Digitale-Versorgung-Gesetz

IT-Sicherheit in der Arztpraxis?

20.11.2020
Von   IDG ExpertenNetzwerk
Peter Lahmann arbeitet seit 2002 in der IT-Sicherheit als Auditor und Berater und betreut heute das Sicherheitsmanagement von Kunden eines namhaften Cloud-Betreibers. Als Autor widmet er sich der Schnittstelle von unternehmerischen Anforderungen, Industriestandards und rechtlichen Rahmenwerken.
Das Digitale-Versorgung-Gesetz (DVG) soll eine bessere Patientenversorgung gewährleisten. Lesen Sie, wie es darum aktuell bestellt ist.
Mit digitaler Kommunikation und digitalen Informationen soll eine Umgebung geschaffen werden, in der Patienten besser versorgt werden.
Mit digitaler Kommunikation und digitalen Informationen soll eine Umgebung geschaffen werden, in der Patienten besser versorgt werden.
Foto: Khakimullin Aleksandr - shutterstock.com

Mit dem seit dem 19. Dezember 2019 in Kraft getretenen Digitale-Versorgung-Gesetz (DVG) sollen:

  • zugelassene Gesundheits-Apps für das Smartphone von den Krankenkassen erstattungsfähig,

  • Videosprechstunden gesetzlich ermöglicht,

  • Rezepte, Arbeitsunfähigkeitsbescheinigungen, Heilmittel und

  • die häusliche Krankenpflege auch elektronisch verordnet werden können.

Das Digitale-Versorgung-Gesetz soll die Grundlage für die elektronischen Schnittstellen schaffen, über die sich Krankenversicherungen, Arztpraxen, Apotheken und Krankenhäuser austauschen können. Damit wird auch für Apotheken (seit September 2020) und Krankenhäuser (ab 1. Januar 2021) der Anschluss an die Telematikinfrastruktur (TI) verpflichtend.

Mit Inkrafttreten des DVG haben Versicherte das Anrecht auf eine elektronische Patientenakte (ePA). Dort sollen Befunde, Arztbriefe und Impfbescheinigungen abgelegt werden - auf Antrag erhalten Wissenschaftler und Forscher zudem anonymisierte Ergebnisse aus den Datenbeständen der Krankenkassen. Das bedeutet einen Zugriff auf die Daten von 73 Millionen gesetzlich Krankenversicherten.

Digitale-Versorgung-Gesetz: Telematikinfrastruktur

Für die Telematikinfrastruktur gilt das Ziel, dass die Akteure im Gesundheitssektor die medizinischen Informationen von Patienten austauschen können. Diese Medizin-IT soll schnell, effizient, aber natürlich auch sicher sein und die technische Basis auf internationalen Standards beruhen. Um die Telematikinfrastruktur (TI) in Deutschland voranzutreiben, wurde die Gematik (Gesellschaft für Telematikanwendungen der Gesundheitskarte) von den Spitzenorganisationen des deutschen Gesundheitswesens gegründet. Der ursprüngliche gesetzliche Auftrag des Unternehmens war die Einführung, Pflege und Weiterentwicklung der elektronischen Gesundheitskarte.

Zur Telematikinfrastruktur gehören aber auch weitere Komponenten, die zwischen 2017 und 2021 an den Start gingen beziehungsweise gehen sollen. Darunter fallen

DVG: IT-Inventar in Arztpraxen

Zu dem Gesamtkonstrukt der Medizin-IT zählen auch die Systeme in den Arztpraxen. Auch dort muss die IT sicher sein, damit das gesamte System sicher ist. Bereits seit dem 1. Juli 2019 ist für niedergelassene Ärzte, Psychotherapeuten und Zahnärze der Anschluss an die Telematikinfrastruktur gesetzlich verpflichtend. Patienten müssen bei jedem ersten Arztbesuch im Quartal ihre Daten bei der gesetzlichen Krankenversicherung abgleichen. Der Abgleich erfolgt, indem die Daten über die Gesundheitskarte erhoben und gesichert werden. Diese Regelung betrifft hunderttausende von Arztpraxen, die damit zur dezentralen Zone der Telematikinfrastruktur gehören.

In der Arztpraxis besteht das TI-Inventar zunächst einmal aus einem Kartenlesegerät, einem Konnektor und mehreren Chip-Karten mit digitalen Identitäten. Diese Chip-Karten sind die Elektronischen Gesundheitskarten der Versicherten, die elektronischen Heilberufeausweise oder die elektronischen Praxisausweise. Die Gerätekarten ordnen Kartenterminals und Konnektoren die Identität der Arztpraxis zu. Das Kartenterminal hat zwei Slots, jeweils einen für die elektronische Gesundheitskarte der Versicherten und den elektronischen Heilberufeausweis oder den elektronischen Praxisausweis. Der Konnektor ist eine Art Router, der die IT-Systeme in der Arztpraxis mit der Telematikinfrastruktur verbindet. Die im Konnektor fest verbaute Gerätekarte liefert den privaten Schlüssel für verschlüsselte Verbindungen.

Zur zentralen Telematikinfrastruktur hin erfolgt die Verschlüsselung mittels VPN-Tunnel, IPSec und TLS. Auf der anderen Seite des Konnektors, Richtung Arztpraxis, ist der Anschluss von verschiedenen IT-Systemen möglich. Beispielsweise werden Daten von außerhalb auf die elektronische Gesundheitskarte der Versicherten überschrieben. Mit dem Konnektor können Dokumente auch verschlüsselt oder mittels Heilberufeausweis qualifiziert elektronisch signiert werden. Von der zentralen IT soll allerdings keine Einsicht in die IT der Arztpraxis möglich sein - es sein denn, die Arztpraxis lässt dies zu. Der Konnektor dient an dieser Schnittstelle auch als Firewall.

Digitale-Versorgung-Gesetz: Praxissoftware

Unter die Stichworte Praxissoftware und Praxisverwaltungssysteme fällt Software zur Abrechnung und Dokumentation, zur Übermittlung von Befunden und zur Hilfe bei der Diagnose. Solche Software ist aus den Arztpraxen von heute nicht mehr wegzudenken. Ein Praxisverwaltungssystem ist das digitale Herzstück einer Arztpraxis. Laut den Referentenentwürfen zum Digitale-Versorgung-Gesetz sollten Vertragsärzte ab Januar 2021 bei ihren Abrechnungen nur noch zugelassene Praxissoftware verwenden dürfen. Die Software sollte von der Kassenärztlichen Bundesvereinigung (KBV) und der Gematik vorab bestätigt werden. Grundsatz einer Bestätigung sollten wieder standardisierte Schnittstellen liefern. Allerdings scheint es diese Passage über die Praxissoftware nicht in das Gesetz geschafft zu haben. Denn Software, die nur vom Arzt benutzt wird, zum Beispiel Tools zur Diagnose, sind nicht im DVG eingeschlossen. Nach §33a im Fünften Buch des Sozialgesetzbuchs (SGB V) liegen keine digitalen Gesundheitsanwendungen vor, wenn die Patienten keinen Zugang zu der Anwendung haben.

Offensichtlich besteht ein Risiko bei allen Systemen, in denen Patientendatensätze enthalten sind. Nach der Datenschutzgesetzgebung gehören Gesundheitsdaten zu der Kategorie von Daten, für die eine besondere Schutzbedürftigkeit gilt. Daraus ergibt sich das grundsätzliche Verbot der Verarbeitung dieser Daten - nur unter bestimmten Vorrausetzungen ist dies dennoch möglich: Entweder stimmt die betroffene Person der Bearbeitung zu - oder es besteht eine gesetzliche Legitimation. Für das Gesundheitswesen gelten bestimmte Voraussetzungen für eine erlaubte Bearbeitung solcher Daten. Neben dem Datenschutz ist beim Thema Risiko auch an die Belange der Krankenkassen und die damit verbundenen Zahlungsströme zu denken.

Die Informationssicherheit ist somit augenscheinlich eine wichtige Anforderung an Praxissoftware, denn diese enthält zwangsläufig auch sensible Gesundheitsdaten oder zumindest Rechnungsdetails von hoher finanzieller Tragweite.

DVG: ISO 27001 und Grundschutz

Im Digitale-Versorgung-Gesetz ist die sichere IT für die Arztpraxen und Heilberufe vorgesehen. Dazu wurde in das SGB V der §75b eingefügt. Darin geht es um eine Richtlinie zur IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung. In diesem neuen Paragrafen erhielt die KBV den Auftrag, bis zum 30. Juni 2020 eine verbindliche Richtlinie über IT-Sicherheitsstandards festzuschreiben. Nähere Informationen und den Stand der Dinge von Mitte 2020 finden Sie im nachfolgenden Video der Vertreterversammlung der Kassenärztlichen Vereinigung vom Juni 2020 (ab 1:01:58):

Ziel muss es sein, potenzielle Risikobereiche für die Informationssicherheit zu identifizieren und angemessen zu behandeln. Es gibt Anzeichen dafür, dass sich die Richtlinie der KBV an dem ISO 27001 Referenzmodell für Informationssicherheit ausrichten wird. Eine mit diesem Rahmenwerk kompatible Systematik bietet der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik. Nach der BSI-Methodik werden fünf Betrachtungsebenen unterschieden:

  1. Bei der ersten Ebene geht es um grundsätzliche Aspekte. Das sind ein übergeordnetes Sicherheitsmanagement, möglicherweise die Anwendung des Vier-Augen-Prinzips, Vertretungsregelungen und die Erstellung von Datensicherungs- und Anti-Malware-Konzepten.

  2. In der zweiten Ebene geht es um baulich-physikalische Gegebenheiten. Diese Ebene reicht von der Sicherheit beim Zugang zu einem Serverraum, zur häuslichen Sicherheit von Teleworkern bis hin zu den baulichen Gegebenheiten eines Rechenzentrums.

  3. In der dritten Ebene steht die Sicherheit von Hardware-Komponenten. Diese Ebene reicht von Smartphones und Notebooks über PCs bis hin zu ganzen Serversystemen.

  4. In der vierten Ebene geht es um die Netzkomponenten mit WLAN, Routern und Firewalls. Hierunter fallen auch die Regeln für eine verschlüsselte Datenübertragung.

  5. In der fünften und letzten Ebene geht es um die Sicherheit der einzelnen Anwendungssysteme und deren Integration in ein Gesamtsystem. Ein wichtiger Aspekt auf dieser Ebene sind die Zugriffsrechte zu den Anwendungen.

Verpflichtungen, sich Richtlinien zur Informationssicherheit zu unterwerfen, finden sich weltweit in verschiedenen Gesetzen etwa zur Kritischen Infrastruktur, zum Datenschutz, Gesellschaftsrecht, Haftungsrecht und Bankenrecht. Überall ist die Informationssicherheit ein Baustein des Risikomanagements.

Lesetipp: FAQ Risikomanagement - Was Unternehmen beachten müssen

Für die Kritische Infrastruktur in Deutschland soll das IT-Sicherheitsgesetz (IT-SIG) dazu beitragen, das Mindestniveau an Informationssicherheit sicherzustellen. Eine kritische Infrastruktur wird von Einrichtungen und Unternehmen mit wichtiger Bedeutung für das Gemeinwesen betrieben. Über diese Infrastruktur soll die lebensnotwendige Versorgung und der Schutz der Bürger gewährleistet werden. Auf internationaler Ebene fließen Risikomanagement und Informationssicherheit etwa in Vorschriften wie Basel II und der Sarbanes-Oxley Act ein.

Es liegt immer in der Verantwortung der Eigner der kritischen Datensätze ein geeignetes Informationssicherheitsmanagement zu finden und umzusetzen. Dazu müssen sie die Komplexität ihrer soziotechnischen Systeme berücksichtigen. Auch Ärzte sollten sich daher mit der Thematik Informationssicherheit aktiv und vielleicht auch zeitintensiv beschäftigen. Vielleicht gibt es in naher Zukunft die gesetzliche Pflicht für Ärzte, Zahnärzte und Heilberufler, Abwägungen zur Sicherheit ihrer Patientendaten zu treffen und zu dokumentieren.

"Frau Doktor, zum IT-Sicherheitsmanagement bitte"

Die verschiedenen Richtlinien zur Informationssicherheit sehen vor, dass nach einer Risikoanalyse und -bewertung der vorhandenen IT-Systeme geeignete Schutzziele definiert werden. Darauf aufbauend muss die Wahl von Sicherheitsmaßnahmen für die jeweiligen digitalen Prozesse in der Arztpraxis erfolgen. Fraglich ist nun die genormte Vorgehensweise dafür, die mit der KBV-Richtlinie kommen soll. Noch gibt es für Praxissoftware keine gesetzlich vorgeschriebene Handhabung. Zumindest war es vorgesehen, dass Ärzte für die sichere Installation ihrer IT-Komponenten und Dienste einen Fachkundenachweis von ihrem Dienstleister verlangen können.

Das Problem ist aber vielschichtiger als nur die Installation von IT-Systemen: Softwareanwendungen von namhaften Herstellern verfügen über sichere Funktionen. Es geht aber darum, ob diese auch vollständig und richtig gehandhabt werden. Und im Zweifelsfall auch um Fragen der Haftung.

Die Handhabung von Zugriffsrechten ist auch für die Sicherheit von Praxissoftware ein wesentliches Element. Sollten Ärzte und Arzthelfer eine Zwei-Faktor-Authentifizierung bei den Zugriffen verwenden? Dies ist eine der vielen Fragen bei einer risikobasierten Einschätzung. Eine Untersuchung zur IT-Sicherheit im Gesundheitssektor im Auftrag der Versicherungswirtschaft zeigt allerdings nachteiliges. In 22 von 25 befragten Arztpraxen teilen sich mehrere Benutzer die gleichen Zugangskennungen. In der gleichen Anzahl von Praxen werden einfach zu erratende Passwörter wie etwa "Behandlung" benutzt. In 20 von 25 Fällen besitzen alle Nutzer die besonders weitreichenden Administrationsrechte. In keiner der befragten Arztpraxen wurde überprüft, ob für ausgeschiedene Mitarbeiter die Admin-Rechte entzogen wurden.

Lesetipp: Zwei-Faktor-Authentifizierung mit Tücken

Früher oder später wird die gesetzlich geforderte IT-Richtlinie für Arztpraxen von der KBV festgelegt werden. Man kann davon ausgehen, dass IT-Berater schon in den Startlöchern stehen, um den Ärzten bei deren Umsetzung zur Seite zu stehen. (bw)