Rechtzeitig zum Jahreswechsel 2019/2020 hatte die Telematik-Infrastruktur (TI) es mal wieder in die Schlagzeilen geschafft. Sicherheitsexperten des Chaos Computer Clubs (CCC) hatten elektronische Arztausweise, Praxis-Ausweise, Gesundheitskarten und Konnektoren über Dritte bestellt und an eine Wunschadresse liefern lassen. Die KBV hielt das für halb so schlimm, die gematik kritisierte die aufgedeckten Schwachstellen immerhin als nicht hinnehmbar und stoppte die Ausgabe fürs Erste.
Die Zeitschrift ct hat in der aktuellen Ausgabe jetzt allerdings eine Sicherheitsanalyse veröffentlicht, die nahe legt, dass es um die technische Seite nicht besser bestellt ist. Dazu hat man sich die in Praxen am weitesten verbreiteten Konnektoren von T-Systems und CGM vorgenommen. Sie verbinden Arztpraxen per VPN mit der Telematik-Infrastruktur. Der ct-Beitrag listet reihenweise Probleme: Zertifikatsfehler beim „Medical Access Port“ von T-Systems, überflüssige sicherheitsrelevante Open-Source-Komponenten, Updates aus ungesicherten Quellen … Die aktuelle Firmware-Version 1.5.3 von T-Systems hat diesem Beitrag zufolge 291 Hinweise auf klärungsbedürftige Verwundbarkeiten: 7 kritische, 117 hochbrisante und 167 mittelschwere. Konkurrent CGM listet die verwendeten Open-Source-Komponenten erst gar nicht, sodass man für die KoCoBox womöglich „vom schlimmsten Fall“ ausgehen muss.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist davon überzeugt, dass Praxen die Kompromittierung eines ihrer IT-Systeme im LAN nicht sicher verhindern können. Dabei ist ein unkompromittiertes Praxis-LAN für die Sicherheit der TI die unabdingbare Voraussetzung. Und eine einzige kompromittierte Praxis stellt die Sicherheit vieler elektronischer Patientenakten (ePA) infrage. Durch Fehler lassen sich womöglich nicht nur Gesundheitsdaten abgreifen und manipulieren, sondern auch in der ePA abgelegte Dokumente mit Viren und Trojanern verseuchen. Ein Horror-Szenario.
Die ct-Redaktion zieht das Fazit: „Bei höchstem Sicherheitsniveau, das für Medizin-IT und Gesundheitsdaten gefordert wird, ist dies nicht akzeptabel: Die Konnektoren müsste man derweil abschalten.“ Und beendet den Beitrag mit einen Vergleich, der zu denken geben sollte: „Dass das Gesundheitsministerium … den Ausbau der TI trotz aller Bedenken vorantreibt, erinnert an den euphorischen Fortschrittsglauben im viktorianischen Zeitalter. Damals hielt man die Titanic für unsinkbar und steuerte mit ihr trotz aller Warnungen unter Volldampf voraus – in den nächsten Eisberg.“
