+49 89 546800 0 Mail an uns
Neuigkeiten
TI: Verbindungsprobleme mit VPN TI / VPN SIS veröffentlicht am 7. August 2019

Liebe Kundinnen, liebe Kunden,

seit heute morgen erreichen uns sehr viele Störungsmeldungen, dass die Konnektoren sich nicht mit der Telematikinfrastruktur verbinden.

Wir haben uns bereits mit dem VPN-Zugangsdienstanbieter in Verbindung gesetzt. Wir selbst können an dieser Stelle keine Lösung herstellen.

Bitte lesen Sie weiterhin die Versichertenkarten mit dem „neuen Kartenleser“ ein, Sie erhalten dann in der Regel den Prüfnachweis 5 (selten: 3). Die gematik gibt dazu folgende Handlungsempfehlung:

Die eGK wird als gültiger Leistungsanspruchsnachweis behandelt. Die Online-Prüfung soll beim nächsten Besuch im Quartal erneut durchgeführt werden.

Sie sehen, dass sich der aktuelle Zustand stabilisiert, wenn die VPN TI-LED am Konnektor dauerhaft leuchtet.

Wir werden Sie über die Homepage bzw. das RSS-Feed informieren, sobald uns ein neuer Sachstand bekannt ist.

Update 07.08. 13:30 Uhr

Eine Nachricht des Zugangsdienstanbieters hat uns erreicht:

Aktuell kommt es zu temporären Problemen bei der VPN Verbindung zur TI und SIS.

Das Problem ist mit hoher Priorität an die Fachabteilung weitergeleitet.

Diese arbeitet nun mit Hochdruck an der Problemanalyse und Entstörung.

Update 07.08. 15:43 Uhr

Sehr geehrte Damen und Herren,

Die Probleme in Bezug auf den VPN Aufbau zur TI und SIS sind gelöst.

Update 08.08. 12:04 Uhr

Sehr geehrte Damen und Herren,

aktuell kommt es leider wieder zu temporären Problemen bei der VPN Verbindung zur TI und SIS.

Das Problem ist mit hoher Priorität an die Fachabteilung weitergeleitet.

Diese arbeitet nun mit Hochdruck an der Problemanalyse und Entstörung.

Ihr PsyPrax-Team

Update 08.08. 15:30 Uhr

Sehr geehrte Damen und Herren,

Die Probleme in Bezug auf den VPN Aufbau zur TI und SIS sind gelöst.

Berichte über Sicherheitslücken in der Telematikinfrastruktur veröffentlicht am 29. Juni 2019

Am 27.06.2019 fand eine Pressekonferenz der Ärzteverbände MEDI GENO, Freie Ärzteschaft und Freier Verband Deutscher Zahnärzte statt. Diese Ärzteverbände lehnen den (Zwangs-)Anschluss von Praxen an die Telematikinfrastruktur ab.

Auf dieser Pressekonferenz wurde von „Sicherheitslücken in der Telematikinfrastruktur (TI)“ berichtet, beziehungsweise vor ihnen gewarnt. MEDI GENO berichtet über diese Pressekonferenz im eigenen Blog. (Webseite, externer Link)

Da Sie oder Ihre KollegInnen sich nach derartigen Veröffentlichungen regelmäßig an uns wenden, möchten wir einige der genannten Punkte an dieser Stelle aus unserer Sicht kommentieren und verweisen überwiegend auf Veröffentlichungen der gematik und der Kassenärztlichen Bundesvereinigung.

Zu den Schutzprofilen des Konnektors schreibt MEDI GENO:
“Bei der Prüfung der Schutzprofile fanden die Experten verschiedene ungeklärte Fragen zur Sicherheit des TI-Konnektors. Insbesondere schützt der Konnektor selbst bei ordnungsgemäßer Installation nicht zuverlässig gegen Angriffe in die Praxissysteme, obwohl das von Seiten der Kassenärztlichen Bundesvereinigung (KBV) gegenüber den Ärzten behauptet wird“.

Hierüber haben wir keine Sachkenntnis. Wir sehen den Konnektor jedoch als „Baustein“ in dem Sicherheitskonzept Ihrer Praxis. Zur Betriebsart des Konnektors (vgl. Informationsblatt Betriebsarten des Konnektors (PDF, externer Link)) schreibt z.B. die gematik in einer Pressemitteilung (Webseite, externer Link):

„Mit dem Konnektor kann die Sicherheit in einer Praxis gestärkt werden. Auch die technische Frage des Installationsweges – ob in Reihenschaltung oder im Parallelbetrieb – ist nicht das Problem. Entscheidend ist der richtige Umgang mit den technischen Gegebenheiten vor Ort und auch das enge Zusammenspiel aller an einer Praxis-IT beteiligten Dienstleister.“

Die Kassenärztliche Bundesvereinigung weist in Ihrer Service-Reihe „Rund um die TI“ in Teil 5 vom 09.05.2019 (Webseite, externer Link) auf Folgendes hin:

„Zusätzliche Schutzmaßnahmen wie Virenschutz und die Nutzung von sicheren Passwörtern sind auch nach dem Anschluss an die TI erforderlich. Die KBV rät deswegen, ein gesamthaftes Sicherheitskonzept für die Praxis zu haben. Dies gilt unabhängig davon, ob die Installation in Reihen- oder Parallelbetrieb vorgenommen wird.“

Zur Haftung bei Datenschutzpannen schreibt MEDI GENO:
“Für etwaige Folgen von Sicherheitslücken der staatlich aufgezwungenen TI-Konnektoren müssen die Praxisinhaber haften.“.

Wir möchten hier auf die Webseite der Kassenärztlichen Bundesvereinigung verweisen, die in den Praxisnachrichten vom 27.06.2019 (Webseite, externer Link) mit Hinweis auf das Informationsblatt Datenschutz und Haftung in der Telematikinfrastruktur der gematik (PDF, externer Link) schreibt:

„In einem heute veröffentlichten Informationsblatt zu Datenschutz und Haftung stellt die gematik klar, dass eine Haftung des Arztes oder Psychotherapeuten ausscheidet, sofern die zugelassenen Konnektoren vorschriftsgemäß verwendet, aufgestellt und betrieben würden. Dies sei sowohl nach der Datenschutz-Grundverordnung als auch nach jeder anderen vergleichbaren zivilrechtlichen Norm der Fall, „da nach allen haftungsrechtlichen Tatbeständen den Datenverarbeiter ein Verschulden für den eingetretenen Schaden treffen muss“.

In diesem Zusammenhang weist die gematik auch darauf hin, dass dieses im Übrigen auch für jegliche strafrechtliche Haftung des Arztes bei der Nutzung eines Konnektors gelte.“

Zu nachgewiesenen Sicherheitslücken des Konnektors zitiert MEDI GENO den IT-Dienstleister Jens Ernst:
“„Patientendaten sind im Moment für Hacker leicht zugänglich. Und das, obwohl Gesundheitsdaten die langfristig schutzbedürftigsten Daten sind, die wir Menschen haben“, betont IT-Dienstleister Jens Ernst. Für seinen Kunden, eine Arztpraxis, hat er bei einer Sicherheitsprüfung auf verschiedene Arten das Testvirus EICAR über den ordnungsgemäß angeschlossenen TI-Konnektor ins Praxisnetzwerk eingeschleust. Nachgewiesen hat er auch, dass die integrierte Firewall die Kommunikation nicht kontrolliert und alle Ports ausgehend geöffnet sind. Der Test lässt auf unzureichenden Schutz der Konnektoren schließen.
[…]
Das EICAR Testvirus wird zum Prüfen von Virenscannern verwendet. Jeder Virenscanner muss diese Datei als Virus erkennen. Die TI und den Konnektor konnte das Testvirus passieren. Jens Ernst erklärt: „Das bedeutet, dass es keinen wirksamen Schutz gegen Malware – also Viren und Trojaner – durch die TI gibt.““

Zuerst möchten wir richtig stellen, dass das Test-Virus nicht „die TI passieren konnte“ beziehungsweise „über die TI“ in die Praxisumgebung gelangt ist. Ein Konnektor baut zwei unterschiedliche VPN-Tunnel auf:
Der „VPN-TI“-Tunnel dient der Kommunikation mit der Telematikinfrastruktur, also dem Versichertenstammdatenmanagement (VSDM) oder dem Erreichen der Bestandsnetze – in Ihrem Fall dem Sicheren Netz der KVen (SNK = KV-Safenet).
Der „VPN-SIS“-Tunnel geht nicht „in die Telematikinfrastruktur“. Er verbindet Ihre Praxis mit dem sogenannten „VPN-Konzentrator SIS“, der laut Spezifikation von dem „VPN-Konzentrator TI“ physisch getrennt sein muss. Über den „VPN-SIS“-Tunnel können Sie Webseiten aufrufen, Emails empfangen, PVS-Updates herunterladen oder eine Fernwartung mit uns starten.

Wer sich das selbst durchlesen möchte, kann im Fachportal der gematik die aktuellen Spezifikationen (Webseite, externer Link) herunterladen. In der Zip-Datei findet sich das Dokument „gemSpec_VPN_ZugD_V1.13.0.pdf“, in dem die Vorgaben der gematik nachzulesen sind.

Herr Ernst berichtet auf seiner Homepage, dass es ihm gelungen sei, das Testvirus über SIS (also nicht durch die TI..) auf einen Praxis-PC herunter zu laden. Er hat hierzu das Testvirus über eine „https“-Verbindung heruntergeladen. „https“ steht aber für „http over TLS“ und bezeichnet eine verschlüsselte http-Verbindung zwischen dem Praxis-PC und dem Webserver, auf dem die Datei abgelegt ist. SIS kann/muss laut Spezifikation aber nur „für unverschlüsselte Protokolle Content-Filter für aktive Inhalte bereitstellen“ (Seite 33 der Spezifikation). Wie Herr Ernst auch selbst bemerkt hat, denn „lediglich bei http (Port 80) wurde der EICAR geblockt“.

Genau deswegen schreibt die KBV: „Zusätzliche Schutzmaßnahmen wie Virenschutz und die Nutzung von sicheren Passwörtern sind auch nach dem Anschluss an die TI erforderlich.“ Weil schadhafte Programme oder Email-Anhänge über verschlüsselte Verbindungen nicht herausgefiltert werden.

SIS ist kein Allheilmittel. Die Funktion des SIS ist laut Spezifikation: „Der grundlegende Schutz der angebundenen Teilnehmer vor dem öffentlichen Internet wird über eine Application-Level-Gateway-Paketfilter-Struktur (P-A-P) entsprechend den Vorgaben des BSI zur Konzeption von Sicherheitsgateways [BSI-SiGw] gewährleistet.“

Besseren Schutz erhalten Sie wahrscheinlich durch den Einsatz einer „Next Generation Firewall“, die weitere Sicherheitsfunktionen bereithält. Sprechen Sie hierzu am Besten mit Ihrem Praxis-EDV-Berater, der Ihnen Auskunft zu Funktion und Kosten geben können sollte. Alternativ wenden Sie sich bitte an die EDV-Abteilung Ihrer KV.

Wir raten generell zur Vorsicht, was die Nutzung von Webseiten und Internet-Email auf Ihrem Praxis-PC betrifft.

Wir möchten Sie an dieser Stelle auch noch einmal auf die Technische Anlage zu den Hinweisen und Empfehlungen zur ärztlichen Schweigepflicht (PDF, externer Link), herausgegeben von der Bundesärztekammer und der Kassenärztlichen Bundesvereinigung, hinweisen.

Abschließend möchten wir noch einmal klarstellen, dass wir die Verlautbarungen von MEDI GENO weder bestätigen noch entkräften können oder wollen. Dieser Artikel dient dazu, Ihnen öffentlich einsehbare Dokumente, Pressemittelungen und Spezifikationen zu den jeweils genannten „Sicherheitslücken“ anzubieten – um Sie und unsere Kollegen an der Hotline zu entlasten.

Ihr PsyPrax-Team

Telematikinfrastruktur: gematik veröffentlicht neue Dokumente veröffentlicht am 29. Juni 2019

Liebe Kundinnen und Kunden,
in dieser Woche wurden von der gematik drei Dokumente veröffentlicht, die sich mit Fragen zur Installation und zu Haftung und Datenschutz in der Telematikinfrastruktur beschäftigen.

Weitere Informationen finden Sie auf unseren Seiten zur Telematikinfrastruktur.

Ihr PsyPrax-Team

Telematikinfrastruktur: Presseberichte zum Parallelbetrieb veröffentlicht am 21. Mai 2019

Liebe Kundinnen und Kunden,
seit zwei Wochen wird in Form verschiedenster (Fach-)Presseberichte oder von Berufsverbänden über „Sicherheitsmängel“ bei der Installation der Telematikinfrastruktur berichtet.

Die genannten Punkte lassen sich aus unserer Sicht auf zwei Kernaussagen reduzieren:

1) Bei der Installation der TI-Komponenten werden angeblich/vereinzelt/.. bestehende „Sicherheitsmaßnahmen“ der Praxen deaktiviert.

Dazu können wir folgendes sagen:

a) Die von uns beauftragten Techniker haben strenge Weisung, die bestehenden Sicherheitsmaßnahmen nicht zu deaktivieren. Es ist für den Betrieb des Konnektors weder notwendig eine „Personal Firewall“ auf dem Computer zu deaktivieren, noch ist es notwendig den Virenschutz abzuschalten. Es gibt aber z.B. einen speziellen Fall: Das KV-Safenet (SNK) war nicht erreichbar, da auf dem Praxisrechner ein „Avira Phantom VPN“ installiert war. Der Techniker hat diesen dann in Rücksprache mit der Praxis kurz deaktiviert, gezeigt, dass das KV-Safenet erreichbar wäre, und die Software anschließend wieder aktiviert. Somit hat die Praxis die Sicherheit, dass der Techniker „seinen Job gemacht hat“, und nimmt gleichzeitig eine „Hausaufgabe“ mit zum eigenen Praxisbetreuer. Denn zu diesem Status quo wäre das KV-Safenet ja nicht mehr erreichbar.

b) Es ist im Rahmen der Konnektorinstallation (in 99% aller Fälle) nicht notwendig, Firewallregeln in Ihrem Router oder einer bestehenden Hardwarefirewall zu ändern. Da der Konnektor die Verbindung in die TI immer „von innen nach außen“ aufbaut, ist keine Einstellung notwendig, die „von außen nach innen“ mehr (als vorher) zulässt. Das 1% der Fälle betrifft „sehr restriktiv eingestellte und professionell betreute“ Firewalls.
Sie können Ihrem Systemadministrator im Vorfeld der Installation das Betriebshandbuch für den modularen Konnektor von secunet zeigen: (https://www.secunet.com/fileadmin/user_upload/konnektor/secunet_Modularer_Konnektor_Bedienungsanleitung_1.04.pdf)
Auf Seite 46 und 47 findet Ihr Administrator alle verwendeten „Ports und Protokolle“, die in der Firewall für den Konnektor zugelassen werden müssen.



2) Die Installation des sogenannten „Parallelbetriebs“ sei „nicht sicher/empfehlenswert/DSGVO-konform/…“

Dazu können wir folgendes sagen:

a) Das Installationsszenario „Integriertes Szenario: Parallelbetrieb“ ist von der gematik zugelassen. Dieses Dokument wurde von uns schon immer in der „Linkliste zur TI“ aufgeführt, und wir haben auch einige Fragen dazu erhalten.

b) Viele KVen verweisen in den Veröffentlichungen zu „Datenschutz und Datensicherheit“ auf ein Dokumente der KBV bzw. Bundesärztekammer:

Technische Anlage zu den Hinweisen und Empfehlungen zur ärztlichen Schweigepflicht Datenschutz und Datenverarbeitung in der Arztpraxis (Stand 22.06.2018) (externer Link, PDF)

Praxisinfo: Datenschutz-Grundverordnung – Was Praxen jetzt tun müssen (Stand 23.03.2018) (externer Link, PDF)

Die „Voraussetzungen“ für den Parallelbetrieb gelten aus unserer Sicht schon lange, nicht erst seit der TI. Die Diskussion flammte allerdings erst im Zusammenhang mit der TI so richtig auf.

c) Ab sofort müssen alle Praxen den Technikern bei der Installation mitteilen, welches Installationsszenario gewünscht wird, und das wird auch quittiert. Wir hätten uns das anders gewünscht, müssen hier aber anscheinend die „Betriebsverantwortung“ auf diesem Wege deutlich machen.

d) Alle Praxen, die bislang im Parallelbetrieb angeschlossen wurden (ggf. auf das Installationsprotokoll gucken), haben die Möglichkeit, dies auf das Installationsszenario „Reihenbetrieb“ bzw. „Netztrennung“ zu verändern.

Dies kann einmal in „Eigenregie“/mithilfe des Systemadministrators erfolgen: In diesem Fall schreiben Sie uns bitte eine Email an ti@psyprax.de mit dem Betreff „Anleitung Umstellung Reihenbetrieb“, dann erhalten Sie die gewünschte Anleitung. Bitte beachten Sie, dass nur technikaffine Personen oder Profis diesen Weg wählen sollten. Die Anleitung ist zwar Schritt-für-Schritt dargestellt, aber eben nicht für Jedermann/-frau gedacht. Zusätzlich empfehlen wir dringend vor dem Umbau in Eigenregie/mit Administrator die Lektüre des Konnektorhandbuchs.

Für alle anderen Praxen, die den Wunsch haben, das Installationsszenario zu verändern, arbeiten wir derzeit an einer Lösung, bei der ein Techniker diese Umstellung für Sie durchführt. Diese Lösung und die Konditionen sind noch nicht final ausgehandelt und wird nicht vor dem 01.07.2019 angeboten werden – da derzeit alle Kräfte benötigt werden, Ihre Kolleginnen und Kollegen vor „Fristende“ an die Telematikinfrastruktur anzuschließen. Bitte behalten Sie unsere Homepage im Blick, falls Sie sich für diese Variante interessieren oder entscheiden. Von Anfragen per Email oder Telefon bitten wir derzeit abzusehen, da die Kollegen Ihnen nichts anderes sagen können.



Ihr PsyPrax-Team

Ein kurzer Hinweis für Mac-NutzerInnen veröffentlicht am 24. November 2017

Liebe Kundinnen, liebe Kunden,
uns erreichten in den vergangenen Tagen Hinweise von Mac-NutzerInnen, die seit dem Betriebssystem-Update auf „High Sierra“ Probleme mit Parallels und PsyPrax32 haben.
Wir empfehlen Ihnen daher besonders vor einem umfangreichen Betriebssystemupdate, vorab eine externe Datensicherung (Datei – Daten sichern) Ihrer Patientendaten durchzuführen.