Baumgärtner: “Die Praxen bleiben die Dummen”

Der Druck auf die Praxen, den TI-Konnektor zu bestellen, wächst: Politik, gematik, KVen und AIS-Industrie erinnern fast täglich an die Bestellfrist am 31. März. MEDI GENO Deutschland-Chef Dr. Werner Baumgärtner wendet sich deswegen in einem bundesweiten Schreiben an seine Mitglieder – und in einem offenen Brief an das KBV-Vorstandsmitglied Dr. Thomas Kriedel.

Darin konfrontiert er Kriedel mit Sicherheitsfragen, die seiner Überzeugung nach auch bei der letzten KBV-Vertreterversammlung nicht beantwortet wurden. „Fakt bleibt, die Dummen sind die Praxen, was mich langsam wütend macht“, schreibt Baumgärtner. „Der Konnektor ist doch eine Tür in das Praxis-AIS und wird mit Entstehung dieser riesigen Infrastruktur natürlich ein interessantes Objekt für Hacker.“

In dem Schreiben an seine Mitgliedern betont Baumgärtner: „Ich bleibe bei meiner Verweigerung, weil offene Fragen der Kosten, der Haftung und der Sicherheit den Praxen aufgeladen werden.“ Die Niedergelassenen hätten „eine moderne Form der Vernetzung verdient, stattdessen bekommen wir eine anfällige und veraltete Technik unter Strafandrohung aufgezwungen. Ich meine schon, dass man sich deshalb wehren sollte, und sehe nur den Weg der Verweigerung und den Rechtsweg“, so Baumgärtner.

 

Der offene Brief an KBV-Vorstand Dr. Thomas Kriedel:

Betreff: Weitere offene Fragen zum TI-Konnektor – Kostenerstattung, Haftung und Sicherheit

Sehr geehrter Herr Dr. Kriedel,

da in der Berichterstattung bezüglich unserer Diskussion in der KBV-Vertreterversammlung am Freitag der Eindruck entstanden ist, dass Sie meine Einwände zum TI-Konnektor beantwortet oder entkräftet hätten, antworte ich heute mit einem Brief, den wir auf unserer Webseite veröffentlichen.

Ich möchte vorab noch einmal klarstellen, dass ich kein Gegner der Vernetzung oder Digitalisierung bin. Aber ich setze mich für eine Telematikinfrastruktur in den Praxen ein, bei der alle Kosten übernommen werden und die auf einer Technik basiert, die weder die Praxis-AIS langsamer macht, noch in vielen Praxen technische Probleme bringt. Besonders schlimm finde ich, dass die Politik, die Gematik oder die KVen nicht die vollständige Haftung für die den Praxen aufgezwungene, technisch veraltete Telematikinfrastruktur übernehmen – nur bis zum Konnektor. Ganz abgesehen von der Frage, warum wir uns so einen Eingriff in unsere Praxisorganisation überhaupt gefallen lassen müssen. Sie, Herr Dr. Kriedel, motivieren dennoch zur Installation – und „motivieren“ ist noch vorsichtig ausgedrückt.

Nun zu unserem Mailverkehr vor der KBV-Vertreterversammmlung, in der Sie – laut einer Meldung von facharzt.de – meine Vorbehalte alle entkräften konnten. Ich war da wohl in einer anderen Veranstaltung. Fakt ist doch, der TI-Konnektor ist eine Tür in das Praxis-AIS und wird mit Entstehung dieser riesigen Infrastruktur natürlich ein interessantes Objekt für Hacker.

Meine erste Frage war: Der Konnektor ist eine weitere Tür in das Praxis-AIS, manchmal die erste Tür!  Wer die Haftung für alle Schäden übernimmt, die z.B. bei einem Hacker-Angriff für die Praxen entstehen, ist aus unserer Sicht ungeklärt. Technische Kosten, Kosten für die Information der Patienten und ggf. Kosten juristischer Auseinandersetzungen. Durch die neuen Vorgaben der EU-DSGVO hat sich die Rechtslage doch geändert und ist verschärft worden. Also können Sie mir schriftlich bestätigen, dass erstens die Praxen nicht haften und zweitens: Wer haftet ggf. konkret?

Ihre Antwort (Teilauszug): Bei der Konzeption der TI und den damit verbunden Fachanwendungen wurde stets sehr hoher Wert auf die Themen Datensicherheit und Datenschutz in den Arztpraxen gelegt. Die Gematik als verantwortliche Organisation für die TI arbeitet in diesem Rahmen eng mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zusammen. Nach schriftlicher Auskunft des BfDI endet die datenschutzrechtliche Verantwortung des Arztes am Konnektor. Der Arzt ist somit, wie bisher auch, nur für die Systeme innerhalb der Praxis verantwortlich, die er auch unmittelbar beeinflussen kann.

Wir möchten gerne unsere Fragen ergänzen:

  • Wofür haften die Gematik und das BSI und die Anbieter der TI-Konnektoren?
  • Wo endet die datenschutzrechtliche Verantwortung der Vorgenannten für IT-Sicherheitsvorfälle und Datenlecks, die aus dem Konnektor oder der TI oder den Bestandsnetzen heraus ausgelöst werden und die in die Praxen hinein wirken?
  • Entsteht hier – da doch regelmäßig die Ursachenfeststellung bei IT-Sicherheitsvorfällen und Datenlecks äußerst schwierig ist – eine grundsätzliche Mithaftung der Vorgenannten, wenn Patientendaten in Umlauf geraten und – wie meist – nicht festgestellt werden kann, welcher Sicherheitsmangel ursächlich war?

Wir erwarten die Antworten mit Spannung.

Sie führen in Ihrer Antwort auf meine erste Frage (Teilauszug) weiter aus: Durch die Nutzung der TI entsteht somit generell kein höheres Risiko für die teilnehmenden Ärzte.

Wir halten diese Aussage für nicht nachvollziehbar:
Hat ein Arzt die Patientendaten tragenden AIS bisher vorsichtigerweise in einem isolierten, rein lokalen Netzwerk betrieben, stellt die erzwungene Vernetzung auf jeden Fall grundsätzlich eine Risikosteigerung dar.

Schlimmer noch:
Unsere Sicherheitsexperten versichern uns, nach ausführlicher und intensiver Lektüre der Schutzprofile für den Konnektor, keine einzige Maßnahme und keinen Schutzmechanismus gefunden zu haben, der die Praxis vor Angriffen mittels des Konnektors schützt!

Die folgende Abbildung aus dem Schutzprofil der aktuell zugelassenen Konnektoren (BSI-CC-PP-0047-2015, Seite 37, Abb. 4) sowie der ergänzende Text stellen die im Konnektor-Sicherheitsdesign berücksichtigten Angriffspfade dar.

 

(Quelle: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/Reporte/ReportePP/pp0047ma1b_pdf.pdf?__blob=publicationFile&v=2, BSI-CC-PP-0047-2015, Seite 37, Abb. 4)

Interpretiert man die Abbildung, so wurden offenkundig Angriffspfade aus der TI oder den Bestandsnetzen genauso wenig betrachtet, wie Angriffe durch die (externen) Konnektor-Administratoren. Tatsächlich soll der vom Arzt nicht kontrollierbare Konnektor aber unmittelbar ohne weitere Schutzmaßnahmen im LAN der Arztpraxis agieren und direkt mit den AIS-Systemen intensiv und auf Ebene der Patientendaten interagieren.

Hier entstehen also ganz klar neue und zusätzliche Risiken, die im Konnektorsicherheitskonzept nicht adressiert wurden. Daher müsste der Konnektor nach dem Stand der IT-Sicherheitstechnik eigentlich durch eine eigene Firewall von den AIS isoliert werden.

Trotz wiederholten Anfragen erhalten wir aber weder von der Gematik noch dem BSI die notwendigen technischen Informationen. Vielleicht können Sie uns ja Auskunft geben?

Unabhängig davon bleibt natürlich die Frage, wer bezahlt zusätzliche Sicherheitsmaßnahmen, die durch Versäumnisse seitens des BSI und der Gematik notwendig geworden sind – zum Beispiel die Beschaffungs- und Betriebskosten.

Sie führen in Ihrer Antwort auf meine erste Frage (Teilauszug) weiter aus: In vielen Fällen ist das Sicherheitsniveau in der Praxis durch die Anbindung des Konnektors als zusätzliche Schutzmaßnahme gestiegen.

Diese Behauptung können wir im Lichte der obigen Ausführungen beim besten Willen nicht nachvollziehen. Erläutern Sie bitte technisch detailliert, welche zusätzliche Schutzwirkung der Konnektor für eine Praxis erbringen soll, und wieso unsere Einschätzung, dass der Konnektor ein zusätzliches Risiko ist, falsch sein soll. An welcher Stelle in den Schutzprofilen wird Ihre Einschätzung bestätigt?

Auf Ihre Antworten zu meiner zweiten Frage gehe ich an anderer Stelle ein, da es sich um zukünftige Kosten handelt und nicht um ungeklärte Fragen der Technik und Sicherheit.

Meine dritte Frage war: PEN-Tests liegen nach unseren Informationen bisher nicht vor. Ist es Praxen, die installiert haben, erlaubt, einen solchen durchzuführen?

Ihre Antwort: Der Praxis ist es aus rechtlicher Sicht nicht verwehrt, Penetrationstests in Bezug auf die eigene IT-Infrastruktur durchzuführen. Eine zwingende rechtliche Verpflichtung, solche durchzuführen, ergibt sich aber insbesondere nicht aus der DSGVO.

Die Vergangenheit hat deutlich belegt, dass reine Zertifizierungen – egal auf welchem Niveau – keine verlässliche Gewähr für IT-Sicherheit sind. Das Hamburger Wahlstift-Debakel hatte es ja sogar in die Tagesmeldungen geschafft.

Dieses Debakel trat trotz einer vom BSI begleitenden Sicherheitszertifizierung ein – einer Sicherheitsprüfung nach genau demselben Regelwerk, wie es für die Konnektoren (und andere Gesundheitstelematik-Komponenten) zum Einsatz kommt.

Jedem, der im letzten Jahrzehnt die Tagespresse verfolgt hat, sollte klar sein, dass es in den Netzen großer Institutionen immer wieder zu schwerwiegenden IT-Sicherheitsvorfällen kommt – der Bundestag und verschiedene deutsche Krankenkassen sind sicherlich relevante Beispiele für unser Thema.

Trotz wiederholter Nachfragen bei BSI und Gematik haben wir bisher leider nicht in Erfahrung bringen können, ob im Rahmen der Zertifizierung und Zulassung der Konnektoren aktive Tests durch unabhängige, renommierte Sicherheitsspezialisten stattgefunden haben.

Solche sogenannten PEN-Tests sind Stand der Kunst, und gerade im Bereich der Sicherheit der höchstsensiblen Patientendaten unseres Erachtens ein Gebot der Sorgfaltspflicht des BSI, der Gematik sowie aller Protagonisten der zwangsweisen Einführung dieser Technologie.

Der Vortrag von Martin Tschirsich zur Sicherheit verschiedener “Gesundheits-Apps” hat zumindest uns die Notwendigkeit solcher Tests eindrücklich vor Augen geführt.

Wenn wir aber den erheblichen Aufwand und die Kosten in Kauf nehmen würden, um solche – absolut  notwendigen – Untersuchungen selbst durchzuführen, dann stünden wir vor dem technischen Problem, dass für einen technisch aussagekräftigen Test eine Kooperation seitens der Gematik und des BSI notwendig ist. Deshalb die Frage: Ob Sie uns und einer Gruppe von niedergelassenen Ärztinnen und Ärzten, die den Konnektor installiert haben, erlauben, einen solchen PEN-Test von einer unabhängigen Stelle durchführen zu lassen?

Sehr geehrter Herr Dr. Kriedel,

Ihre Antworten haben mich in meiner bisherigen Haltung bestärkt.

Ich sehe natürlich den Druck, der von vielen Seiten auf die Praxen ausgeübt wird. Ich bin trotzdem davon überzeugt richtig zu handeln und auch davon, dass wir in den Praxen bessere Lösungen verdient haben – im Hinblick auf Kostenerstattung, Technik, Haftung und Datensicherheit. Zudem sollten wir die Praxen und die Patienten auch vor einer Abgabe der Patientendaten in zentrale Speicher schützen. Dies ist im Rahmen der elektronischen Patientenakte (ePA) ja schon geplant. Deshalb verweigere ich weiterhin die Installation des Konnektors in meiner Praxis, werde die Strafe erwarten und dann dagegen klagen.

Dennoch erwarte ich Ihre geschätzten Antworten mit großem Interesse.

Mit freundlichen Grüßen

Dr. Werner Baumgärtner
Vorstandsvorsitzender MEDI GENO Deutschland

 

9 Kommentare

  1. Guten Morgen Herr Dr. Baumgärtner,

    herzlichen Dank für diesen Beitrag!

    Ich freue mich, dass Sie als Verbandsvertreter den Mut haben, sich zu wehren — und Ihre Weigerung Ihren Mitgliedern zu erläutern!

    Kürzlich habe ich zusammen mit einigen Anderen einen offenen Brief an Herrn Spahn geschrieben [1], aber keine Antwort dazu erhalten. Auf Basis dieses Briefs möchte die ÄrzteZeitung eine 30 seitige Beilage produzieren. Als Verfasser dieses Opus bin ich überzeugt: Nahezu jede Arztpraxis/Klinik wird künftig ‘hohe Risiken’ eingehen (müssen). Nicht eine einzige jedoch wird in der Lage sein, die digitale Transformation einschließlich Gesundheitstelematik zu bewältigen und gleichzeitig den Forderungen der DSGVO zu genügen, ohne massive Einkommensverluste hinzunehmen.

    Das Manuskript bietet Ihnen die Chance, die Frage der Kosten zu stellen: Wenn die Politik das “Gesundheitswesen 4.0” will, muss sie für “Datenschutz” 4.0 sorgen. Und bezahlen.

    Die Zeit dafür ist günstig: Die SPD-Bundestagsfraktion verlangt [2] nach einem digitalen Immunsystem.

    Es kann nicht sein, dass Dr. Müller von nebenan für dessen Finanzierung gradesteht, wenn er seine Preise nicht selbst bestimmen darf.

    Ich würde mich freuen, darüber mit Ihnen ins Gespräch zu kommen.

    Herzliche Grüße

    Joachim Jakobs

    [1]
    https://www.aerztezeitung.de/praxis_wirtschaft/digitalisierung_it/datenschutz/article/979959/offener-brief-spahn-sorgen-it-sicherheit-gesundheitswesen.html
    [2]
    https://www.security-insider.de/digitale-transformation-verlangt-nach-kollektivem-dauerlauf-a-824480/

  2. Hervorragend!! Jetzt muss eigentlich jedem Kollegen klar sein, dass der TI-Konnektor nicht nur eine Totgeburt ist, sondern dass man uns Ärzte bezügl. Haftungsrisiko, Kosten, Datenschutz etc. mit Floskeln und allgemeinen Beschwichtigungen verarscht!! MEDI hat sauber recherchiert, ohne Polemik, aber mit Fakten. Im Gegensatz zu den Erfüllungsgehilfen der Politik (KBV, BSI, IT-Industrie). Selbst Techniker, die den Mist installieren müssen, schütteln nur den Kopf über diese veraltete Technik. Aber der alte Mist muss raus, so hat man es beschlossen und die Dummen sind wir. Jetzt muss man eigentlich nur noch den ersten Hackerangriff abwarten, und wann der erste Patientendatenklau publik wird.

    Ich hoffe, dass viele Kollegen sich nicht vom allgemeinen Druck beeinflussen lassen.

    Nicht installieren – etwas anderes kommt nicht infrage!!

    Danke an MEDI!!

  3. Vielen Dank! Natürlich freue ich mich über jedes Lob und jede Unterstützung, weil der Widerstand gegen den Konnektor mit dem Ende des Bestelltermins deutlich kleiner geworden ist. Dabei wäre es aus meiner Sicht doch so einfach, hier einmal zu zeigen, dass man NICHT alles mit sich machen lässt.
    Wir stellen in den nächsten Tagen eine FAQ-Liste aus unseren letzten Veranstaltungen zum Konnektor online und werden außerdem veröffentlichen, welche KVen die Widersprüche bezüglich der unvollständigen Kostenerstattung ruhen lassen.
    #KonnektorfreiePraxen. Wir machen angstfrei weiter!

  4. Alles richtig, danke. Allerdings kreisen Ihre Bedenken zuvörderst um die Sicherheit von uns Niedergelassenen. Das ist verständlich, aber dadurch wird der Ernst der Lage für die gesamte gesetzlich versicherte Bevölkerung etwas in den Hintergrund gedrängt. Das Problem sind natürlich auch die Konnektoren – hier können Angreifer so einige Daten rauben, vergleichbar mit einem physischen Praxiseinbruch. Das viel größere Problem ist jedoch die zentrale (!) Speicherung aller Millionen ePa‘s in einem Rechenzentrum. Hier können Angreifer sehr viel mehr Akten rauben als bei einem Praxiseinbruch – Millionen von Akten können „in einem Rutsch“ gestohlen werden. Und das ist ja in den USA und Norwegen auch bereits passiert. Der Schaden für die gesetzlich versicherte Bevölkerung ist unermesslich – immerhin sind Krankenakten (etwas verharmlosend neuerdings immer „Gesundheitsdaten“ genannt) die sensibelsten und persönlichsten Daten überhaupt. Nach einer genügend langen Reihe von Hacks/Leaks wird auf lange Sicht m.E. das ganze GKV-System diskreditiert. Die Menschen werden deutlich vorsichtiger und misstrauischer werden, wenn sie einen Arzt oder Therapeuten aufsuchen. Und das zu Recht. Die ärztliche Schweigepflicht, welche nicht umsonst ein zentrales Gebot/Gesetz im Gesundheitsbereich ist, wird de facto (weil Diagnosen, Befundberichte inkl. Anamnesen, Medipläne etc. hochgeladen werden) unterhöhlt und unglaubwürdig – egal, wie verantwortungsvoll sich der einzelne Behandler auch daran hält. Sie wird auf lange Sicht als leeres Versprechen, als Worthülse ohne Substanz wahrgenommen werden. Mit all den vielfältigen Folgen, die das nach sich zieht. So gesehen wird gerade die langfristige Selbstabschaffung der GKV implementiert. Wer kann, wird – zwischen Teufel und Beelzebub wählend – in die PKV abwandern, welche immerhin sicherer ist als die TI. Ich jedenfalls werde das tun (und ich bin wahrlich kein Fan der PKV), wenn die ePa da ist und uns allen von den Krankenkassen verpflichtend „angeboten“ wird. Aus purem Selbstschutzinteresse bzgl. meiner absolut persönlichsten Daten.
    Das was gerade hinter dem und auf dem Rücken der Bevölkerung durchgepeitscht wird, „wird alles verändern“, wie es damals über das iPhone4 hieß. Ich weiß, das klingt paranoid.
    Ich freue mich jedenfalls, dass es bei dem ganzen Digitalisierungs-Wahn unserer Tage („Digitalisierung“: auch so ein gut und fortschrittlich und unausweichlich klingender Deckbegriff – man sollte lieber das Wort „Onlineifizierung“ benutzen, damit klarer wird, um was es dabei geht) einige wenige Leute wie Sie gibt, die die immens wichtige Frage der Datensicherheit nachdrücklich stellt. Denn, wie gesagt: es dreht hier nicht um Facebook-Likes.

    • Da bin ich zu 100 Prozent auf Ihrer Seite. Für mich gilt bei jeder Vernetzung der Praxen, dass keine zentrale Speicherung von Arzt- oder Patientendaten stattfindet. Die aktuelle TI ist aber genau auf das ausgerichtet!
      Wir erreichen aber die Patienten leider noch nicht, weil wir bei den Niedergelassenen keinen Konsens haben und stattdessen viel Resignation. Wenn wir so weiter machen, wacht auch die Öffentlichkeit auf. Aktuell geht es um Offenlegung der Probleme dieser veralteten Technik, die unsere Praxen und uns belastet. Wir machen weiter, Ziel ist die #KonnektorfreiePraxis und Verhinderung jeder zentralen Speicherung von Patientendaten. Ich freue mich sehr über Ihre Unterstützung!

  5. Herzlichen Dank für das Engagement in dieser unerträglichen Angelegenheit. Erfrischend informativ und klar ist auch das heutige Info-Fax: ein sehr deutlicher Kontrast zu den Drohbriefen mit ultimativer Aufforderung zum TI-Kauf von Softwarefirmen und der KVen, die zu Drückerkolonnen für Politik, Kassen und IT-Industrie herabgestiegen sind. Weiter so!!

    • Vielen Kollegen macht der Druck, eine zentrale Datenspeicherung mit unsicheren Konnektoren über eine TI installieren zu sollen, Angst.
      Ich habe mal gedacht, wir leben in einer Demokratie. Arbeiten wir weiter, auch als Ärzte und Psychotherapeuten, am Abbau dieser?
      Welche Folgen kommen durch unser Verhalten auf die nächsten Generationen zu?

      https://www.aerzteblatt.de/nachrichten/100202/Neuen-Sicherheitsmassnahmen-stehen-stets-auch-neue-Angriffsmoeglichkeiten-gegenueber

      “In Deutschland bezeichnete Ex-Bundesjustizministerin Sabine Leutheusser-Schnarrenberger Gesundheitsdaten als „die sensibelsten Daten, die wir haben“. Aus gutem Grund: Gelangten sie etwa ins Internet, kämpften Betroffene nicht mehr bloß um ihre Gesundheit, sondern auch gegen Karriereknick, Stigmata und Verfolgung – ohne eine Chance, den Daten zu entkommen.

      Diese Macht unserer Daten weckt Begehrlichkeiten. Erhebungen aus den USA zeigen, dass für Patientenakten ein lukrativer Schwarzmarkt existiert. Für eine halbe Millionen US-Dollar etwa verkauften Kriminelle 2016 eine einzige erbeutete Datenbank. Darin lagen knapp zehn Millionen Patientenakten. Noch nicht eingerechnet sind Einnahmen, die der Verkäufer zuvor durch Erpressung der Betroffenen erzielt hatte. Doch was, wenn es um politische Einflussnahme geht? Vor Geheimdiensten ist sogar das Handy der Bundeskanzlerin nicht sicher.”

Kommentar zum Thema schreiben