Herr Jens Ernst ist selbständiger IT-Techniker aus Nordrhein-Westfalen. Seit er die Datenschutzmängel beim Anschluss von Arztpraxen an die Telematik-Infrastruktur öffentlich gemacht hat, ist sein Name in aller Munde.
Sabina von Thenen (Bereichsleiterin FCH Dental):
Herr Ernst, das E-Health-Gesetz von 2018 zwingt alle Zahnarztpraxen in Deutschland, einen TI-Konnektor zu installieren und sich darüber mit der Telematik-Infrastruktur (TI) zu verbinden. Die Idee dahinter ist, dass Informationen, die für die Behandlung von Patienten notwendig sind, zuverlässig untereinander ausgetauscht werden können.
Nun haben Sie – als IT-Experte – gravierende Datenschutz-Mängel festgestellt. Ist der Grund für die Datenschutzmängel beim Anschluss der Praxis an die Telematik-Infrastruktur (TI) zu suchen? Oder anders formuliert: Handelt es sich hier allein um einen Installationsfehler des Konnektors oder ist der Fehler beim Konzept der Telematik-Infrastruktur an sich oder bei der Umsetzung durch die gematik zu sehen?
Jens Ernst (IT-Experte):
Grundsätzlich sind alle drei von Ihnen genannten Aspekte problembehaftet. Das meiner Meinung nach größte Problem ist, dass keiner im Rahmen der TI eine Verantwortung anerkennt oder gar übernimmt. Im Gegenteil. Spricht man mit der gematik oder dem BGM bzw. BfDI oder LDI oder einem Dienstleister vor Ort, so hört man zu jeder Zeit „Das ist nicht unsere Verantwortung [Hier beliebige andere Partei einsetzen].“ oder ein geflügeltes „Wir machen das immer so!“. Fazit ist, jeder weist die Verantwortung von sich, und will selbst keine tragen. Die meisten Angesprochenen berufen sich auf den politischen Druck und wischen so jegliche Bedenken beiseite, nach dem Motto „Ja das ist nicht gut, aber es ist politisch so forciert.“ Allein die Ärzte sind in erster Linie als einziges haftbar für einen Datenverlust. Dabei scheuen die Verantwortlichen (z. B. KBV-Vorsitzende Dr. Kriedel sowie gematik) auch nicht davor zurück, Meinungsäußerungen in den Raum zu stellen, ohne dass eine rechtswirksame Grundlage hinter den Aussagen steht. So wurde mehrfach behauptet, die Ärzte würden nicht für den Konnektor und alle mit ihm in die Praxis gekommenen Probleme haften. Die Datenschutzkonferenz vom 12.09.2019 hat meinen Standpunkt dieser Problematik gefestigt. Ohne eine gesetzliche Regelung, welche nicht vorhanden ist und noch nicht einmal in Arbeit ist, haftet in erster Linie immer der Arzt (DSGVO). Wenn dieser rechtskräftig verurteilt ist, kann er sich im Rahmen des Regresses an gematik oder DvO wenden. Die Chancen gegen die gematik und damit gegen das BMG und damit gegen den Staat zu gewinnen, halte ich für nicht existent. Es gibt reichlich Papiere, die aufzeigen, wie es richtig gemacht werden sollte. Damit wird sich die gematik frei sprechen. Dass die Ärzte diese Papiere nicht verstehen und die DvOs fast grundsätzlich falsch anschließen, wissen die Verantwortlichen, es ist denen aber egal. Ich fordere seit Monaten einfache Sätze wie:
- Ein Router ist keine ausreichende Schutzeinrichtung für eine Praxis!
- Ein WLAN hat in einem Praxisnetz nichts zu suchen!
- Geräte, welche Bauart bedingt nicht geschützt werden können (keine Updatemöglichkeit, keinen Virenschutz), dürfen entweder nicht an das Praxisnetz oder müssen in eine DMZ!
Die gematik sagte mir dazu, ich habe recht, solch einfache Sätze wären wichtig und längst überfällig, jedoch stünden politische Interessen gegen die Veröffentlichung solcher einfachen Sätze.
Fazit ist: Derzeit sind nahezu alle Praxen unsicher angeschlossen. Das hat mehrere Ursachen. Nach eigenen Ermittlungen der gematik wurden mehr als 90 % (wir vermuten eher mehr) der Praxen parallel angeschlossen. Die gematik weist im eigenen TI-Handbuch jedoch auf Folgendes hin: „Im Parallelbetrieb ist keine Komponente des LAN durch den Konnektor vor unautorisierten Zugriffen geschützt. Ohne zusätzliche Sicherungsmaßnahmen haben alle Komponenten im LAN Zugriff aufeinander (somit auch eine potenzielle Schadsoftware auf einem der Geräte). Außerdem besteht kein Schutz vor Angriffen aus dem Internet. […] Da der Konnektor nicht als Firewall im LAN fungiert, ist der Parallelbetrieb nur für medizinische Einrichtungen geeignet, die bereits ein größeres LAN etabliert haben und über entsprechende Sicherheitsfunktionen gemäß dem BSI verfügen.“
Der Parallelbetrieb darf also nur dann aufgebaut werden, wenn eine den Grundschutzansprüchen genügend konfigurierte Firewall vorhanden ist. Den Dienstleistern vor Ort ist es aber egal, dass in den meisten Praxen keine dementsprechende Firewall vorhanden ist. Auch auf unseren Hinweis darauf, dass der DvO hier gegen die Zertifizierung handelt, wird die Installation fortgesetzt. Die Begründung dafür lautet: „Meine Firma ist größer als deine, also halte schön deine Klappe.“ (Dies ist leider tatsächlich ein Zitat). Den Unternehmen ist nicht an der Sicherheit gelegen. Aus abstrusen Datenschutzgründen nennen die Netzbetreiber die IP-Adressen nicht, die für eine sichere Konfiguration der Firewall existenziell wären. Damit ist ein sicherer paralleler Anschluss – wie ihn das BSI vorschreibt – nahezu unmöglich. In den meisten Praxen sind dadurch derzeit fast alle Rechner und Geräte schutzlos an einem Router angeschlossen, welcher keine ausreichende Sicherheit bietet. Anti-Viren-Programme und Firewalls wurden von den offiziellen Konnektor-Installateuren abgeschaltet oder es wurden sicherheitsrelevante Funktionen deaktiviert. Wenn ausnahmsweise eine Praxis im seriellen Betrieb angeschlossen wurde, dann wurde in der Regel durch die TI-installierenden Unternehmen auch ein SIS geschaltet, da damit Geld verdient wird. Zur Sicherheit beim Reihenbetrieb und der Netztrennung schreibt die gematik:
BERATUNGSTIPPS
Coaching des Datenschutzbeauftragten im Gesundheits- und Dentalbereich.
Datenschutzberatung im Gesundheits- und Dentalbereich.
DSGVO Quick-Check für 150 €.
Datenschutz Inhouse-Schulungen für Mitarbeiter im Gesundheits- und Dentalbereich.
„Durch die integrierte Firewall des Konnektors und den optionalen und gegebenenfalls kostenpflichtigen Secure Internet Service (SIS) wird das LAN optimal vor unautorisierten Zugriffen von außen geschützt.“
Hinter solch vermeintlich sicheren Anschlüssen befinden sich u. a. medizinische Geräte und PCs ohne Schutzmechanismen, da die Ärzte den Sicherheitsversprechungen seitens gematik vertrauen. Wir können diese Sicherheit nicht bestätigen. Aufgrund von Berichten über eine Trojaner-Infektion eines seriellen Anschlusses mit sicherem Internetdienst, bat mich ein Arzt eine Datenschutzfolgeabschätzung (DSFA) für seine Praxis zu erstellen. Dabei habe ich eine Anti-Viren-Testdatei (EICAR) unerkannt und vollkommen problemlos auf verschiedenste Wege über den Konnektor in das Praxisnetz eingeschleust.
Um die „integrierte Firewall“ des Konnektors zu prüfen, haben wir getestet, ob irgendeine Kommunikationskontrolle stattfindet. Leider sind alle Ports ausgehend offen. Das ist nicht besser als ein normaler DSL-Router. Damit ist das Abziehen von Daten mittels Malware problemlos möglich. Der Internetstecker musste nach Erstellung der DSFA sofort gezogen werden, um nicht gegen die DSGVO zu verstoßen. Die TI ist mittlerweile zu einer Glaubenssache geworden. Wir sollen glauben, dass alles sicher sei. Das ist die TI aber bei weitem nicht! Ich habe noch nie ein Projekt betreut, welches so stümperhaft umgesetzt wurde.
Alle mir bekannten Fehler und deren Ursache sowie zahlreiche Dokumentationen mit Bildern von gehackten Praxen wurden von mir an gematik sowie das Bundesministerium für Gesundheit und die Datenschutzbehörden gemeldet. Von dort gibt es dazu derweilen keine einzige Reaktion. Ich hatte am 08.08.2019 im Bundesministerium für Gesundheit in Bonn einen Termin. Die gematik war zugeschaltet und konnte auf meine Ausführungen eingehen. Ich habe in dem Termin einen Katalog mit 150 Seiten an Fehlern, Informationen, Fragen und Forderungen abgegeben. Die versprochene Antwort darauf wurde bis dato bereits vier Mal verschoben, die letzte Verschiebung ist erneut verfristet und die Antwort steht bis heute noch aus.
Also Ja, das Problem liegt grundsätzlich in dem gesamten Konzept TI, welches auf Verantwortungslosigkeit, Unwissenheit und Unvernunft fußt. In der Bevölkerung existieren nahezu keine Informationen über das Projekt, welches das Leben aller Menschen und sogar der nachfolgenden Generationen entscheidend beeinflussen wird.
Sabina von Thenen (Bereichsleiterin FCH Dental):
Ist es möglich, durch das Treffen bestimmter Vorkehrungen (Konfigurationen/Anti-Viren-Programme/Firewalls etc.) am TI angeschlossen zu sein und sicher vor Datenpannen zu sein? Oder ist man IMMER auf der unsicheren Seite sobald man am TI angeschlossen ist?
Jens Ernst (IT-Experte):
Ja(ein)! Es ist grundsätzlich möglich, mit einer Hardware-Firewall mit SPI, IDS, IPS, dynamischer Firewall, Proxy und Sicherheitsproxy die grundlegende Sicherheit in einer Praxis zu gewährleisten. Alle diese Funktionen sollte eine Praxisfirewall leisten. Bitte unbedingt vergleichen, es gibt auch Hardware-Firewalls, welche nur einige oder sogar nur wenige Funktionen davon haben. Die Kosten dafür betragen inkl. Einrichtung keine 1.000 €. Da die Ports und IP-Adressen der TI-Provider noch immer nicht veröffentlicht sind, ist dies zwar mühsam, kann aber grundlegend aufgebaut werden und das wird von uns auch sehr häufig getan. Es bleiben aber große Risiken, welche wir nicht vollständig beseitigen können. Um diese Risiken weiter zu minimieren arbeiten wir daran, die gesamte TI in eine DMZ einzusperren. Dafür entwickeln wir gerade zusammen mit dem Hersteller der Firewall die letzten Voraussetzungen. Ich bemühe mich übrigens auch darum, dass die Kosten für die Firewall im Rahmen des Ausgleiches ebenfalls von den KVen erstattet werden, um Ärzte nicht weiter zu belasten. Das ist ein Teil meiner im BMG besprochenen Forderungen.
Da die gematik bis heute noch keine Datenschutzfolgeabschätzung (DSFA) vorgelegt hat, ist auch klar, dass selbst die gematik das Risiko nicht abschätzen kann oder diese Informationen zurückhält, da die Antwort dazu führen würde, dass alle Ärzte den Stecker ziehen.
Wir können bereits sagen, dass schon bei der Zertifizierung wesentliche Angriffsszenarien in den Schutzprofilen nicht behandelt wurden: Zum einen die Angriffe gegen die Praxis aus der TI heraus, zum anderen Angriffe über die Fernwartungsfunktion der Konnektoren. 2016 hat eine zwei Jahre ignorierte Sicherheitslücke im Fernwartungsprotokoll (TR-069) bei Routern zum Ausfall von fast 1.000.000 Anschlüssen geführt. Wie sähe es aus, wenn eine solche Sicherheitslücke genutzt würde? Alle Ärzte, Krankenhäuser, Pflegedienste könnten über Nacht lahmgelegt werden! Das gesamte Gesundheitswesen würde über Nacht zusammenbrechen und wäre für Wochen gestört. Das würde auch Menschenleben kosten. Das ist ein durchaus absolut plausibles Szenario.
Auch sind meiner Meinung nach bereits bei der Zertifizierung wesentliche Fehler gemacht worden. So besitzt z. B. jeder elektronische Tacho in jedem Auto eine höhere Sicherheitszertifizierung als die Komponenten der TI. Dennoch ist Tachomanipulation bei Gebrauchtwagenkäufen ein ständiges Risiko. Kriminelle bieten im Internet an, für wenige Euro den Tacho zu manipulieren. Wie hoch kann dann das Risiko einer Krankenblattmanipulation sein? Auch wird mit zahlreichen Dokumenten, wie unrichtigen Handbüchern, bereits überholten Zertifizierungsunterlagen usw. dafür gesorgt, dass keiner mehr alle Informationen erfassen kann. Welche Unterlage ist überhaupt noch gültig? Die Taktrate, in der die Informationen geändert werden, ist unfassbar hoch. Eine Information über geänderte Dokumentationen erreicht die Ärzte nicht. Es fehlt gänzlich die Übersicht der aktuellen Dokumente. Anfragen, welche Komponenten der TI mit welchem Level zertifiziert sind, werden nicht beantwortet. Das BSI bestätigt auf Anfrage, dass z. B. der SIS zu keinem Zeitpunkt vom BSI zertifiziert worden ist. Zusätzlich schreibt das BSI es seien nur einzelne Komponenten der TI überhaupt zertifiziert worden. Die TI als Ganzes ist zu keinem Zeitpunkt zertifiziert worden. Selbst die Konnektor-Zertifizierung findet man beim BSI unter Software-Zertifizierungen, nicht unter Hardware-Zertifizierung. Hier gibt es unzählige Fragen, welche aber keiner beantwortet.
Sabina von Thenen (Bereichsleiterin FCH Dental):
Für die Verweigerung der Installation des TI-Konnektors werden die Praxisinhaber mit Honorarabzügen bestraft. Schlagen Sie dennoch den Praxisinhabern vor „den Stecker des eigenen Konnektors“ zu ziehen oder ihn gar nicht erst zu installieren und die Strafe in Kauf zu nehmen, um noch höhere Strafen nach Datenschutzgrundverordnung und Reputationsverlust zu vermeiden?
Jens Ernst (IT-Experte):
Ja, absolut. Jeder Arzt, dem die Patientendaten wichtig sind und der seinen Eid ernst nimmt, sollte sofort den Stecker ziehen, bis diese Verantwortungslosigkeit aufhört und dringende Fragen beantwortet werden und die Sicherheit der Daten gegeben ist. Ich bin kein Digitalisierungsgegner. Ich bin von ganzem Herzen ITler und lebe davon. Aber ich bin ein Gegner von Pfusch und Verantwortungslosigkeit sowie ein Gegner der bewussten Verletzung der Menschenrechte. Darum kann ich das gesamte TI-Projekt nur verurteilen. Die Honorarabzüge werden meiner Meinung nach vor Gericht scheitern. Kein Richter kann ernsthaft Ärzte dazu verurteilen gegen die DSGVO und gegen die Einhaltung der grundlegenden Menschenrechte, die auch im Grundgesetz zu finden sind, zu verstoßen, um das SGB V zu erfüllen. Durch das verantwortungslose Verhalten absolut aller zuständigen Behörden und Institutionen ist aber genau das der Fall.
Das gesamte TI-Projekt muss dringend überdacht werden. Die Bevölkerung muss über die Risiken und Auswirkungen informiert werden. Allein die Aussage, dass die Medizin durch die TI sicherer wird, ist absolut kein richtiges Argument. Die Gesundheitsdaten sind das letzte Geheimnis, welches wir Menschen noch haben. Wenn uns dies nun auch noch genommen wird, dann verlieren wir das letzte Stück Freiheit und Selbstbestimmung. Ich möchte an dieser Stelle Benjamin Franklin zitieren.
“Those who would give up essential Liberty, to purchase a little temporary Safety, deserve neither Liberty nor Safety.”
„Diejenigen, welche grundlegende Freiheit opfern würden, um sich damit ein wenig vorübergehende Sicherheit zu kaufen, verdienen weder Freiheit noch Sicherheit.“
Und ich möchte dieses Zitat ergänzen: Sie werden beides verlieren!
In „essential Liberty“ würde ich den Kern der persönlichen Freiheit, wie z. B. die Selbstbestimmung sehen. Diese Freiheit für ein wenig, zeitlich begrenzte Sicherheit zu opfern, bedeutet, dass diese einmalig erkaufte angebliche Sicherheit sich nach kurzer Zeit gegen mich, als Veräußerer meiner Freiheit(en), wendet. Denn die Freiheit erhält man nie mehr freiwillig zurück. Das Internet vergisst niemals. Verlangt man dann eben diese Freiheit wieder, wird die erkaufte Sicherheit dieses Verhalten als Bedrohung wahrnehmen. Die erkaufte Sicherheit wird dafür sorgen, dass man seine letzten Freiheiten gänzlich verliert, um eben das System der Sicherheit nicht zu gefährden. Wenn wir nach Guantanamo schauen, sehen wir das Endergebnis. Die Welt ist durch Guantanamo weder besser noch sicherer geworden, die Freiheit der Menschen ist trotzdem verloren.
Ich möchte meine Bedenken an einem kleinen Beispiel erläutern. Keiner, und vor allem nicht der Patient, kann abschätzen, was ein derzeit harmloser Befund, wie etwa eine Medikamentenunverträglichkeit, zukünftig an Schlussfolgerungen erlaubt. Eine medizinische Studie von 2007 hat z. B. gezeigt, dass eine Überreaktion auf Pilocarpin-Augentropfen ein starker Indikator für eventuelle spätere Demenzerkrankungen ist. Auf einmal ist aus einer vermeintlich nebensächlichen Medikamentenunverträglichkeit durch wissenschaftlichen Fortschritt eine hochsensible Gesundheitsaussage geworden, welche sich sogar auf die kommenden Generationen auswirkt. Eine bereits einmal erteilte Einwilligung der Speicherung dieser Unverträglichkeit kann jedoch nicht mehr rückgängig gemacht werden. Wenn diese Daten einmal gespeichert wurden, kann sie niemand mehr aus der Welt schaffen, selbst wenn man diese Daten löschen würden.
Hätte man diese Konsequenzen dieser Aussage geahnt, wäre rückblickend die Einwilligung nie erteilt worden.
Es kommt noch schlimmer. In der Veterinärmedizin wird dieser Test diagnostisch genutzt.
Solch eine Unverträglichkeit führt also dazu, dass nicht nur ich, sondern auch meine nachfolgenden Generationen z. B. nie mehr eine private Krankenversicherung abschließen können (höchstens mit Ausschlüssen oder Zuschlägen) oder keine Lebensversicherung bekommen. Ja, selbst verschiedene Jobs werden nie mehr möglich sein. Keiner wird sagen, warum. Es ist dann einfach so. Darüber sollten alle Menschen nachdenken. Jeder Gang zu einem Psychologen wird den Lebenslauf eines jeden Menschen nachhaltig verändern, da mit vielen Diagnosen viele Berufe (Polizei, Richter, usw.) nicht mehr möglich sind. Konzerne mit genügend Macht und Geld werden die Gesundheitsdaten kaufen und nutzen, wie es heute bereits der Fall ist. Wie sollen Menschen sich von einem Psychologen helfen lassen, wenn sie wissen, dass ihre intimsten Daten nicht sicher sind? Das kann auf Dauer nicht funktionieren.
Sabina von Thenen (Bereichsleiterin FCH Dental):
Vielen Dank Herr Ernst, für dieses Interview.
Beitragsnummer: 5154