wagt sich ihnen zufolge keiner aufgrund des damit verknüpften Aufwands.
(mki)
