Angriff der Konnektoren

10. Januar 2019

Ärzten bleiben nur noch drei Monate, um ihre Praxen mit der Telematik-Infrastruktur auszustatten. Der Aufwand ist hoch und nicht alle Systeme funktionieren. Wir fragten nach, wie Ärzte auf den Druck von oben reagieren – und warum sie finden, dass die Technik „großväterlich“ ist.

Eigentlich sollten Ärzte ihre Praxen per Konnektor bis zum 1. Januar 2019 an die Telematik-Infrastruktur anbinden. Doch Hersteller hatten anfangs Probleme, Hardware-Komponenten bereitzustellen. Ein Kompromiss sieht vor, dass alle Praxen, die bis 31. März 2019 alle Komponenten nachweislich bestellt haben, bis 30. Juni 2019 keine Sanktionen zu befürchten haben. Allen anderen drohen Honorarkürzungen von einem Prozent. Und nicht nur das: Nach Informationen der Kassenärztlichen Bundesvereinigung kann es zu Problemen kommen, falls alte Lesegeräte für Versichertenkarten ausfallen. Denn die neue Karten-Generation läuft nur mit Kontakt zur Telematik-Infrastruktur. DocCheck fragte bei niedergelassenen Ärzten nach: Haben Sie bereits einen Konnektor? Wie sieht es mit der Software und mit anderen Hardware-Komponenten aus? Oder haben Sie sich bewusst gegen einen Konnektor entschieden?

Sicherheit: Jedes Netz ist angreifbar

Dr. Harald Tegtmeyer-Metzdorf, Kinderarzt aus Lindau, ist unzufrieden mit der Sicherheit: „Eine zentrale Datenspeicherung bietet keine zuverlässige Datensicherheit. Nur dezentral abgelegte Patientendaten sind unattraktive Ziele für Hacking“, schreibt er. „Alle möglichen Hochsicherheitsnetze sind schon gehackt worden, und die Fachleute sind sich darüber einig, dass es immer nur eine Frage der Zeit ist, bis auch die neuesten Sicherheitsmaßnahmen umgangen werden können.“

Damit nicht genug. Wie ein anderer Kollege berichtet, seien nicht alle vorab vereinbarten Standards tatsächlich umgesetzt worden.

  • Beim Stand-alone-Szenario mit physischer Trennung erfolge die Online-Prüfung von Versichertenstammdaten (VSDM) an einem separaten Kartenterminal und Konnektor mit Netzzugang, die nicht mit dem Arztinformationssystem (AIS) verbunden sind. Die Variante bietet maximale Sicherheit.
  • Beim Stand-alone-Szenario mit logischer Trennung werden das AIS und Online-Zugang nur durch Schaltungen in einem Konnektor voneinander separiert.

Im Fachdokument der gematik sind beide Varianten zertifiziert worden. „Wir wollten in der Praxis die Variante mit physischer Trennung anschaffen, obwohl diese doppelt so teuer gewesen wäre“, berichtet ein  Arzt. „Leider warte ich bis heute (seit ca. 1,5 Jahren) auf ein entsprechendes Angebot unseres Systemhauses.“

Doch die Datenschutzverantwortung bleibe am Praxisinhaber hängen, nicht nur bei Aspekten der TI. Das bestätigt ein anderer Arzt: „Ich werde die IT nicht anschließen, es fehlen Sicherheiten der Datenfolgevereinbarungen. Und wenn Hardware-Provider diese nicht liefern (brauchen/können) bleibt die Verantwortlichkeit eines Datenmissbrauchs immer beim Arzt hängen, der die Daten ja ‚freiwillig‘ in die Cloud schickt.“

Technik von gestern für Ärzte von morgen

Dr. Cornelia W., eine Zahnärztin, stört sich auch an wenig zeitgemäßen Funktionalitäten: „Wenn im Supermarkt schon das kontaktlose Bezahlen bzw. der kontaktlose Abgleich mit Bonuskarten möglich ist, dann sollen die Arzt- und Zahnarztpraxen sich das hygienisch viel schlechtere System mit Arztkarte und eGK in einem Lesegerät antun?“ Sie wundert sich, warum das Robert Koch-Institut dem Treiben keinen Einhalt biete. „Wenn hier schon geplant wird, dann bitte über eine Handy-App und natürlich kontaktlos. Alles andere ist großväterlich.“

Weitere Defizite fand ein Mediziner bei seiner Analyse: „Die aktuelle Hardware ist nicht zukunftssicher.“ In der zweiten Ausbaustufe hätten Patienten die Option, digital gespeicherte Informationen wie E-Medikationspläne, Laborwerte per Pin für den Arzt freizugeben. „Die aktuellen TI-Kartenlesegeräte haben aber kein abgesetztes Zahlenfeld für den Patienten, es ist also schon wieder in neue Hardware zu investieren, wenn der Patient nicht jedes Mal hinter die Empfangstheke kommen soll.“

Ausgaben: Nicht alle Kosten werden erstattet

Apropos Ausgaben: Ein weiterer Kollege erzählt, er habe die Komponenten bestellt, aber noch nicht installiert. „Ärgerlich ist neben den nicht voll erstatteten Anschaffungskosten eine Servicegebühr von rund 70 Euro im Monat, die mein Praxis Software-Unternehmen verlangen kann, nachdem es erst Mitte 2018 einen passenden Dienst/Konnektor gefunden und empfohlen hat“, moniert er im Kommentar. „Nutzen für mich als Arzt gleich null, hoffe auf künftige Entwicklungen.“

Seine Meinung ist kein Einzelfall: „Die Finanzierung ist bei weitem nicht kostendeckend, da die Anbieter per se schon mal den gesamten Pauschalbetrag für sich beanspruchen“, bestätigt ein Kollege. Dazu kämen dann noch weitere Kosten, die natürlich im Pauschalpaket nicht enthalten seien. Ein Teil des Budgets hätte auch für Schulungen oder Betriebsausfälle verwendet werden müssen. Zur Erhöhung der Ausfallsicherheit wäre beispielsweise ein zusätzliches Lesegerät sinnvoll. „Ich musste mir von unserem Systemhaus vorwerfen lassen, ob ich denn die Absicht hätte, an der TI-Einführung auch noch Geld verdienen zu wollen. Eine Frechheit!“

Patienten profitieren nicht

Ärzte haben also viel Arbeit, sie tragen das Risiko und Teile aller Kosten. Bringen neue Technologien wenigstens den Patienten etwas? „Die Idee, Patientendaten per EDV zu verwalten, ist grundsätzlich gut“, relativiert ein Vertreter der nichtmedizinischen Berufe. „Ich bezweifle aber stark, ob dadurch der Patient ein Plus erfahren wird.“ Akten seien oft fehlerhaft, und eine Korrektur der Eintragungen scheine systembedingt nicht möglich zu sein. „Ärzte haben die Gewohnheit Patientenakten, so meine Erfahrung, quer zu lesen“, ergänzt der Kommentator. Ein sorgfältiges Lesen von Akten nehme viel Zeit in Anspruch. Analog oder digital macht hier keinen Unterschied.

„Freiheit für 1 Prozent“

Welche Möglichkeiten bleiben Medizinern angesichts des Desasters noch? „Die Ärzte sollten sich so zusammentun, dass das Projekt weiterläuft wie der neue Flughafen in Berlin – sprich: nie fertig werden“, sagt Dr. Cornelia W., die Zahnärztin. Ein erster Ansatz könnte die Initiative „Freiheit für 1 %“ sein. Ärzte und Psychotherapeuten schließen sich zusammen, um Kollegen zu unterstützen, die keine Telematik-Infrastruktur wollen. Ihr großes Ziel ist aber, das Vorhaben komplett zu unterbinden.

48 Wertungen (4.83 ø)
Bildquelle: Paul Sableman, flickr / Lizenz: CC BY
Um zu kommentieren, musst du dich einloggen. Einloggen

13 Kommentare:

Apotheker

@#11:
Es geht ja nicht um individuelle Daten sondern um eine Infrastruktur in der man die Daten der ganzen Bevölkerung abgreifen kann.
Wenn ihnen ein Foto auf Twitter schon peinlich erscheint, was wären dann jemand bereit zu zahlen um geheim zu halten dass er HiV oder oder Krebs hat, seine persönliche Geschichte psychischer Probleme oder seine Historie mit sexuell übertragbaren Krankheiten?

Vor allem kann ich sonst gehackte Daten wie Passwörter ändern, meine Gesundheitsdaten bleiben aber unveränderlich. Vielleicht wird ja ein Enkelkind nicht in die Polizei- oder Pilotenschule aufgenommen weil es in der Familie eine Geschichte psychischer Erkrankungen gibt. Oder man kommt nur in den genuß eines teuren privaten Krankenkassentarifs weil es eine genetische Prädisposition für Krebs- oder Herz-Kreislauf-Erkrankungen gibt. In den meisten Fällen wird man dies auch nicht ohne weiteres erfahren, die anderen Bewerber waren einfach “besser geeignet”.

@#12: digitale Interaktionschecks können wir schon seit über einem Jahrzehnt, dazu braucht man keine zentrale Datenbank. Die Verordnungsdaten könnte man möglicherweise bei einer der über 300 GKVen für die jeweils dort versicherten Patienten abgreifen. Sofern die GKVen überhaupt die deanonymisierten Daten über die Medikation der bei ihnen versicherten haben, sollten sie nämlich eigentlich nur in einzelfällen. Dort ist aber der Zugang doch strenger beschränkt als wenn ich über das knacken einer von 100.000 Arztpraxen Zugriff auf die gesamte Telematik-Infrastruktur mit allen Versicherten darin bekomme.

Die bisherigen Anwendungen haben ja teilweise Probleme mit den rudimentärsten Sicherheitsmechanismen. Artikel dazu gabs in der FAZ oder dem Ärzteblatt, den Originalvortrag findet man unter “35C3: All your Gesundheitsdaten are belong to us”

Quellen:
https://www.faz.net/aktuell/feuilleton/debatten/problem-mit-den-gesundheitsdaten-krankenkassen-app-vivy-beim-35c3-15962807.html
https://www.aerzteblatt.de/nachrichten/100202/Neuen-Sicherheitsmassnahmen-stehen-stets-auch-neue-Angriffsmoeglichkeiten-gegenueber
https://media.ccc.de/v/35c3-9992-all_your_gesundheitsakten_are_belong_to_us

#13 |
  0
Maximilian Trüpschuch
Maximilian Trüpschuch

An alle die hier so vehement auf die Kosten schimpfen und sich trotzig ob der von oben verordneten Lösung zeigen, weil sie als Selbstständige in ihrer Freiheit beschnitten werden…

Denen möchte ich sagen: auch wir werden auf absehbare Zeit davon betroffen sein und ich verstehe die Klagen, dennoch können und werden digitale Medikamentenpläne Leben retten. Man denke an die Notfallmedizin oder endlich vernünftige Interaktionschecks. Darauf möchte ich nicht verzichten, das heutige analoge System ist hier doch dysfunktional…

Wer heute Patientendaten möchte, müsste nur ein Rechenzentrum der Krankenkasse hacken und hat alle Rezept- und Krankendaten, also wird die Gefahrenlage nicht schlimmer als vorher.

#12 |
  10
Apotheker

Die Zwangsdigitalisierung der Gesellschaft ist der falsche Weg, ich kann das Thema kaum noch hören. Trotzdem glaube ich, daß gerade individuelle Gesundheitsdaten für Hacker wenig attraktiv sind, sie lassen sich nicht verkaufen und im Gegensatz zu einem persönlichen Foto ist ein auf Twitter gepostetes Blutbild nicht peinlich. Einzige Gefahr wären eventuell Nazis, die unser Leben danach bewerten könnten. Die kommen aber nur, wenn wir sie wählen. Wir müssen unsere Demokratie schützen, dann sehe ich in der zentralen Datenverarbeitung kein Problem.

#11 |
  9
Zahnarzt

ich bin karteikartenlos und nahezu volldigitalisiert , mit Riesenaufwand Netzwerksicherheit und Firewall und Antivirusprogrammen und Systemadministrator und seit Dezember 2017 schon TI – Installationsbereit.
Was hat nicht geklappt ? Die Hardwarebeschaffung und die Anbindung durch das IT Unternehmen in Kooperation mit Systemspezialisten.
Und ich muss das alles bezahlen, soll mir nur einer der KZV oder Politik vor die Flinte kommen. Keine Deeskalation mehr. Viele Grüße.

#10 |
  3
Student der Zahnmedizin

Wollen die Patienten, dass ihre Daten in die Cloud geschickt werden?
Dürfen die Patienten dem Upload widersprechen?

#9 |
  0
Psychotherapeut

Guten Tag zusammen!
Der Nutzen für Psychotherapeut*innen geht gegen Null. Außer dass wir den KK die Arbeit abnehmen sollen und die Kosten für bürokratische Tätigkeiten.
Ferner werden die Konnektoren nur fünf Jahre halten, sollen dann ausgetauscht werden. Wer zahlt das?
Regelmäßige Kosten für den “Arztausweis” fallen ebenfalls an. Und wenn ich nur daran denke, wie oft die Leitung zwischen der Hauptstelle und der Nebenstelle meiner Praxis gestört ist, dann erhalte ich einen Vorgeschmack auf den zusätzlichen Zeitaufwand.
Nein danke! Ich kann nur raten, sich dem Irrsinn nicht anzuschließen. Eine Zentrale Speicherung von sensiblen Patientendaten ist ein No-go! Im Übrigen sind die Österreicher schon weiter. Sie haben schon den Zugang zu den Daten erleichtert, angeblich zu Forschungszwecken. Und was eigentlich, wenn die Rechten mal wieder am Drücker sind?
“Schönen” Abend noch.

#8 |
  1

Eigentlich Telematik kann gegen Datenschutzgesetz gut arbeiten.
Dann eine Frage
Wenn Patienten wollen nicht überhaupt mit Telematik und keine zuverlässige Datensicherheit haben? Eigentlich müßen Ärzte jeder Patient fragen ob sie/er einverstanden ist. Gegebenen Falls ist es die Schuldhaftigkeit.

#7 |
  3
Medizininformatiker

Es ist schon richtig, es gibt keine absolute Sicherheit für Netzwerke wenn sie nicht physisch abgeschottet sind. Das gilt auch für Clouds!
Die Technik und Informatik ist absolut veraltet und nicht auf die zukünftigen Anforderungen und Möglichkeiten ausgelegt. Hier wird wie in der Automobilindustrie die alte Technik verkauft und wie immer schon so dermassen geblockt dass nur durch Neuanschaffungen der nächste Zeitensprung geschafft werden kann. Im Gesundheitswesen liegt das Geld ja auch auf der Strasse wenn man mal vergleicht was für die IT für Kosten aufgeboten werden obwohl die gleiche Technische Infrastruktur in anderen Bereichen bis um die Hälfte günstiger offeriert werden kann. Naja, so ist das eben, es bleibt wenig Zeit sich neben dem Medizinischen auch noch mit allem anderen zu beschäftigen. Bezeichnend dabei, dass die Systemhäuser immer noch nicht aufgeflogen sind und immer noch so hoch gejubelt werden. Abhängigkeit ohne Grenzen macht einen schmalen Geldbeutel und das ist vielerorts in vielen Gewerken zu beobachten.

#6 |
  1
Dr. med Edgar Mestre
Dr. med Edgar Mestre

Was diskutiert ihr lange herum?
STREIKEN ist die Lösung.
Aber Verweigerungshaltung ist nicht so des Deutschen Arztes “Stil”.
Darum sind Deutsche Aerztinnen und Aerzte auch die am besten
von der Politik verarschte Berufsgruppe.
Und sie sagen noch danke dazu.
Viel Spass noch!

#5 |
  3

Wer es ob des jüngsten Datenskandals in den Kreisen von Politikern noch immer nicht begriffen hat, wie “großartig” es um die Datensicherheit (weltweit!) beschert ist und sich trotz all dieser Warnungen als Praxisinhaber an die TI anschließen lässt, ist verantwortungslos sich selbst und seinen Patienten gegenüber. Wenn eines Tages die durch ihn erhobenen Daten seiner Patienten frei im Internet kursieren und er wegen Verstoßes gegen das Datenschutzgesetz mit 20.000 € Strafe zur Kasse gebeten wird, könnte es vielleicht sein, dass er begreift, was er da angerichtet hat, während die vernünftigen und konnektorfreien Kollegen nur milde dazu lächeln werden….

#4 |
  5
Nichtmedizinische Berufe

Die zwei erste Kommentare sind prinzipiell richtig. Die Sicherheit auf ein Cloud System sollte von der Theorie aus sicherer sein. Leider sind die Entwickler kein Sicherheitsexperten, oft werden Fehler begangen die eigentlich nicht gemacht werden dürfen. Die Betreiber solche Cloudsysteme übersehen oft Kleinigkeit die irgendwann zum Leck führen. Bei der Dezentrale Lösung ist es wahrscheinlich schlechter bestellt, hier sind die Betreiber keine Profis in der Sache IT, es ist ein Fach für sich. Deutschland bleibt leider, obwohl wir einige sehr gute Köpfe haben, ein Entwicklungsland.
Rechtanwälte usw. sollten schon lang vernetzt werden, bis jetzt ist es nicht gelungen ein System zu schaffen der allen Allen Anforderungen erfüllt. Ich fürchte, dass es hier nicht viel anders ist.

#3 |
  2

Die Vernetzung im Gesundheitswesen wird kommen und ist auch sinnvoll. Die Frage ist nur, ob wir es vermittels der KV möglichst selbst in der Hand haben oder amerikanische Internetkonzerne. Ein Patient, der in der IT tätig ist, hat mir neulich gesagt, dass Cloud-Lösungen sicherer seien als jede dezentrale, da man dort auch professionelle Datensicherung betreiben kann. Manchmal habe ich das Gefühl, in Deutschland ist man auch gegen die Dampfmaschinen.

#2 |
  41

Es ist ein Spagat zwischen Transparenz bzw Kommunikation und Diskretion bzw Datenschutz. Ich bin der Meinung dass die derzeitigen Kommunikationsmöglichkeiten sowie der Datentransfer absolut ausreicht es braucht nicht noch mehr Kontrolle von außen. Die Arzt-Patienten-Beziehung sollte diskret bleiben um die Vertrauensbasis zu halten. Dies wird durch die Telematikinfrastruktur sehr in Frage gestellt.

#1 |
  2


Copyright © 2019 DocCheck Medical Services GmbH
Sprache:
DocCheck folgen: