Herr Diening, welche Maßnahmen muss der Arzt bei der Installation des Konnektors oder Kartenterminals ergreifen?
Der Arzt ist verpflichtet, bei der Installation und Konfiguration die jeweiligen Anweisungen und Handbücher der Hersteller zu beachten. Dies sind jene Anforderungen, die mit dem BSI abgestimmt wurden. Wenn er sie befolgt, hat er in Bezug auf die TI-Komponenten das Notwendigste getan. Ich möchte aber betonen: Konnektor und Kartenterminal gehören zur IT des Arztes. Für die IT in der Praxis ist der Arzt insgesamt verantwortlich. Es ist nicht sinnvoll, zwischen Praxis-IT und TI-Komponenten zu trennen.
Gibt es bei den Sicherheitseinstellungen von Router und Firewall besondere Anforderungen beim Anschluss an die TI zu beachten?
Die gematik kann hier keine pauschale Empfehlung abgeben. Jede Praxis-IT ist individuell. So bietet bspw. jeder Router eigene Möglichkeiten zur Konfiguration. Die jeweiligen Einstellungen hängen zudem von der für die Praxis gewählten Anschlussvariante des Konnektors (Seriell- oder Parallelbetrieb, die Redaktion) ab. Um die passende Anschlussvariante für den Arzt zu finden, erwarten wir ein Beratungsgespräch zwischen ihm und dem Dienstleister. Der Arzt muss dann entscheiden, wie die Konfiguration angepasst werden soll. Ein wichtiger Punkt: Es ist unsere Erwartungshaltung, dass der reguläre Praxis-IT-Betreuer bei der Installation des Konnektors zugegen ist und sie am besten selbst vornimmt. Wenn in der Praxis zwei unterschiedliche IT-Unternehmen agieren, kann es zu Schwierigkeiten kommen. Der Arzt – sozusagen der Bauherr seiner IT – ist in der Verantwortung für die Steuerung der Dienstleister.
Zum Jahreswechsel hat der Chaos Computer Club (CCC) festgestellt, dass es bei der Ausgabe des Praxisausweises (SMC-B) Sicherheitslücken gab. Nervt es Sie, dass der CCC immer wieder solche Sicherheitslücken entdeckt?
Keineswegs. Wir haben einen sehr guten Draht zu Mitgliedern des Chaos Computer Clubs, der eine sehr wichtige Arbeit leistet. Dass der CCC die Sicherheitslücke aufgedeckt hat, hilft uns, die Kartenausgabe-Prozesse sicherer gestalten zu können. Für die Zukunft möchten wir für die Karten-Herausgabe der Heilberufs- und Praxisausweise einheitliche Identifikationsverfahren durchsetzen, welche nicht mehr spezifisch durch die Sektoren geregelt, sondern zwischen den Anbietern und der gematik verhandelt werden. Wenn diese etabliert sind, müssen alle Kartenherausgeber auf eines dieser Verfahren wechseln.
Für wie realistisch halten Sie einen Angriff mit einem Computervirus, den sich das IT-System der Praxis eingefangen hat, auf den Konnektor oder das Kartenlesegerät?
Das halte ich für äußerst unrealistisch. Wenn Sie als Hacker einen Angriff planen, haben Sie drei Prämissen: Er soll aufwandsarm, ertragreich und risikofrei möglich sein. Würden Sie unter diesen Prämissen ein Kartenterminal angreifen? Ein Angreifer, der es tatsächlich schafft, einen Trojaner in einen Arzt-PC einzuschleusen, würde vermutlich niemals auf den Gedanken kommen, ausgerechnet auch noch die sichersten Komponenten in der gesamten Arztpraxis – also das Kartenlesegerät und den Konnektor – anzugreifen. Denn die eigentlichen Daten liegen nicht dort, sondern auf dem Praxis-PC.
Herr Diening, vielen Dank für das Interview.
Johanna Braun
Referentin für Presse- und Öffentlichkeitsarbeit
gematik GmbH | Berlin
Telefon: 030 40041-441
presse@gematik.de