Praxen in der Pflicht: Internetzugang sicher einrichten

„Dank der Hinweise des CCC haben wir schnell festgestellt, dass die betroffenen Praxen einen Internetrouter mit unzulässiger Portweiterleitung (Internet) ins interne Netz im Einsatz hatten und die DGN GUSbox unzulässig über die LAN-Schnittstelle angeschlossen war“, berichtet DGN-Geschäftsführer Armin Flender. Somit sei ein Zugriff von außen sowie aus dem internen Netz möglich gewesen. Korrekt nach Benutzerhandbuch und datenschutzkonform sei jedoch der Anschluss der GUSbox über die physikalisch getrennte WAN-Schnittstelle, denn diese ließe keinerlei Zugriff zu.

„In allen Fällen haben die betroffenen Arztpraxen mehrfach gegen auch heute schon bestehende Vorgaben verstoßen, die nicht in unserem Verantwortungsbereich liegen“, betont Flender, der als Vergleich ein offenes Auto mit einem auf dem Sitz liegenden Autoschlüssel heranzieht. „Arztpraxen sind verpflichtet, beim Internetzugang in der Praxis keinen unbefugten Zugriff auf das interne Arztnetzwerk zuzulassen. Hier wäre nach den Empfehlungen der Bundesärztekammer der Einsatz einer Firewall notwendig gewesen.“

Zum Hintergrund: Nach dem Digitale-Versorgung-Gesetz sollten die Kassenärztliche Bundesvereinigung (KBV) und die Kassenzahnärztliche Bundesvereinigung (KZBV) eigentlich bis Ende Juni 2020 eine IT-Sicherheitsrichtlinie für alle Praxen entwickeln, in der die Anforderungen zur Gewährleistung der IT-Sicherheit verbindlich festgelegt sind. Wegen der Corona-Pandemie sowie Unstimmigkeiten in puncto Finanzierung wurde der ursprüngliche Entwurf jedoch noch nicht verabschiedet. Die oben beschriebene Anbindung von Praxen ans Internet würde gegen die Vorgaben der neuen Richtlinie verstoßen.

„Unsere Erfahrung hat leider gezeigt, dass immer wieder nachträglich Internet-Zugangsgeräte falsch konfiguriert werden“, so Flender. Das DGN appelliert an seine Kunden, den Internetzugang in den Praxen sicher und datenschutzkonform einzurichten – bei Bedarf mit Hilfe externer IT-Dienstleister.

Im Sinne der Prävention hat das DGN jedoch auch selbst unverzüglich Maßnahmen ergriffen, um fahrlässig angeschlossene Geräte sofort zu erkennen. „Ab sofort scannen wir analog der gematik die uns bekannten Remote-IP-Adressen täglich auf Sicherheitslücken durch offene Ports des eingesetzten Internetrouters und informieren bei Bedarf direkt die Praxis.“ Sensible Daten in der Management-Oberfläche der DGN GUSbox werden nun zusätzlich mit Passwort abgesichert.

„Zudem werden wir ab dem ersten Quartal 2021 mit Hilfe von Firewall-Regeln alle Zugriffe auf die DGN GUSbox Dienste aus nicht bekannten öffentlichen Netzen verhindern sowie die Zugriffe absichern“, kündigt Flender an. Der Rollout der neuen Firewall-Regeln erfolgt automatisch über die täglichen Firmware-Updates und ist bereits angelaufen.*

* Update vom 22.01.2021: Der Rollout ist inzwischen erfolgreich abgeschlossen.