Einordnung zur aktuellen Medienberichterstattung bezüglich IT-Sicherheitslücken in Praxen

[17.12.2020] Aktuell berichten Medien, dass die elektronische Patientenakte (ePA) und die Telematikinfrastruktur, bzw. der dazu notwendige Konnektor, unsicher wären. Die Darstellung ist jedoch aus secunet Sicht nicht korrekt eingeordnet.

Das Angriffsszenario, welches hier dargestellt wird, bezieht sich, soweit wir das nach aktuellen Informationen beurteilen können, auf die fehlerhafte Konfiguration von zentralen Nicht-TI-Komponenten in der IT der Arztpraxis. Eine anfällige Arztpraxis IT bietet Hackern grundsätzlich eine Angriffsfläche und in Folge dessen auch die Möglichkeit auf Patientendaten, welche in der Arztpraxis digital gespeichert sind, zuzugreifen. Dies gilt für alle schwach konfigurierten und umgesetzten IT- Infrastrukturen mit und ohne Anschluss an die TI gleichermaßen.

Die Berichterstattung suggeriert, dass hier ein Fehler im Konnektor vorliegt. Dies ist jedoch nicht der Fall. Der Konnektor verhält sich gemäß der Spezifikation der gematik. Weiterhin wird suggeriert, dass ein Zugriff auf Daten aus einer ePA über die TI möglich war. Dies konnte zum Zeitpunkt der Veröffentlichung gar nicht möglich sein, da im Produktivbetrieb noch keine direkte Anbindung der ePA an einen Konnektor existierte und damit auch keine Daten über diesen Weg verfügbar waren.

Was die Berichterstattung sehr deutlich zeigt, ist die Tatsache, dass eine sichere IT-Infrastruktur im Gesundheitswesen nur möglich ist, wenn alle Komponenten in dem System die grundsätzlichen Sicherheitskriterien erfüllen. Dies bedeutet, dass insbesondere auch die angebundenen Leistungserbringerinstitutionen, wie Arztpraxen, Apotheken und Krankenhäuser sämtliche IT-Komponenten entsprechend Ihres Sicherheitsanspruchs prüfen und absichern müssen.

Update [06.01.2021]: Weiterführende Informationen hat heise.de in dem Artikel "rC3: Es krankt an der Sicherheit im Gesundheitswesen" am 30.12.2020 online gestellt: https://www.heise.de/news/rC3-Es-krankt-an-der-Sicherheit-im-Gesundheitswesen-5001060.html