Datenschutzbedenken Material
T.Kajdi
Lew Palm: Praxisüberwachung – ein Recherche- und Erfahrungsbericht
http://fiff.de/publikationen/fiff-kommunikation/fk-2010/fk_4_2010/fk_4_2010/fk_4_2010_palm
Ärztliche und psychotherapeutische Praxen müssen einen Spionage-Router in ihren Computernetzwerken einsetzen.
Zur Zeit werden die meisten Praxen in Deutschland von den Kassenärztlichen Vereinigungen zu einer Anbindung an ein Netzwerk
namens KV-SafeNet über das Internet gezwungen. Ich bin Informatiker und betreue die Computersysteme einer psychotherapeutischen Praxis. Mir sind grobe Sicherheitsmängel in Konzeption und Ausführung dieser Umstellung aufgefallen, jedoch Nutzen
für Ärzte, Therapeuten oder Patienten. Des Weiteren sehe ich gesellschaftliche und politische Gefahren und die Möglichkeit, dass
die eingesetzte Technik sich sehr einfach zum Überwachen des gesamten internen Datenverkehrs jedes lokalen Praxis-Computernetzwerks verwenden lässt.
Die niedergelassenen Ärzte und Psychotherapeuten in Deutschland rechnen ihre Leistungen nicht direkt mit den gesetzlichen
Krankenkassen ab, sondern sie tun dies über Mittlerinnen, die
Kassenärztlichen Vereinigungen (KVen). In jedem Bundesland
gibt es eine KV, und gemeinsam sind sie in der Kassenärztlichen
Bundesvereinigung (KBV) organisiert, die vom Gesundheitsministerium kontrolliert wird. Vereinfacht gesagt, haben die KVen
auch den öffentlichen Auftrag, die knapp 150.000 Praxen so zu
organisieren, dass sie im Interesse der etwa 72 Millionen gesetzlich Krankenversicherten wirken können1
.
In der von mir betreuten Praxis wurde bislang das Versenden der
KV-Abrechnung, welches quartalsweise ansteht, durch das persönliche Überbringen von feststoffl ichen Datenträgern bewerkstelligt. Dazu wurden eine CD, Diskette oder Papiere direkt zur
Geschäftsstelle der Kassenärztlichen Vereinigung gebracht. Dem
Praxispersonal war das recht, der Aufwand ist nicht sehr groß.
Mir als IT-Verantwortlichem gefi el es auch, denn so musste kein
Praxisrechner am Internet hängen (und die Sicherheit der persönlichen Datenübertragung ist ungeschlagen hoch). Die für
Abrechnungen in dieser Praxis verwendbare und auf dem Markt
existierende Software setzt zwingend ein Microsoft Windows als
Betriebssystem voraus. Es wird mit sehr schützenswerten Daten der Patienten umgegangen, aber eine Vielzahl nachlässig
betreuter Windows-Computer ist mit Backdoors bzw. Rootkits
verseucht. Deswegen wollte ich eine Anbindung der Praxis an
das Internet vermeiden, da sie einen unverhältnismäßig hohen
Aufwand an Sicherheitsmaßnahmen erforderlich gemacht hätte.
Alle mir bekannten psychotherapeutischen Praxen der Umgebung lieferten die Abrechnungsdaten persönlich bei der KV ab;
es ist aber zu vermuten, dass viele andere (bei größerer räumlicher Entfernung zum nächsten KV-Büro) ihre Abrechnung per
Einschreiben über den Postweg versendeten.
Zwang zur Internet-Abrechnung
Doch nun hat sich die Situation geändert. Die KVen haben die
bisherige Vorgehensweise verboten und zwingen die niedergelassenen Ärzte und Psychotherapeuten ab dem Jahr 2011 zur
Online-Abrechnung2
. Der Sinn des Zwangs erschloss sich mir
zunächst nicht. Dem minimal höheren Aufwand des manuellen Einlesens eines Datenträgers pro Arzt bzw. Therapeuten und
Quartal bei den KVen steht ein erhöhtes Sicherheitsrisiko durch
IT-unkundige Praxismitarbeiter gegenüber, die ihre Computer
mit dem Internet verbinden müssen. Mir schien eher ein sukzessiver und zwangfreier Umstieg von persönlicher oder postalischer zur Online-Übertragung sinnvoll, falls dieser von den Betroffenen überhaupt gewünscht ist.
Auch ging ich davon aus, dass ein einfaches und sicheres Verfahren gewählt würde. Eine Grundregel beim Entwerfen eines
jeden technischen Systems ist, das System so einfach wie möglich (und nötig) zu halten, da jedes zusätzliche Element Risiken
birgt. Es würde sich anbieten, die Abrechnungs-Datei auf dem
Arzt-Computer mit dem öffentlichen PGP-Schlüssel der KV zu
verschlüsseln (z.B. mit GnuPG3
), und sie dann über eine beliebige Dateiübertragungs-Technik (z.B. Secure CoPy) auf den KVServer zu transportieren. Dafür sind alle Programme vorhanden
und ausgiebig erprobt; die Einbindung in jede bestehende ArztAbrechnungs-Software wäre trivial. Der größte Vorteil läge in
der Überprüfbarkeit der Sicherheit der technischen Vorgänge
durch die Öffentlichkeit (bzw. durch unterschiedliche Experten, die für keine oder zumindest unterschiedliche Lobbys arbeiten), denn der Quellcode der genannten – im Sicherheitsbereich
wichtigen und populären – Programme liegt offen vor.
Es kam aber ganz anders. Die KVen entschieden sich, mit Kanonen auf kleine, niedliche Vögel zu schießen. Sie bildeten ein
Computernetzwerk namens KV-SafeNet, wobei die Rechner
der Bundesländer-KVen und der KBV-Zentrale über dicke Datenleitungen (Backbones) verbunden sind. Den Anschluss dieser
Server an das (bzw. die Schnittstelle zum) Internet organisieren
momentan 25 privatwirtschaftliche Firmen4
. Von der Praxis aus
wird durch einen Tunnel über einen DSL-Anschluss und das Internet ein Virtuelles Privates Netzwerk zu einem Server dieser
Firmen aufgebaut. Aus der Sicht der auf einem Praxis-Rechner
laufenden Software wirkt das so, als sei der Computer in einem
lokalen Netzwerk mit den anderen Praxen, den KV-Servern und
den Servern der eben genannten Firmen.
Das Konzept ist nicht schlecht – wenn man von einer Zentrale
aus eine permanente Verbindung zu allen Praxiscomputern haben möchte. Für die KV-Abrechnung und so gut wie alle anderen Datenverarbeitungs-Bedürfnisse der Ärzte, Psychotherapeuten und Patienten ist es völlig unnötig.
Geheimkasten 007 in undurchsichtiger Mission
Es geht noch weiter: Die KVen haben angeordnet, dass der Aufbau des Tunnels nicht durch einen Praxiscomputer selbst ge-FIfF-Kommunikation 4/10 43
schwerpunkt
schieht (was problemlos möglich wäre), sondern durch einen
speziellen Router. Dieser Router muss von den Praxisbetreibern
bei einer der 25 Provider-Firmen gekauft werden. Von den KVen
wird er offiziell treffenderweise Blackbox genannt, denn in seine
Funktionsweise darf von den Ärzten und Psychotherapeuten
bzw. ihren IT-Betreuern keine Einsicht genommen werden. Als
Router ist er meistens das Zentrum auch des internen NetzwerkDatenverkehrs in der Praxis. Er darf aber vom Praxisbetreiber
weder konfiguriert werden, noch kann dieser nachvollziehen,
zu welchen Servern im Internet der Router Verbindungen aufnimmt und welche Daten er überträgt. Eine Überwachung und
Protokollierung der gesamten lokalen Netzwerkdaten durch die
entsprechende KV-SafeNet-Provider-Firma ist problemlos möglich, da diese den Router ohne das Wissen des Arztes bzw. Therapeuten fernsteuern und einrichten kann. Kein zurechnungsfä-
higer IT-Administrator würde eine Blackbox mit einer verschlüsselten Schnittstelle nach außen in das Zentrum seines Netzwerks
einbauen und danach noch einen Pfifferling auf die Sicherheit
des Systems wetten – denke ich. Die KVen scheinen das anders
zu sehen; sie haben ja auch keine Hemmungen, die Praxen zu einer Installation einer solchen Box zu zwingen.
Man muss also als Arzt, Psychotherapeut (und als deren Patient) seiner SafeNet-Anbieter-Firma (zu denen auch die Telekom gehört) vollkommen vertrauen. Ebenso muss man darauf vertrauen, dass, sollte die Blackbox immerhin ordnungsgemäß funktionieren, allen anderen am Gesamtnetzwerk Beteiligten keine sicherheitstechnischen Schnitzer passieren. Dies sind
immerhin 25 Provider-Firmen, 17 KVen, die KBV und mehrere
zehntausend Praxen. Allein die Größe des Netzwerks und seine
vielen Schnittstellen zum Internet machen klar, dass eine Abschottung gegen ernsthafte Angreifer von außen eher Minuten als Tage hält. Man muss davon ausgehen, dass Datendiebe
oder -manipulateure sich sehr schnell zumindest einen PraxisAccount bei einem der Provider besorgen können und damit Teil
des Netzes werden.
Der Begriff Blackbox ist auch nur aus Sicht der Praxis und Patienten treffend – für die verkaufende Provider-Firma handelt
es sich um eine White Box, denn ihre interne Funktionsweise
ist dort vollständig bekannt. Zumindest muss man hoffen, dass
dies zutrifft und keiner der Firmen relevante Fehler oder unerwünschte sicherheitskritische Funktionen in ihrer Box übersieht.
Wie gut die Firmen in diesem zentralen Punkt ihre Arbeit machen, ist aber prinzipiell nicht überprüfbar, denn für ihre Kunden
ist die Box ja black.
Security by Obscurity
Die Übertragung der Patientendaten im SafeNet wird allerdings
noch einmal verschlüsselt – per PaDok bzw. D2D, der gleichen
Technik, die auch auf der elektronischen Gesundheitskarte zum
Einsatz kommen soll (der CCC hat sich in der Datenschleuder
Nr. 85 damit beschäftigt5
). Diese Technik hat mit dem BlackboxRouter im Praxis-Netzwerk eines gemeinsam: Die Hersteller verraten nicht, wie sie funktioniert6
. Das soll vermeintlich die Sicherheit des Systems erhöhen, da angreifende Kriminelle etwas Zeit
zur Analyse brauchen. Diese Vorgehensweise nennt man security by obscurity. Sie ist kontraproduktiv, da eine Analyse wohlmeinender Sicherheitsexperten unterbunden wird, die Kriminellen auf Dauer aber selten am Verstehen des Systems gehindert werden. So ließen sich die gesamten geheimen Einstellungen
der Blackbox meiner Praxis mit wenigen Stunden Arbeit auslesen,
wenn man das Gerät in den Händen und die Motivation zu einer
kriminellen Handlung hat. Die Blackboxerei stellt also keineswegs
einen ernstzunehmenden Schutz gegen Kriminelle und bösartige
Datendiebe dar, sondern sie hindert einzig die Betreiber der Praxen an der Kontrolle über ihre eigene IT-Infrastruktur.
Claude Shannon, der Begründer der Informationstheorie, äu-
ßerte sich schon in den 40er Jahren zu diesem Thema: „The
enemy knows the system“. Auguste Kerckhoffs schrieb 1883
in seinen Grundsätzen der modernen Kryptographie: „The system must not require secrecy and can be stolen by the enemy
without causing trouble“7
. Mit system bezog er sich auf den
technischen Verschlüsselungsapparat. Damit meinte er, dass die
Kenntnis vom Verschlüsselungsalgorithmus, die ein Spion durch
das Stehlen des Apparats erlangt, diesem beim Entschlüsseln der
geheimen Nachrichten nicht helfen dürfe. Seit über einhundert
Jahren ist es allen Kryptographen bekannt, dass man Sicherheit
durch die hohe Qualität der Kodierverfahren und nicht durch
die Geheimhaltung derselben herstellen sollte. Eine Verschleierung der Verfahren selbst spricht immer für ihre mindere Qualität – und hält nie lange.
Zur Kasse bitte
Ein weiterer Nachteil des SafeNets sind die hohen Kosten für die
Praxen. Ein Blackbox-Router kostet zwischen 190 und 500 Euro.
Die Provider-Firmen verlangen von jeder Praxis eine monatliche Gebühr von mindestens 17 Euro (zusätzlich zum DSL-Anschluss). Bei einem Übertragungsvolumen von oft weniger als
Lew Palm ist verheiratet und lebt mit Frau und Hund in Berlin-Neukölln. Zur Zeit schreibt er an
der Universität Bremen seine Diplomarbeit in der Biologie und der Informatik, bei der es nicht
um Gesundheitspolitik, sondern um die Computersimulation von Evolution geht. Er gehört keiner politischen oder wirtschaftlichen Organisation an, beschäftigte sich jedoch innerhalb wie
außerhalb des Studiums auf technischer und auf gesellschaftlicher Ebene mit Themen wie der
informationellen Selbstbestimmung und der politischen Macht, die mit dem Besitz, der Verbreitung oder der Geheimhaltung von Informationen einhergehen kann. Zu erreichen ist er unter
l...@informatik.uni-bremen.de.
Lew Palm 44 FIfF-Kommunikation 4/10
schwerpunkt
einem Megabyte (so zumindest in der von mir betreuten Praxis)
pro Quartal sind die jährlichen Kosten von über 200 Euro unverhältnismäßig hoch. Hier könnte man darüber nachdenken, ob
die Preisgestaltung nicht nach § 138 Abs. 2 BGB als sittenwidrig
einzuschätzen ist.
Die Entwickler bzw. Entscheider hinter dem SafeNet bauen also
ein System, das nicht mal den Sicherheitskonzepten von 1883
entspricht. Es ist für die KVen wie auch für die Ärzte sehr teuer,
dabei für die Abrechnung unnötig. Allein die Größe und Menge
der involvierten Parteien (u. a. 25 Privatfi rmen) macht das Netz
angreifbar. Die Abrechnungen wären über bestehende Techniken (PGP) einfacher, billiger und sicherer zu übertragen. Jeder
Netzwerk-Administrator wird auf die Barrikaden gehen, wenn
er eine ferngesteuerte Blackbox in das Zentrum seines Netzes
einsetzen soll, wie dies nun in den Praxen geschehen muss. Hier
drängt sich nach Marcus Cicero die Frage auf: „Wem nützt es?“
Die erste Antwort darauf ist merkwürdig. Auf den ersten Blick
scheint es nur den 25 Provider-Firmen zu nutzen, die daran kräftig verdienen. Diese sind aber nicht die Initiatoren. Alle anderen
haben mit dem SafeNet erst mal nur Ärger.
Doch vor Spekulationen über die Interessen hinter SafeNet
möchte ich über die Erfahrungen berichten, die ich als IT-Administrator meiner Praxis in den letzten Tagen gemacht habe.
Zur Zeit bekommen die Ärzte und Psychotherapeuten vieler Bundesländer von den KVen eine motivationsfördernde Prämie von
mehreren hundert Euro, wenn sie innerhalb von kurzer Zeit die
ferngesteuerte Blackbox für ihr Praxis-Netzwerk anschaffen8
.
Wohlgemerkt müssen die Praxen dies sowieso tun, denn andere
Arten der Abrechnungen werden nicht mehr akzeptiert. Wieso
für eine verpfl ichtende Handlung noch eine Prämie? Es soll wohl
der passive Widerstand vieler Ärzte und Psychotherapeuten gebrochen werden, die durch ein Verschleppen der Anschaffung
die Einführung des neuen Systems verzögern oder behindern.
Blick auf eine real existierende „Blackbox“
Die Bestechung funktionierte auch bei meiner Praxis. Ich
schaute mich um nach dem billigsten Angebot und stieß auf
die Deutsches Gesundheitsnetz Service GmbH9
. Dort kostet der
Router „nur“ 190 Euro, die jährlichen Gebühren für die Berechtigung zur Verbindungsaufnahme zum VPN-Server belaufen
sich auf 204 Euro.
Die mysteriöse Blackbox interessierte mich besonders. Sie entpuppte sich als Fritz!Box Fon WLAN 717010, hergestellt von der
AVM GmbH aus Berlin. Ein nachträglich angebrachter Aufkleber etikettierte sie um in einen DGN Safenet-Konnektor. Dieses
Gerät (ohne den Konnektor-Aufkleber) bekommt man nicht nur
bei Media Markt und ähnlichen Geschäften, sondern auch im
Versandhandel ab 120 Euro11. Der mit 70 Euro bezahlte Mehrwert des an meine Praxis gelieferten Routers gegenüber dem
Versandhandel-Modell liegt in der Konfi guration: Durch die
DGN GmbH wurde die Verbindung zu ihrem Virtuellen Privaten Netzwerk (und vielleicht noch andere Funktionalitäten) eingestellt, sowie ein dem Käufer unbekanntes Login-Passwort gesetzt. Eben jenes geheime Passwort macht für die Praxis dann
aus der Fritz!Box eine Black!Box.
Eine Untersuchung des Routers im Netzwerk (genauer gesagt:
ein Portscan) ergab dann, dass diverse Server auf dem Gerät
laufen und auf Verbindung warten, d.h. verschiedene Ports offen waren12. Dies ist für die angedachte Funktionalität des VPNRouters unnötig; es stellt mindestens ein erhöhtes Sicherheitsrisiko dar. Beispielsweise der laufende Dienst für Telefonie (SIP)
ist überfl üssig, da das Gerät weder für diesen Zweck angeschafft
wurde noch mangels Passwort dafür konfi gurierbar wäre.
Unter Anderem lief auch ein Webserver. Die dort angezeigte
Seite ist die übliche Fritz!Box-Login-Page. Unter dem PasswortFeld steht die freundliche Aufforderung „Wenn Sie Ihr Kennwort vergessen haben, klicken Sie hier“. Da konnte ich mich
nicht zurückhalten und habe es getan. Das Ergebnis war wie
erwartet, dass die Fritz!Box ihre Konfi guration löschte und sich
damit in den Zustand versetzte, den sie auch hat, wenn man sie
frisch aus dem Media Markt trägt.
Auf die Anfrage an die DGN GmbH nach den Konfi gurationsdaten wurde ebenfalls wie zu vermuten reagiert: Ich solle das
Teil einschicken und eine Gebühr von 30 Euro entrichten, damit
die Firma den Router neu konfi guriert.
Bei der ganzen Geschichte gibt es mehrere Hässlichkeiten. Die
Firmen verlangen sehr viel Geld für sehr wenig Leistung – besonders die monatlichen 17 Euro für die üblicherweise nur einmal im Quartal genutzte Berechtigung zur Teilnahme am VPN
sind unverschämt. Ein happiger Aufschlag von 70 Euro für die
Vorkonfi guration eines Routers ist auch nicht wenig. Das ganze
Konzept des fremdkontrollierten Routers im Praxis-LAN ist unsicher. Aber wieso laufen auf dem Gerät auch noch unnötige
Dienste? Wieso hat die DGN eine Fritz!Box mit WLAN- und Telefonie-Hardware verwendet, wenn solche Funktionalitäten gar
nicht genutzt werden dürfen? Es stellt sich auch die Frage, ob
ein solches Konsumenten-Endgerät den an eine ärztliche Praxis gestellten Sicherheitsanforderungen genügt. Offenbar hat
die DGN mit den überfl üssigen Serverdiensten in der Konfi guration geschlampt. Bei einem solch groben Patzer, einem Fehler,
durch den jeder Auszubildende in den entsprechenden Lehrberufen durch eine Prüfung fallen würde, drängt sich die Frage
auf, wie denn die restliche Konfi guration aussieht. Leider ist das
nicht auf legalem Weg überprüfbar, denn die Firma rückt – auf
Weisung der KV, es muss ja eine Blackbox sein – mit dem Passwort nicht heraus.
Von Seiten des SafeNets bzw. der Provider-Firma aus ist der
Router ebenso erreichbar wie aus dem lokalen Netzwerk (dank
VPN). Deswegen können sich die Angestellten der DGN in unsere Fritz!Box jederzeit einloggen, sie haben ja auch das Passwort. Beworben wird das auf deren Homepage mit „Kostenlose
und komfortable Fernwartung durch unsere Hotline-Mitarbeiter“13. Das bedeutet schlicht, dass jede ärztliche und psychotherapeutische Praxis in Deutschland die Kontrolle über ihren herausgehenden und internen Datenverkehr an eines der privatwirtschaftlichen SafeNet-Unternehmen outsourcen muss!
Im Fall der DGN hat die Sache noch ein Sahnehäubchen: Die
Fritz!Box hat eine Funktion zum Mitschneiden des gesamten
Datenverkehrs schon eingebaut. Auf der Seite http://routeradresse/html/capture.html – wobei Router-Adresse durch die
IP-Adresse der jeweiligen Praxis-Fritz!Box zu ersetzen ist – kann FIfF-Kommunikation 4/10 45
schwerpunkt
ein DGN-Angestellter bequem und ohne besondere Computerkenntnisse über den Webbrowser das Mitschneiden des gesamten internen Netzwerk-Datenverkehrs in der jeweiligen Praxis
ein- und ausschalten und die Daten zu sich herunterladen14
.
Wozu sich das „SafeNet“ gebrauchen ließe?
Aber warum sollte das jemand tun? Weiter gefasst, führt das zu
der weiter oben gestellten und noch nicht beantworteten Frage:
Warum das alles? Wem nützt es? Hier kann nur spekuliert werden. Es ist jedoch offensichtlich, dass die vorgegebenen Argumente für das SafeNet nicht mit den echten Interessen übereinstimmen. Wollte man wirklich ein gutes System für die Online-
Übertragung der Abrechnung über das Internet, so hätte man
das einfacher, schneller, besser, sicherer und deutlich billiger haben können.
Die Praxen sollen offensichtlich mit aller Gewalt dazu gebracht
werden, dass ihre Informationstechnik permanent verbunden
ist mit dem Zentralserver der KVen bzw. der KBV, und dass sie
durch diese besser überwachbar sind. Die zentrale Anbindung
und Vernetzung der Praxen ist für sich allein nicht zweckmäßig;
Sinn ergibt das Ganze erst, wenn noch weitere Schritte folgen.
Man kann also vermuten, dass die KBV oder das Gesundheitsministerium Erweiterungen des Systems plant, für die die momentan aufgebaute Vernetzung Voraussetzung ist. Was könnte
das sein? Es wäre möglich die Abrechnungsdaten, d.h. Daten
über Patientenbesuche, Medikamente, Therapien, schon zum
Zeitpunkt der Erzeugung zentral bei der KV zu speichern; keine
Abrechnung pro Quartal ist dann mehr notwendig, sondern alles geht online und on-the-fl y. Die Auslagerung der Informationstechnik aus der Praxis in den KV-Server im SafeNet lässt sich
noch deutlich weiter treiben. Warum nicht alle Patientendaten
in die Zentrale wie Diagnosen, chronische Krankheiten, Arztnotizen ...? Die Datenhaltung wird viel effi zienter und die Praxen
müssen sich kaum noch mehr um die Wartung von irgendwelchem Computerkram kümmern. Alle Gesundheitsdaten fast der
gesamten Bevölkerung (mit Ausnahme der Privatversicherten)
wären an einer Stelle und in einer Hand. Daten sind Macht und
eine Datenbank ist mehr als die Summe ihrer Einzelteile. Besonders bei der Pharmaindustrie dürfte eine solche, technisch leicht
auszuwertende Datensammlung Begehrlichkeiten wecken.
Endnoten
1 http://www.kbv.de/wir_ueber_uns/83.html
2 Pressemitteilung der KBV dazu: http://www.kbv.de/presse/36724.html
4 Eine Liste ist unter http://www.kbv.de/13815.html einsehbar.
5 http://chaosradio.ccc.de/media/ds/ds085.pdf
6 Im Falle des Routers stimmt das nicht ganz: Die Funktionsweise ist
bekannt – IPsec-VPN – aber die Konfi guration und Zusatzfunktionen
sind es nicht.
7 http://www.petitcolas.net/fabien/kerckhoffs/
8 Z.B. in Bremen gibt es 600 Euro: http://www.aerzteblatt.de/v4/archiv/
artikel.asp?id=67269
10 Technische Details zum dem Gerät sind unter http://www.wehavemorefun.de/fritzbox/index.php/FRITZ!Box_Fon_WLAN_7170 zu fi nden.
11 Einen Überblick bezüglich der Endkundenpreise kann man sich unter
http://www.heise.de/preisvergleich/a178963.html verschaffen.
12 Der benannte „SafeNet-Router“ der Firma DGN hat folgende offene
tcp-Ports: 80, 2049, 5060, 8080, 49000 und 49443
13 http://www.dgn.de/50produkte_tarife/05kvsafenet/10easy/index.html
14 http://www.wehavemorefun.de/fritzbox/Versteckte_Features
erschienen in der FIfF-Kommunikation,
T.Kajdi
https://mail-attachment.googleusercontent.com/attachment/u/0/?ui=2&ik=c71b2476ff&view=att&th=13ddbc1831d7a5cf&attid=0.3&disp=inline&safe=1&zw&saduie=AG9B_P94YbOFhitNxT831kJIC252&sadet=1365253511580&sads=AzWXhHNAIfMB8ibcg87eIheJ3_Y
Patientendaten in der Black Box
Ärzte und Psychotherapeuten können zukünftig nur noch online abrechnen - allerdings steht das dafür vorgesehene System KV-SafeNet wegen hoher Kosten und Sicherheitsmängeln in der Kritik
In Deutschland rechnen Ärzte und Psychotherapeuten nicht direkt mit den Krankenkassen ab, sondern über eine so genannten Kassenärztliche Vereinigung. Von diesen gibt es insgesamt siebzehn - in 15 Bundesländern jeweils eine und in Nordrhein-Westfalen zwei. Sie sind in der Kassenärztlichen Bundesvereinigung zusammengeschlossen, der KBV. Einer Richtlinie der KBV nach haben alle Kassenärztlichen Vereinigungen ab dem ersten Quartal 2011 Abrechnungen nur noch "leitungsgebunden elektronisch" entgegenzunehmen.
Ab welchem Datum genau eine Kassenärztliche Vereinigung keine auf DVDs oder Ausdrucken übermittelten Daten mehr annimmt, liegt nach Auskunft der Pressestelle der KBV in ihrem eigenen Entscheidungsbereich, weshalb es in einigen Bundesländern Übergangsregelungen gibt, die allerdings teilweise mit höheren Verwaltungsgebühren für deren Nutzer verbunden werden.
| KV-SafeNet-Konnektor |
Für die Online-Übermittlung nutzen alle Kassenärztlichen Vereinigungen KV-SafeNet. Nur in sechs Bundesländern haben Ärzte und Psychotherapeuten die Möglichkeit zu einer alternativen Methode der Online-Abrechnungsübermittlung. In Bayern ist dies beispielsweise KV-Ident.
Wie KV-SafeNet zustande kam, ist nicht ganz klar. Die KBV verweist bei Fragen hierzu auf eine angebliche Zuständigkeit der Kassenärztlichen Vereinigungen in den Ländern, während diese meinen, dass hierzu nur die KBV Auskunft geben könne. Eine Ausschreibung für KV-SafeNet gab es nach Auskunft der Kassenärztlichen Vereinigung Bremen deshalb nicht, weil es sich dabei lediglich um ein Anforderungsprofil handle, für das sich jede Firma zertifizieren lassen könne. Bislang wird das System von 25 Unternehmen angeboten, darunter von der Deutschen Telekom und Siemens. Die Preise, die sie pro Praxis für KV-SafeNet verlangen, liegen zwischen 190 und 500 Euro für die Hardware und jährlich mindestens 200 Euro für den Zugang.
Fragt man Ärzte, wie die Entscheidung für KV-SafeNet zustande kann, dann erfährt man, dass es offenbar erst dann Informationen darüber gab, als das System schon beschlossene Sache war. Angesichts dieser relativen Geheimhaltung fragt sich unter anderem der Informatiker Lew Palm, der die IT einer psychotherapeutischen Praxis in Bremen betreut, ob es nicht billigere und bessere Lösungen zur Abrechnungsdatenübermittung gegeben hätte - etwa ein einfaches Verschlüsseln mit GnuPG, für das weder teure Hardware noch eine Monatsgebühr anfallen würde. GnuPG hätte zudem den Vorteil, dass die Praxen die volle Kontrolle über ihre Daten und deren Sicherheit behalten würden.
Für die Nutzung von KV-SafeNet muss sich jede Praxis einen "Konnektor" anschaffen - einen Router, über dessen Konfiguration sie keine Kontrolle hat. Der Konnektor baut mit Hilfe von IPSec eine VPN-Verbindung zu einer Anbieterfirma auf, über deren Server die Daten dann zu den Kassenärztlichen Vereinigungen transportiert werden. Dass er für den Betreiber der Praxis eine "Black Box" sein muss, ist in der KV-SafeNet-Rahmenvereinbarung geregelt und liegt nicht im eigenen Ermessen der Anbieterfirmen.
Laut KBV "garantiert" KV-SafeNet "höchste Sicherheit für die Nutzung der Online-Angebote und schützt gleichzeitig das Praxisnetz vor unerlaubten Zugriffen aus dem Internet". Lew Palm ist hier allerdings ganz anderer Ansicht: Nicht nur, weil der vorher nicht bestehende Zwang zum Anschluss an das Internet grundsätzlich einen potenziellen Sicherheitsverlust bedeutet, sondern auch, weil der seiner Praxis gelieferte KV-SafeNet-Konnektor sich als eine konfigurierte Fritz!Box Fon Wlan 7170 mit einem Aufkleber entpuppte, bei der ein Scan mit Nmap ergab, dass insgesamt sechs Ports offen waren - darunter der SIP-Port zum Telefonieren.
Die KBV bestritt auf Anfrage von Telepolis die Möglichkeit, dass bei KV-SafeNet-Routern mehrere Ports offen sein könnten. Allerdings konnte Lew Palm die Lücke mittels eines Screenshots dokumentieren. Sie war auch dann noch vorhanden, nachdem er die Konfiguration komplett löschte und den Konnektor nach einer kostenpflichtigen Neukonfiguration von der Anbieterfirma zurückbekam. Dazu, inwieweit die Firmen, die KV-SafeNet anbieten, überprüft werden, wollte sich niemand äußern. Lew Palm vermutet, dass solch eine Überprüfung nicht stattfindet, da sonst ja die offenen Ports aufgefallen sein müssten.
- Re: was zum Henker sind denn (1.10.2010 15:05)
- Re: Wenn das eine Fritz 7170 ist ... (29.9.2010 19:50)
- Die von der KBV sind echt lustig. (29.9.2010 19:38)
T.Kajdi
Datenklau von Patienten- und Gesundheitsdaten ist bereits jetzt traurige Realität ……
ist schon passiert….
hier:
BKK-Skandal: Leichtfertigkeit machte den Datenklau erst möglich
Ein ehemaliger Call-Center-Mitarbeiter erpresst die größte BKK mit gestohlen Patientendaten…….
und hier:
„Datenklau bei oesterreichischer Krankenkasse.…Anonymous ist in den Besitz von über 600.000 Datensätzen der Tiroler Gebietskrankenkasse gelangt. So, wie es klingt, mussten die Computerfreaks sich nicht einmal großartig anstrengen……“
kann auf allen Ebenen des Gesundheitssystems passieren sogar „ganz oben“ - hier:
Spionageverdacht im Bundesgesundheitsministerium: Datenklau für Lobbyisten…..
…..mit KV -„Safe“-Net kann uns das natürlich nicht passieren!
„….sind doch alles nur Ausnahmen“!
Na dann hier noch ein paar Fälle:
- Zuletzt sah sich die AOK Niedersachsen in der Kritik, weil sie Rezeptdaten falsch verschickt hatte.
- Die IKK Weser-Ems wurde sogar mit der Justiz konfrontiert: Sie soll vertrauliche Patienteninformationen an einen Privatversicherer weitergegeben haben.
- Im Jahr 2008 machte die DAK Schlagzeilen. Sie soll Daten von chronisch Kranken an eine private Patientenberatung weitergeleitet haben. (nös)
Frage:
Was meinen Sie, wer haftet wohl für die intimsten Daten Ihrer Patienten, deren Pflege und Datenschutz Ihnen obliegt
-Sie oder die KV?
T.Kajdi
Internet und die neuen Medien machen es möglich:Auch im Gesundheitswesensind Daten immer schneller verfügbar. Dabei wird eine wichtige Komponente gerne\/ersessen. der Datenschutz. Besonders Arztpraxen könnte dies bose aufstoßen.
"Aber es gibt noch eine gern vergessene Schwachstelle: Wo viele elektronische Daten anfallen und übermittelt werden, braucht es EDV-Systeme, Speicherplatz und eine Wartung dieser Systeme. Nun sitzen in den Praxen selten die Wartungsspezialisten vor Ort. ,,Externe Wartungsmitarbeiter gelten aber nicht als ärztliche Gehilfen", sagte Raik Siebenhüner, Präsident des Fördervereins Medizinrecht der Dresden International University eV. Die Quintessenz für den Arzt: Kann der Wartungsmitarbeiter in irgendeiner Form Patientendaten einsehen, wird die Schweigepflicht ebenfalls durchbrochen. Hier können sich Arzte nur schwer absichern. Sie müssen auf ein Stück Papier vertrauen, in dem sie sich von ihrem Anbieter versichern lassen, dass sich jener Mitarbeiter an die Verschwiegenheitspflicht und Datenschutzbestimmungen hält. Das ist looo-fach gut gegangen - es ist aber ein dünnes Eis, auf dem sich Praxen in der schönen neuen Datenwelt bewegen."