Hinweise zur Datensicherheit der TI-Komponenten in der Praxis

06.02.2025

Das Vertrauen in die Sicherheit der Telematikinfrastruktur (TI), das sichere Netz im Gesundheitsbereich, ist unabdingbar für Ihre Arbeit in der Praxis. Auf Grund von im Dezember aufgedeckten Schwachstellen, im Vorfeld der Einführung der elektronischen Patientenakte (ePA), möchten wir Sie zu möglichen Risikofaktoren in der Praxis informieren.

Wo liegt das Problem?

Der Chaos Computer Club (CCC) hat Ende 2024 öffentlich auf ein technisches Sicherheitsproblem der ePA-Server aufmerksam gemacht. Es könnte Angreifern theoretisch ermöglichen, auf sämtliche elektronische Patientenakten (ePA) zuzugreifen, ohne dass jeweils die elektronische Gesundheitskarte (eGK) gesteckt wird.

Die IT-Experten des CCC hatten sich für den Test illegal Zugang zur Telematikinfrastruktur (TI) verschafft, über die die ePA läuft. Und das auf eine recht triviale Weise, die sich vermeiden lässt.

Als Konsequenz aus den Veröffentlichungen ist die gematik nun dabei, in enger Abstimmung mit dem Bundesministerium für Gesundheit (BMG) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI), die Schwachstellen in der Sicherheitsarchitektur der ePA zu beheben. Erst wenn dieser Vorgang abgeschlossen ist, soll der bundesweite Rollout erfolgen, das hat Bundesgesundheitsminister Karl Lauterbach zugesichert.

TI vor illegalen Zugriffen schützen

Ärzte und Psychotherapeuten sollten vor dem Hintergrund der aufgezeigten Schwachstellen generell wachsam sein, was die Komponenten betrifft, die den Zugang in die TI ermöglichen. Dabei geht es um den Konnektor, das Kartenterminal und den Praxisausweis in Form der SMC-B-Karte. Besonders kritisch ist deren Weitergabe oder der Verkauf, zum Beispiel bei einer Praxisabgabe.

Insbesondere die SMC-B-Karte, die (meist mittels Versiegelung) im Kartenterminal steckt und aufgrund ihrer geringen Größe schnell übersehen werden kann, darf nicht wie ein gewöhnlicher Teil der Praxisausstattung behandelt werden. Sie ist der Schlüssel zur TI: Zusammen mit der elektronischen Gesundheitskarte (eGK) des Patienten gewährt sie den Zugang zur TI und damit zu den dort liegenden medizinischen Daten.

Die SMC-B-Karte ist daher ebenso sensibel zu handhaben wie der elektronische Heilberufsausweis und ist vom Sicherheitniveau vergleichbar mit dem Bundespersonalausweis. Die zugehörige PIN darf niemals leichtfertig an Dritte herausgegeben werden. Mit ihr melden sich Praxen täglich in der TI an. Ansonsten wird die PIN beispielsweise bei der Erstinstallation des Konnektors benötigt. Bei dem Schritt unterstützen häufig IT-Dienstleister.

Aufgrund von Praxisauflösung nicht mehr benötigte SMC-B-Karten dürfen daher auf keinen Fall mit den Konnektoren und Lesegeräten verschrottet oder abgegeben werden.

Wie entsorge ich meine nicht mehr benötigte SMC-B-Karte/meinen eHBA sachgerecht?

Grundsätzlich sollten Sie die SMC-B-Karte/ den eHBA im Kundenportal Ihres Anbieters (D-Trust, Medisign, T-Systems) sperren. In Bezug der SMC-B-Karte sollte diese zusätzlich aus dem Konnektor bzw. Kartenlesegerät entnommen und mechanisch unbrauchbar (durch zerschneiden des Chips) gemacht werden.

Wie kann ich nicht mehr benötigte Konnektoren und E-Health-Kartenterminals richtig entsorgen?

Um einen Konnektor oder ein E-Health-Kartenterminal sachgemäß zu entsorgen oder auszutauschen – z. B. weil die Gültigkeitsdauer des Geräts abgelaufen ist – empfiehlt die gematik folgende Schritte:

Der Konnektor muss deregistriert und auf Werkseinstellungen zurückgestellt werden, wenn dieser dauerhaft außer Betrieb genommen wird.
Achten Sie bei der Entsorgung von Kartenlesegeräten darauf, dass keine SMC-B mehr in den Lesegeräten stecken. Überprüfen Sie dazu das versiegelte Fach auf der Rückseite des Gerätes. Ist die SMC-B Karte oder die gSMC-KT (gerätespezifische Security Module Card des Kartenterminals) noch gültig, kann sie in einem anderen Kartenterminal der Praxis weiterverwendet werden. Anderenfalls ist es notwendig die Karte mechanisch zu zerstören. Sofern Konnektoren sowie Lesegeräte in anderen Praxen weiterverwendet werden, müssen die Konfigurationen der Geräte vorher gelöscht worden sein.
Sowohl Konnektor als auch E-Health-Kartenterminals dürfen nicht im Hausmüll entsorgt werden.

Ein Weiterverkauf der Hardware mit Weitergabe der SMC-B Karte kann strafrechtliche Konsequenzen nach sich ziehen, wenn damit z.B. ein unberechtigter Zugang zur Telematikinfrastruktur erlangt wird.

Die fachgerechte Entsorgung der Hardware ist im Produkthandbuch des Anbieters geregelt.

Externe IT-Dienstleister mit falschen Identitäten

Um unbefugte Zugriffe auf die Praxis-IT und damit auf die besonders sensiblen Behandlungs- und Abrechnungsdaten zu verhindern, sind weitere Schutzmaßnamen erforderlich. So ist besondere Sensibilität gegenüber externen IT-Dienstleistern geboten. Denn zunehmend geben sich Kriminelle mit falschen Identitäten und Dokumenten als IT-Fachkräfte aus, um an Daten heranzukommen. Deshalb sollten Ärzte, Psychotherapeuten und deren Mitarbeitende sorgfältig verifizieren, ob beispielsweise ein Anrufer tatsächlich die Person ist, die sie vorgibt zu sein. So können sie die ihnen bekannte Support-Nummer ihres Dienstleisters wählen und dort nachfragen.

Phishing-Kampagnen und Trojaner

Kriminelle arbeiten häufig remote. Sie versuchen mit unterschiedlichen Angriffsmethoden, aus der Ferne Zugriff auf die Praxis-IT zu bekommen. Eine häufige Methode sind Phishing-Kampagnen, bei der die Opfer meist per E-Mail aufgefordert werden, vertrauenswürdige Daten preiszugeben. Oder sie werden dazu verleitet, Trojaner herunterzuladen und zu öffnen, die dann eine Schadsoftware installieren.

Besondere Vorsicht gilt deshalb bei Downloads und E-Mail-Anhängen von unbekannten Absendern. Letztere sollten im Zweifel gelöscht werden. Außerdem sollten die IT-Systeme regelmäßig auf Anomalien sowie auf Aktualität überprüft werden. Unverzichtbare Schutzmaßnahmen sind ein aktueller Virenscanner und eine Firewall.

Unterstützung durch zertifizierte Dienstleister

Für Ärzte und Psychotherapeuten kann es ratsam sein, sich externe Unterstützung zu holen, wenn es um Datensicherheit geht. Welche Maßnahmen sie zum Schutz ihrer Praxis-IT ergreifen müssen, beschreibt die IT-Sicherheitsrichtlinie der KBV. Außerdem bietet die KBV eine Liste mit IT-Dienstleistern an, die speziell für die Umsetzung der Vorgaben aus der IT-Sicherheitsrichtlinie zertifiziert wurden und bei denen sich Praxen Hilfe holen können.

Link zum Thema IT-Sicherheitsrichtline

Ansprechpartner:

0351 8290-6789

beratung-digitalisierung@kvsachsen.de

Weiterführende Informationen:

Themenseite der KBV zur IT-Sicherheitsrichtline

Hinweise der gematik zur Entsorgung von Konnektoren

Stellungnahme der gematik zu dem CCC-Vortrag

Ressort Zentrale Dienste/Fachbereich Digitalisierung/hoh

Aktuelle Informationen

Praxis-News

Bekanntmachungen

KVS-Mitteilungen

Newsletter für Mitglieder

Veranstaltungen für Fort- und Weiterbildung

Corona

Schutzimpfung gegen COVID-19

Behandlung

Beratungsservice

Allgemeine Verwaltung

Bereitschaftsdienst

Buchhaltung

Digitalisierung

Honorar

Qualität

Verordnung

Zulassung und Niederlassung

Bereitschaftsdienst

Honorar und Abrechnung

Allgemeine Informationen

Förderungswürdige Leistungen

(Drohende) Unterversorgung, lokaler Versorgungsbedarf

Delegationsleistungen

Elektroenzephalographische Untersuchungen (EEG)

Prostatabiopsien

Konservative Leistungen von konservativ tätigen Augenärzten

Augenärztliche Versorgung von Kindern

Konservative teleophthalmologische Leistungen von Augenärzten

Fachärztliche Versorgung durch Kinderärzte mit Zusatzweiterbildung

Gastroskopieleistungen

Grundlagen

EBM

Kodierung (ICD-10-GM)

Abrechnung und IT

Gesamtvergütung

Honorarverteilungsmaßstab

Erteilung von Regelleistungsvolumen

Gesamtverträge

Honorar

Honorardaten

Honorar- und Abschlagszahlung

Verwaltungskostenumlagen

Hybrid-DRG

Einreichung

Informationen zur Abrechnung

Richtigstellung

Notarztabrechnung

Quartalsabrechnung

Abrechnungshinweise

Abrechnungsabgabe

Vorabprüfung der Quartalsabrechnung

Online-Abrechnung

Erklärung zur Abrechnung

Weitere Abrechnungsunterlagen

Kriegsflüchtlinge aus der Ukraine

Behandlung von Geflüchteten

Sonstige Kostenträger

Sozialversicherungsabkommen (Auslandskrankenversicherte)

Plausibilitätsprüfung

Terminservice- und Versorgungsgesetz (TSVG)

Innovative Versorgungsprojekte

Elektronische Visite in Pflegeeinrichtungen

IT in der Praxis

Aktuelle Informationen

Telematikinfrastruktur

Finanzierung

TI-Einsteiger / Übersicht

Kartentypen / Elektronische Signaturen

Kommunikationsdienst im Medizinwesen (KIM)

Verzeichnisdienst (VZD)

Anwendungen in der Telematikinfrastruktur

Versichertenstammdatenmanagement (VSDM)

Notfalldatenmanagement (NFDM)

elektronischer Medikationsplan (eMP)

elektronischer Arztbrief (eArztbrief)

elektronische Arbeitsunfähigkeitsbescheinigung (eAU)

elektronisches Rezept (eRezept)

Elektronische Patientenakte (ePA) 3.0 – „ePA für alle“

Digitale Anwendungen im Gesundheitswesen