KV-Safenet - kritisch, aber keine Ablehnung per se
79 views
Skip to first unread message
K.Theiß
Apr 17, 2013, 3:22:19 PM4/17/13
to zwangs-onlin...@googlegroups.com
Liebe Kolleginnen und Kollegen,
ich habe mich ebenfalls intensiv mit dem Thema beschäftigt, als die Information über die Ärztezeitung veröffentlicht wurde und dieses auch der Fachgruppe der Kinder- und Jugendärzte im Rahmen des berufspolitischen Stammtisches am 13.03.2013 vorgestellt und diskutiert.
Ich sehe das Thema wie alle hier kritisch, aber nicht von vorne herein als ablehnend an.
Wenn man über Datenschutz und Datensicherheit diskutiert erschrecken mich immer wieder ein paar Aussagen, die auch hier in der Gruppe auftauchen:
1) Fax ist sicher: Eine Faxübermittlung ist datenschutzrechtlich eigentlich höchst strittig. Es ist ein Risiko, dass ein falscher Empfänger angewählt / ausgewählt wird. Es ist unbekannt wo das Fax des Empfängers steht und wer evtl. auf das Fax und die Ausdrucke alles Zugriff hat und entsprechend lesen kann. Dieses ist unabhängig ob es ein klassisches Faxgerät ist oder ob es eine Computerintegration ist. Wenn man sich die Empfehlung der Datenschützer anschaut sind die Auflagen für Faxübermittlungen eigentlich extrem hoch.
2) Insellösungen ohne Internetverbindung sind sicher: Wer hat sicher verhindert, dass jemand den Bildschirm einsehen kann (z.B. Wartezeit im Behandlungszimmer)? Wer hat sicher verhindert, dass Datenträger (z.B. USB-Sticks) angeschlossen werden können und schnell Daten kopiert werden können? Wer betreibt seine Insellösung so, dass niemals(!) Datenträger eingelesen werden (CD-ROM, USB-Stick, etc)? Daher braucht auch eine Insellösung mindestens einen guten Malware-Schutz (Viren, Trojaner, etc.) der regelmässig aktualisiert werden muss, sowie auch ein aktualisiertes Betriebssystem bzgl. Sicherheitslücken. Vor diesem Hintergrund sehe ich einen Weiterbetrieb von XP nach Abkündigung des Supportes kritisch und zwar auch als "Insellösung". Praxissysteme sind bereits zur USB-Sticks zum Datentransfer infiziert worden oder auch in Einzelfällen durch CD-ROMs mit radiologischen Daten.
Zurück zum KV-Safenet:
Ich sehe hier vor allem Kosten und Nutzen sehr kritisch. Stand heute erhalte ich bei Einstieg in das KV-Safenet, das gleiche Onlineportal wie beim USB-Stick. Ein echter Mehrwert ist derzeit noch nicht vorhanden.
Weitere Anwendungen und ärztliche(!) [nicht verwaltungstechnische] Vernetzungen müssen also rasch dazukommen. Hier wären konkretere Angaben und Zusagen wünschenswert um den Punkt besser beurteilen zu können.
Der eingesetzte IPSec-VPN-Standard gehört derzeit zu den sichersten Tunneln und Verschlüsselungsverfahren für Verbindungen durch das Internet. Der gleiche Standard wird von Konzern und Klinikketten zur Vernetzung ihrer Standorte eingesetzt. Der Sicherheitsstandard der IPSec-Tunnel liegt auch noch über den VPN-SSL Tunneln wie beim KVS-Stick. Die Leitung muss man daher als sicher bezeichnen (ein Restrisiko bleibt wie im Leben immer, ist aber derzeit nicht wirklich viel weiter minimierbar).
Aus meiner Sicht ist es sehr ungünstig, dass kein Arzt die Konfiguration der Blackbox kennt. Das kein Arzt sie verändern kann finde ich sinnvoll, zu groß wäre das Risiko und Einfallstor in das KV-Safenet durch eine unwissende Änderung (die Gateways sind halt keine Fritzbox oder Speedport mit schönen Konfig-Assistenten). Aber jeder sollte wissen, was seine Blackbox/Router tut, hierzu würde es zum Beispiel zunächst ausreichen, wenn mit der Auslieferung der Blackbox einfach ein Ausdruck der Konfiguration mitgeliefert wird, so wären alle Funktionalität nachvollziehbar.
Bei mir in der Praxis würde eine Blackbox / KV-Safenet-Router daher auch auf jeden Fall hinter meinem normalen Router installiert, so dass die von mir konfigurierbare Firewall auch den Zugang zum KV-Safenet-Router von außen kontrolliert.
Die im Artikel von Herrn Lew Palm genannte FritzBox als KV-Safenet-Router finde ich auch eine mehr als unglückliche Produktwahl (wäre für mich ein Ausschlußkriterium des Providers). Eine FritzBox oder Speedport sind eigentlich keine Sicherheitsprodukte um eine Arztpraxis abzuschirmen. Weiß jemand ob DGN heute noch die FritzBox nutzt? Die offenen Ports sind diletantisch.
Andere Anbieter nutzen ja andere Gateways (die auch gar nicht so viele Nebenfunktionen wie Fritzbox oder Speedport bieten).
Des Weiteren bleibt mir auch im Zeitalter des KV-Safenets eine ganz einfache Kontrollmethode: Einfach mal den Stecker ziehen! Nichts und niemand zwingt mich das die Blackbox permanent mit dem Internet verbinden ist. Wenn ich keine Daten übertragen möchte entferne ich halt das Kabel zwischen Blackbox und Router bzw. DSL-Modem (alternativ kommt ein Schalter an den Netzstecker).
Wer mehr Sicherheit haben möchte, für den wird auch KV-Safenet über ISDN angeboten, eine Wählverbindung bietet immer eine höhere Sicherheit, allerdings sind die Betriebskosten i.d.R. höher als über eine DSL-Leitung.
Wer ernsthaft Sorge vor dem Eindringen der Providerfirma in das Praxisnetz hat, kann natürlich auch die Fernwartungsports in einer vorgeschalteten Firewall (z.B. im eigenen Router) einfach sperren und nur nach Absprache freigeben. Des Weiteren kann man natürlich auch die Firewall des Computers entsprechend konfigurieren, dass ein Weg von der Blackbox in den Rechner quasi unmöglich wird.
Die Fernwartung ist z.B. auch kein zwingender Bestandteil der Providerverträge, bei i-Motion müssen Sie im Antrag zum Beispiel ankreuzen ob ja oder nein.
Alternativ kann man auch den zukünftig geforderten KV-Safenet-Anschluß zu Hause installieren lassen und überträgt die Abrechnung z.B. von einem Laptop auf den die Praxissoftware / Datenbank ausgelagert ist (wie für Hausbesuche; entsprechend Schutz des Laptops zur Datensicherheit bei Diebstahl natürlich nicht vergessen). So ist zumindest kein Zugriff auf das Praxisnetz möglich.
Nach viel Kommunikation mit Herrn Dr. Hauptmann und Herrn Dr. Jesinghaus muß vielleicht noch auf einen Aspekt hingewiesen werden: Seitens der Regierung wird derzeit massiv der Ausbau der Telematik-Infrastruktur im Gesundheitswesen thematisiert und versucht zu forcieren. Hier ist seitens der KVen eine Maßnahme das KV-Safenet möglichst rasch als ein etabliertes Netz darzustellen, um es in diese Strukturen einzufügen.
Der Hintergrund ist folgender: Die großen Telematik-Firmen stehen in den Startlöchern Ihre Lösungen und Vorschläge zu präsentieren, nach aktuellem Stand werden diese für uns als Vertragsärzte aber nicht preiswerter sein und vor allem die Netze (Server etc.) sind dann in der Hand von Wirtschaftsfirmen, beim KV-Safenet sind diese in der Hand der KVen (also ein eigenes ärztliches Netz!). [Der Provider im KV-Safenet stellt nur den Zugang und Sicherheit der Blackbox sicher].
In diesem Zusammenhang muss man leider ganz klar feststellen und das stimme ich allen Kollegen vorher zu: Die Kommunikation der KVS zu diesem Thema war und größtenteils ist auch noch bis heute katastrophal und stellenweise wird Transparenz erst durch viele persönliche Gespräche / Kontakte erreicht.
Mein derzeitiges Fazit zum Thema:
- Kosten für die bisherigen Möglichkeiten zu hoch (für Praxen Stand heute kein zusätzlicher Vorteil gegenüber dem USB-Stick). [Aber auch hier vergleichen wichtig, die Unterschiede der Provider sind enorm].
- Sicherheit ist auf dem aktuellen Stand der Technik gegeben, allerdings wäre Transparenz in der Konfiguration der Blackbox wünschenswert. Das Sicherheitsrisiko ist nicht wesentlich höher, als an vielen anderen Punkten unseres Alltags auch und einige Punkte können auch beeinflusst werden.
- Offene Kommunikation und Information zu dem Thema sind unbedingt erforderlich.
- Ist wirklich schon der richtige Zeitpunkt den funktionierenden Stick zu verlassen?
Ich bin kritisch zur Einführung, aber lehne Sie nicht per se ab. Ich bin gespannt wie die Entwicklung weitergeht.
Mit kollegialen Grüßen
K. Theiß
FA Kinder- und Jugendmedizin
(und auch einige Jahre Tätigkeit im EDV-Bereich im Lebenslauf)
ich habe mich ebenfalls intensiv mit dem Thema beschäftigt, als die Information über die Ärztezeitung veröffentlicht wurde und dieses auch der Fachgruppe der Kinder- und Jugendärzte im Rahmen des berufspolitischen Stammtisches am 13.03.2013 vorgestellt und diskutiert.
Ich sehe das Thema wie alle hier kritisch, aber nicht von vorne herein als ablehnend an.
Wenn man über Datenschutz und Datensicherheit diskutiert erschrecken mich immer wieder ein paar Aussagen, die auch hier in der Gruppe auftauchen:
1) Fax ist sicher: Eine Faxübermittlung ist datenschutzrechtlich eigentlich höchst strittig. Es ist ein Risiko, dass ein falscher Empfänger angewählt / ausgewählt wird. Es ist unbekannt wo das Fax des Empfängers steht und wer evtl. auf das Fax und die Ausdrucke alles Zugriff hat und entsprechend lesen kann. Dieses ist unabhängig ob es ein klassisches Faxgerät ist oder ob es eine Computerintegration ist. Wenn man sich die Empfehlung der Datenschützer anschaut sind die Auflagen für Faxübermittlungen eigentlich extrem hoch.
2) Insellösungen ohne Internetverbindung sind sicher: Wer hat sicher verhindert, dass jemand den Bildschirm einsehen kann (z.B. Wartezeit im Behandlungszimmer)? Wer hat sicher verhindert, dass Datenträger (z.B. USB-Sticks) angeschlossen werden können und schnell Daten kopiert werden können? Wer betreibt seine Insellösung so, dass niemals(!) Datenträger eingelesen werden (CD-ROM, USB-Stick, etc)? Daher braucht auch eine Insellösung mindestens einen guten Malware-Schutz (Viren, Trojaner, etc.) der regelmässig aktualisiert werden muss, sowie auch ein aktualisiertes Betriebssystem bzgl. Sicherheitslücken. Vor diesem Hintergrund sehe ich einen Weiterbetrieb von XP nach Abkündigung des Supportes kritisch und zwar auch als "Insellösung". Praxissysteme sind bereits zur USB-Sticks zum Datentransfer infiziert worden oder auch in Einzelfällen durch CD-ROMs mit radiologischen Daten.
Zurück zum KV-Safenet:
Ich sehe hier vor allem Kosten und Nutzen sehr kritisch. Stand heute erhalte ich bei Einstieg in das KV-Safenet, das gleiche Onlineportal wie beim USB-Stick. Ein echter Mehrwert ist derzeit noch nicht vorhanden.
Weitere Anwendungen und ärztliche(!) [nicht verwaltungstechnische] Vernetzungen müssen also rasch dazukommen. Hier wären konkretere Angaben und Zusagen wünschenswert um den Punkt besser beurteilen zu können.
Der eingesetzte IPSec-VPN-Standard gehört derzeit zu den sichersten Tunneln und Verschlüsselungsverfahren für Verbindungen durch das Internet. Der gleiche Standard wird von Konzern und Klinikketten zur Vernetzung ihrer Standorte eingesetzt. Der Sicherheitsstandard der IPSec-Tunnel liegt auch noch über den VPN-SSL Tunneln wie beim KVS-Stick. Die Leitung muss man daher als sicher bezeichnen (ein Restrisiko bleibt wie im Leben immer, ist aber derzeit nicht wirklich viel weiter minimierbar).
Aus meiner Sicht ist es sehr ungünstig, dass kein Arzt die Konfiguration der Blackbox kennt. Das kein Arzt sie verändern kann finde ich sinnvoll, zu groß wäre das Risiko und Einfallstor in das KV-Safenet durch eine unwissende Änderung (die Gateways sind halt keine Fritzbox oder Speedport mit schönen Konfig-Assistenten). Aber jeder sollte wissen, was seine Blackbox/Router tut, hierzu würde es zum Beispiel zunächst ausreichen, wenn mit der Auslieferung der Blackbox einfach ein Ausdruck der Konfiguration mitgeliefert wird, so wären alle Funktionalität nachvollziehbar.
Bei mir in der Praxis würde eine Blackbox / KV-Safenet-Router daher auch auf jeden Fall hinter meinem normalen Router installiert, so dass die von mir konfigurierbare Firewall auch den Zugang zum KV-Safenet-Router von außen kontrolliert.
Die im Artikel von Herrn Lew Palm genannte FritzBox als KV-Safenet-Router finde ich auch eine mehr als unglückliche Produktwahl (wäre für mich ein Ausschlußkriterium des Providers). Eine FritzBox oder Speedport sind eigentlich keine Sicherheitsprodukte um eine Arztpraxis abzuschirmen. Weiß jemand ob DGN heute noch die FritzBox nutzt? Die offenen Ports sind diletantisch.
Andere Anbieter nutzen ja andere Gateways (die auch gar nicht so viele Nebenfunktionen wie Fritzbox oder Speedport bieten).
Des Weiteren bleibt mir auch im Zeitalter des KV-Safenets eine ganz einfache Kontrollmethode: Einfach mal den Stecker ziehen! Nichts und niemand zwingt mich das die Blackbox permanent mit dem Internet verbinden ist. Wenn ich keine Daten übertragen möchte entferne ich halt das Kabel zwischen Blackbox und Router bzw. DSL-Modem (alternativ kommt ein Schalter an den Netzstecker).
Wer mehr Sicherheit haben möchte, für den wird auch KV-Safenet über ISDN angeboten, eine Wählverbindung bietet immer eine höhere Sicherheit, allerdings sind die Betriebskosten i.d.R. höher als über eine DSL-Leitung.
Wer ernsthaft Sorge vor dem Eindringen der Providerfirma in das Praxisnetz hat, kann natürlich auch die Fernwartungsports in einer vorgeschalteten Firewall (z.B. im eigenen Router) einfach sperren und nur nach Absprache freigeben. Des Weiteren kann man natürlich auch die Firewall des Computers entsprechend konfigurieren, dass ein Weg von der Blackbox in den Rechner quasi unmöglich wird.
Die Fernwartung ist z.B. auch kein zwingender Bestandteil der Providerverträge, bei i-Motion müssen Sie im Antrag zum Beispiel ankreuzen ob ja oder nein.
Alternativ kann man auch den zukünftig geforderten KV-Safenet-Anschluß zu Hause installieren lassen und überträgt die Abrechnung z.B. von einem Laptop auf den die Praxissoftware / Datenbank ausgelagert ist (wie für Hausbesuche; entsprechend Schutz des Laptops zur Datensicherheit bei Diebstahl natürlich nicht vergessen). So ist zumindest kein Zugriff auf das Praxisnetz möglich.
Nach viel Kommunikation mit Herrn Dr. Hauptmann und Herrn Dr. Jesinghaus muß vielleicht noch auf einen Aspekt hingewiesen werden: Seitens der Regierung wird derzeit massiv der Ausbau der Telematik-Infrastruktur im Gesundheitswesen thematisiert und versucht zu forcieren. Hier ist seitens der KVen eine Maßnahme das KV-Safenet möglichst rasch als ein etabliertes Netz darzustellen, um es in diese Strukturen einzufügen.
Der Hintergrund ist folgender: Die großen Telematik-Firmen stehen in den Startlöchern Ihre Lösungen und Vorschläge zu präsentieren, nach aktuellem Stand werden diese für uns als Vertragsärzte aber nicht preiswerter sein und vor allem die Netze (Server etc.) sind dann in der Hand von Wirtschaftsfirmen, beim KV-Safenet sind diese in der Hand der KVen (also ein eigenes ärztliches Netz!). [Der Provider im KV-Safenet stellt nur den Zugang und Sicherheit der Blackbox sicher].
In diesem Zusammenhang muss man leider ganz klar feststellen und das stimme ich allen Kollegen vorher zu: Die Kommunikation der KVS zu diesem Thema war und größtenteils ist auch noch bis heute katastrophal und stellenweise wird Transparenz erst durch viele persönliche Gespräche / Kontakte erreicht.
Mein derzeitiges Fazit zum Thema:
- Kosten für die bisherigen Möglichkeiten zu hoch (für Praxen Stand heute kein zusätzlicher Vorteil gegenüber dem USB-Stick). [Aber auch hier vergleichen wichtig, die Unterschiede der Provider sind enorm].
- Sicherheit ist auf dem aktuellen Stand der Technik gegeben, allerdings wäre Transparenz in der Konfiguration der Blackbox wünschenswert. Das Sicherheitsrisiko ist nicht wesentlich höher, als an vielen anderen Punkten unseres Alltags auch und einige Punkte können auch beeinflusst werden.
- Offene Kommunikation und Information zu dem Thema sind unbedingt erforderlich.
- Ist wirklich schon der richtige Zeitpunkt den funktionierenden Stick zu verlassen?
Ich bin kritisch zur Einführung, aber lehne Sie nicht per se ab. Ich bin gespannt wie die Entwicklung weitergeht.
Mit kollegialen Grüßen
K. Theiß
FA Kinder- und Jugendmedizin
(und auch einige Jahre Tätigkeit im EDV-Bereich im Lebenslauf)
T.Kajdi
Apr 18, 2013, 2:32:31 AM4/18/13
to zwangs-onlin...@googlegroups.com
Zur Kritik am Fax nur folgende hinzugefügte Ausführungen von mir (Thomas Kajdi in rot)
Am Mittwoch, 17. April 2013 21:22:19 UTC+2 schrieb K.Theiß:
Am Mittwoch, 17. April 2013 21:22:19 UTC+2 schrieb K.Theiß:
Wenn man über Datenschutz und Datensicherheit diskutiert erschrecken mich immer wieder ein paar Aussagen, die auch hier in der Gruppe auftauchen:
1) Fax ist sicher: Eine Faxübermittlung ist datenschutzrechtlich eigentlich höchst strittig (soll sagen ist Mist). Es ist ein Risiko, dass ein falscher Empfänger angewählt /ausgewählt wird (das kann durch "Verklicken" aus einer Liste auch bei jedem "sicherern email-Versand passieren!- Ist mir selbst schon passiert!). Es ist unbekannt wo das Fax des Empfängers steht (gilt für "den Email-Empfänger -Computer" genauso- schlimmer noch: bei den heutigen Onlinesystemen kann man die emails meist AN JEDEM COMPUTER eines Netzwerkes- ja der ganzen Welt abrufen- was soll ich sagen "anzapfen"? wenn man die richtigen Kennwörter hat- und die sind in einem vermeintlich sicheren Netzwerk manchmal bequemlichkeitshalber schon freigeschaltet) und wer evtl. auf das Fax und die Ausdrucke alles Zugriff hat und entsprechend lesen kann (das gilt in vielstärktem Mass für Computersysteme, die nicht nur für die direkt daran Arbeitenden zugänglich sind- sondern oft für externe Dienstleisterfirmen wie Provider, Softwarefirmen, Reparaturdienste und deren meist unbekannte Mitarbeiter). Dieses ist unabhängig ob es ein klassisches Faxgerät ist oder ob es eine Computerintegration (gilt erst Recht und in Potenz für Praxiscomputernetze )ist. Wenn man sich die Empfehlung der Datenschützer anschaut sind die Auflagen für Faxübermittlungen (kein Deut Unterschied zu Computersystemen, die noch viel leichter von außen angreifbar sind als die "tumben Faxgeräte" ) eigentlich extrem hoch .
K.Theiß
Apr 18, 2013, 2:47:45 AM4/18/13
to zwangs-onlin...@googlegroups.com
Sehr geehrter Herr Kollege,
Ihre Anmerkungen sind natürlich allesamt korrekt. Im Email-Verkehr haben sensible Daten nichts zu suchen, da das Störrisiko und Fehlleitungen bzw. Einsicht von außen (ist ja quasi eine Postkarte) viel höher ist.
Der Austausch im KV-Safenet wird sicher kein klassischer Email-Verkehr sein, aber weitere technische Details hierzu sind mir leider noch nicht bekannt wie die D2D-Kommunikation erfolgen soll und entsprechend welche Fehlerquellen / Störfaktoren zu erwarten sind.
Gruß
K. Theiß
Reply all
Reply to author
Forward
0 new messages