gematik - Wider den Vorwurf von Sicherheitsmängeln

Sicherheit von Daten in Praxen
Nach Anbindung an die Telematikinfrastruktur bezieht die gematik abermals Stellung.

Von Daniel Burghardt, Ärzte Zeitung Online, 09.08.2019, Neu-Isenburg/Berlin

“Die Diskussion um potenziell unsichere Praxisnetzwerke nach Anschluss an die Telematikinfrastruktur (TI) reißt nicht ab: So tauchten jüngst erneut Medienberichte auf, in denen von „Datenlecks in tausenden Arztpraxen“ die Rede ist und IT- Experten vor Sicherheitslücken infolge angeblich fehlerhafter TI-Installationen, warnen – und die technische Architektur als „veraltet“ bezeichnen.

Die TI-Betreibergesellschaft gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH) kontert: Alle Komponenten basierten auf zeitgemäßer Technologie, zudem setze man nach internationalen Standards zertifizierte Sicherheitsfunktionen ein.„Die Firewall des Netzkonnektors ist durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach Common Criteria zertifiziert, einem international anerkannten Standard zur Sicherheitsbewertung von Informationstechnik, der die Basis für die Sicherheitszertifizierung durch das BSI darstellt“, teilt die gematik auf Anfrage der „Ärzte Zeitung“ mit. […]

Wie die Betreibergesellschaft betont, habe sie „unmittelbar nach Bekanntwerden der in der Öffentlichkeit dargestellten Vorwürfe“ Kontakt zu allen relevanten Anbietern aufgenommen, um über die IT-Dienstleister vor Ort auf eine sichere Installation der Konnektoren hinzuwirken. Diese Gespräche würden stetig fortgesetzt. Eigene Erkenntnisse über fehlerhafte Installationen von Konnektoren lägen der gematik bislang nicht vor, heißt es. Der Konnektor schütze das Netzwerk in beide Richtungen – also die TI vor Schadsoftware, die von Praxis-PC kommen könnte, sowie die Praxen vor Angriffen aus der TI. Behauptungen eines IT-Experten in den Medien, die Firewall des Konnektors in weniger als einer halben Minute knacken zu können, weist die gematik zurück.

Im Rahmen der erfolgten Schwachstellenanalyse sei das „höchste Angreiferpotenzial“ angenommen worden, das im Rahmen der Common Criteria definiert sei. Zusätzliche Schutzmaßnahmen der Praxis würden aber mit der Konnektor-Installation „keinesfalls obsolet“, warnte die Gesellschaft bereits in einer früheren Anfrage. Zur Erinnerung: Im Reihenbetrieb (serielle Installation) befinden sich alle Komponenten in einem Netz und erhalten über den Konnektor Zugriff auf die TI. Der Anschluss ans Internet erfolgt via Sicheren Internet Service (SIS) – die Firewall des Konnektors schützt das Praxissystem. Konfiguration ist entscheidend. Bei paralleler Installation jedoch sind alle Komponenten über einen Netzwerkverteiler verbunden – hier fungiert der Konnektor nicht als Firewall. Das heißt, die Praxis muss sich unabhängig von der TI-Anbindung wie bisher schützen, unter anderem mit Firewall und Antivirensoftware.

Auch Kritik an einer „fehlenden Kommunikationskontrolle“ – so sind über den SIS zunächst alle ausgehenden Verbindungen erlaubt – weist die Gesellschaft zurück. „Die Konnektoren bieten die Konfigurationsmöglichkeit, dass nur noch explizit gewünschte Kommunikation nach außen möglich ist.“ Da jede Praxis oder Apotheke andere Bedürfnisse habe, könnten diese Einschränkungen nicht durch die gematik vorgenommen werden.

Praxishilfe per Checkliste

Der Aussage, dass die TI-Architektur nicht nur unsicher, sondern auch veraltet sei – mit diesem Argument hatten Freie Ärzteverbände jüngst wiederholt mit Klagen gedroht – setzt die Betreibergesellschaft entgegen: „Die Gesamtarchitektur der Telematikinfrastruktur wird kontinuierlich fortgeschrieben und dem Stand der Technik angepasst.“Nach wie vor sieht sie die Vernetzung des deutschen Gesundheitswesens „auf eine solide Grundlage“ gestellt, da eine „weltweit verfügbare, sichere und gut erprobte Technologie“ zum Einsatz komme.[…]”

Den vollständigen Artikel finden Sie hier: www.aerztezeitung.de

(Quelle zuletzt abgerufen 10.08.2019, 14:44)

 

Kartengrafik: gematik GmbH Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH, Friedrichstraße 136, 10117 Berlin

Ist Ihr Server geschützt?
Lesen Sie hier mehr: www.crosssoft.de/crosscube

Erfüllt Ihre Praxis-IT die Vorgaben? 
Lesen Sie hier mehr: www.crosssoft.de
Telematikinfrastruktur mit Internetzugang:
Lesen Sie hier mehr: www.crosssoft.de
Posted on