IT aus der Hölle im Gesundheitswesen: Schlimmer geht's (n)immer

Gesundheit (Pexels, frei verwendbar)Wir stehen bezüglich der Digitalisierung im Gesundheitswesen sicherlich "in der Morgendämmerung" – bald soll es "hell werden", eRezept "fl(o)uppt" schon, die elektronische Patientenakte (ePA) kommt 2025 und alles klappt wie am Schnürchen. Ist der Traum von Dr. Karl Lauterbach, seines Zeichens amtierender Gesundheitsminister in Deutschland. Nach der Prämisse "was kann schon schief gehen" wird auf Teufel komm raus Digitalisierung im Gesundheitswesen verordnet. Da stört es vermutlich nur, wenn man mal einen Blick auf die "IT in der Praxis" im doppeldeutigen Sinne des Wortes Praxis wirft. Ein "Insider-Blick auf IT aus Praxen" gefällig?


Anzeige

Das die Digitalisierung aus Sicht der gematik TI in Sachen Lösungen wie eRezept nicht gut ausschaut und momentan hakt, ist bekannt. Dass die elektronische Patientenakte mit hoher Wahrscheinlichkeit in ein Sicherheits- und Datenschutzdesaster führt, bleibt hoffentlich nur meine "unbegründete" Befürchtung – obwohl mir wesentlich wohler wäre, wenn ein IT- und Sicherheitskonzept für das Ganze bekannt wäre. Diese gesamten Sachverhalte, die die gematik TI und die daran hängenden Dienstleistungen betreffen, möchte ich mal außer acht lassen.

IT in der Praxis

In diesem Beitrag möchte ich mich auf die IT in Arztpraxen, bei Therapeuten sowie in Kliniken beziehen. Im Hinblick "was kann schon schief gehen" sind mir die Tage einige "Insights" eines Blog-Lesers zugegangen, der als IT-Dienstleister im "Bereich Praxen, Telematik-Infrastruktur" tätig ist. Ich habe es mal "IT aus der Hölle im Gesundheitswesen" betitelt und einige Aussagen anonymisiert zusammen getragen.

In einer Mail schrieb der Leser, dass er in meinem Blog seit Jahren mitliest und sich für Meldungen interessiert, wo "mal wieder eine Firma aus dem Gesundheitssektor 'Besuch' hatte". Der Leser meinte, die meisten Probleme und die Ursachen für solche IT-Unfälle seien hausgemacht und prognostiziert, dass es noch öfters zu Vorfällen kommen werde. Lernen werde man in diesem Bereich erst, wenn man die Strafen nicht mehr aus der Portokasse zahlen kann.

Was den Leser jedoch wundert, ist der Umstand, das "man" nur große Institutionen/ Firmen auf dem Schirm habe. Es sei diesbezüglich egal, ob dies seitens der Gesetzgebung, Produktherstellern und weiteren Akteuren betrachtet wird.


Anzeige

Der Leser betreut nach eigener Aussage in der Regel "Kleinkunden" bis max. 20 Mitarbeitern im Bereich der Telematik-Infrastruktur. Das, was er da, laut eigener Aussage, tagtäglich zu sehen bekomme, sei nicht mehr lustig.

  • Clients die nicht nur Office und Praxisverwaltungssysteme (PVS-Systeme) beherbergen sondern auch reichlich privaten Krempel, angefangen von privaten, sehr freizügigen Bildern, bis hin zu Tools wie JDownloader und uTorrent.
  • Von ganz "sicheren" Passwörtern für das PVS oder PINs für die SMC-B Karten usw. will ich erst gar nicht anfangen, schrieb der Leser.

Da kann man sich ja denken, wo die Reise bezüglich Digitalisierung in Praxen im Hinblick auf IT-Sicherheit und Datenschutz hingeht. Das Fazit des Lesers lautete:

  • Diese Kunden nun über grundlegenden Themen zur IT Sicherheit aufzuklären, zu vermitteln und verstehen zu geben das dies ggf. auch mit finanziellen Aufwand verbunden ist, endet in einer Sisyphus Arbeit, und ist in 70% aller Fälle sinnlos.
  • Die Menschen neigen leider noch dazu, Probleme welche nicht greifbar sind zu ignorieren.
  • Wenn das die bösen Jungs auch verstehen, dann sind solche Praxen ein gefundenes Fressen, wenn man bedenkt das die DB des PVS auch hier recht schnell die Größe von mehreren Gigabyte erreicht.

Die Mail endete mit der Aussage "Als Mensch, der nun seit knapp vier Jahren im Bereich der Telematikinfrastruktur arbeitet, habe ich Angst vor der Digitalisierung des Gesundheitswesens. Nicht weil die großen Firmen ihre Hausaufgaben nicht richtig machen, sondern weil die kleinen nicht mal damit anfangen wollen. Darüber sollten wir langsam nachdenken denn es wird gerne vergessen das der Hausarzt und Facharztpraxis um die Ecke mit zu diesem Klientel gehört."

Gelebte Verantwortungslosigkeit

Ich habe dann mal nachgefragt und der Leser hat dann mit einigen Berichten aus der Praxis nachgelegt. Meine ungenannt bleiben wollende Quelle beobachtet, dass die meisten kleineren Praxisinhaber, gerade im therapeutischen Bereich, IT- und Datenschutz-relevante Themen kaum tangieren. In diesem Umfeld findet man, laut Leser gerne solche Clients/Umgebungen:

  • Windows 10: Update-Stand vor Version 22H2
  • Praxis IT gern im Mix mit privaten Daten
  • Filesharing-Software auf dem Praxis-Verwaltungssystem
  • Cloud-Dienste wie OneDrive, Google Drive oder Dropbox. Bei ersterem gerne die kostenfreien, privaten Angebote.

Ist dann in Punkto Sicherheit und Datenschutz so etwas wie "IT aus der Hölle" und gelebte Verantwortungslosigkeit – es ist na noch nie etwas passiert. Der IT-Dienstleister bekommt höchstens den Auftrag, das Ganze "abzusichern". Die Quelle schreibt: "Für den Schutz sorgen dann Internet Security-Suites wie Norton, G Data oder Kaspersky mit Lizenzen für den privaten Gebrauch". Für den erweiterten Schutz vor Eindringlingen aus dem Internet sollte dann eine FRITZ!Box als Firewall reichen. Mit ein wenig Glück findet man dann doch gelegentlich eine kleine Sophos-, Lancom- oder Securepoint-Firewall-Lösung, weiß meine Quelle zu berichten.

FRITZ!Box als Router (Privat und Praxis)

Bei der FRITZ!Box kann ich noch ein besonderes Schmankel berichten, auf das mich ein Leser hingewiesen hat. In der Regel werden über diese Router ja auch die Telefonfunktionen laufen. Gerade im medizinischen Bereich ist es aber ein Problem, wenn Telefonate für die Praxis und ggf. private Telefonanschlüsse über die gleiche FRITZ!Box laufen. Das kann nicht getrennt werden – und wer privat auf die FRITZ!Box-Oberfläche zugreifen kann, sieht, welche Telefonate in der Praxis einlaufen, wer angerufen hat und wie lange ein Gespräch dauert. Läuft ein Anrufbeantworter, könnte man auch die Sprachnachrichten abhören. Aus Datenschutzsicht ein No-Go. Ich hatte diesbezüglich mal bei AVM diesbezüglich nachgefragt und folgendes aufgeworfen:

  • Seit der Coronavirus-Pandemie werden viele Menschen ins Homeoffice gedrängt.
  • In der Regel gibt es dort nur einen privaten DSL-Anschluss, der über einen Router – oft eine FRITZ!Box mit FRITZ!OS – abgedeckt wird.

Sobald dort aber private und beruflich Funktionen (Telefonanrufe, Zugriff auf Geräte, VPN-Verbindungen etc.) genutzt werden, laufen wir in ein Problem. Alle Anrufe, die über die FRITZ!Box einlaufen, legt FRITZ!OS in eine Log-Datei. Dabei werden berufliche und private Anrufe im Protokoll gemischt. Schickt der FRITZ!OS-Nutzer sich die Log-Dateien über irgend einen Freemail-Account selbst zu, liegt bereits ein DSGVO-Verstoß vor – denn ich gehe davon aus, dass kein Nutzer einen Datenverarbeitungsvertrag mit den gängigen Freemail-Anbietern hat.

Auch sonstige Zugriffe über die FRITZ!Box, die ggf. protokolliert werden, und gemischte private/berufliche Funktionen betreffen, fallen in die gleiche Kategorie. Zugriffe vom Internet auf die FRITZ!Box ermöglichen auf das gesamte Netzwerk zuzugreifen, was hinter der FRITZ!Box hängt. Anders herum kann im lokalen Netzwerk, welches durch die FRITZ!Box aufgespannt wird, jeder Nutzer auf alle Freigaben der Geräte zugreifen. Das ist kritisch, wenn private Nutzer auf Freigaben von Firmengeräten oder beruflich genutzten Geräten zugreifen können.

Dumm ist auch, wenn es einen Hack gibt, wo dann private und berufliche Informationen, protokolliert durch die FRITZ!Box, in fremde Hände fallen. Solange nur private Daten bei einem solchen Vorfall betroffen sind, hat nur das jeweilige Opfer den Schaden. Sind aber beruflich genutzte Daten bei einem solchen Vorfall involviert, wird der gesamte Vorfall für die betreffende Firma/Organisation DSGVO-relevant und muss gemeldet werden.

Ich fragte dann, ob AVM dieser Problembereich bewusst sei und ob es Pläne gebe, FRITZ!OS entsprechend zu ertüchtigen, dass bei der Konfiguration des Netzwerks und des Routers eine Trennung in zwei Segmente privat/beruflich erfolgen kann (z.B. Telefonanrufe anhand der Nummer in separate Protokolle, Segmentierung der Geräte im Netzwerk in privat/beruflich etc.). Ich wies in meiner Mail darauf hin, das Szenario auch bei Ärzten auftritt und hoch sensibel sei. Aber im Grunde betrifft es jeden Arbeitnehmer im HomeOffice.

In der Antwort von AVM hieß es dann "Ob und wie ein Nutzer seinen Router auch beruflich nutzt, ist uns natürlich nicht bekannt und ist Sache des Nutzers. Dazu gehört auch die Sicherstellung der DSGVO und der Vertraulichkeit." Der Ball wird also konkret an die Nutzer und deren Arbeitgeber zurück gespielt. Mein Fazit: Im Grunde kann keine AVM FRITZ!Box in diesem Bereich eingesetzt werden, wenn berufliches und privates über ein Gerät und eine Internetleitung abgewickelt werden, weil es kaum oder nur sehr schwierig DSGVO-mäßig in den Griff zu bekommen ist.

IT-Zugriffsschutz in der Praxis

Doch zurück zu den Ausführungen des Blog-Leser, der mir schrieb: "Nun schauen wir uns den physischen Zugriffschutz an, wenn ich Ihn mal so nennen darf. Eigentlich, so in 80% aller Fälle, stehen die Geräte meistens in einfachen Schränken, Regalen oder unter dem Schreibtisch. Abgeschlossener Raum mit Netzwerkschrank o. ä. Fehlanzeige. "

Die Verkabelung ist sei immer ein Graus, so die Beobachtung des Lesers. Von wild rumliegenden LAN Kabeln angefangen, bis hin Kabelbällen aus einem Mix von LAN, Telefon- und Stromkabeln. Die Highlights bisher:

  • Kabelbälle, welche aus einem hängenden Netzwerkschrank quollen, alles in Seh- und Griffweite von Kunden in einer Apotheke.
  • PC mit Windows 7, mit Software (neben dem PVS) wie uTorrent und JDownloader bei einer psychologischen Therapeutin.
  • Clients mit lokalen Admin-Rechten, Browsern mit Plugins für nicht gerade seriöse VPN Anbietern und Bookmarks für illegale Streamingseiten.
  • Tablets mit entsprechenden Kodi-Installation zur Nutzung von illegalen Streamingdiensten.

Hinzu kommen unternehmenseinheitliche Passwörter im Stil von Admin123, und Chefs, die alle Aktivitäten ihrer Angestellten prüfen, inkl. der Tatsache das die Chefs Zugriff auf alle Mail -Postfächer im Unternehmen haben. Die Quelle schreibt, dass er das Ganze bei einem Logistiker gesehen habe, der ganz knapp der KRITIS entkam, sich neuerdings aber eigentlich mit NIS2 beschäftigen müsste – dies aber wohl nicht tun werde. Gut, ist jetzt kein Beispiel aus einer Arztpraxis, aber mit etwas Suche wird man dort auch diese Szenarien des Logistikers finden.

Hier im Blog hatte ich ja den Hack des Fernwartungssoftware-Anbieters AnyDesk begleitet und aufbereitet. Wie schrieb meine Quelle dazu: Eine Tatsache gibt es noch, die mir absolut missfällt. Es gibt einen Hersteller für Apotheken-Software aus Moormerland, welcher noch munter und fleißig AnyDesk nutzt. Bin mal gespannt, wann die ersten Beschwerden weil ich den jedes Mal deinstalliere. Ich kann da nicht anders, mein innerer Monk verbietet mir dies.

Hey, was Positives!

Der Leser hat aber zum Abschluss auch angemerkt, dass es auch positive Erfahrungen im Medizinbereich gibt. Er führte eine vier Mann-Praxis an, wo ein NUC als Client diente. Das PVS lief auf einer VM in einem Netzwerk, welches abgeschottet war vom restlichen Teil war.

  • Die VM hatte zwar Zugriff auf das Internet, aber hinter einer Firewall. Und dieser Zugriff beschränkte sich auf die TI und Server des PVS Herstellers.
  • Auch die restlichen Geräte in dieser Praxis befanden sich hinter einer Firewall in unterschiedlichen Netzen. Für Patienten gab es einen separaten Zugang über einen anderen Zugriffspunkt.

Die Netzwerkumgebung setzte hierbei komplett auf Sicherheitslösungen von Securepoint und Krämer IT. Es gibt sie also, die positiven Beispiele aus der Praxis. Wenn ich mir aber die Schilderungen so ansehe, ist noch viel zu tun – und ich bin nicht so wirklich optimistisch, dass die "Digitalisierungspläne unseres Gesundheitsministers" da am Ende des Tages technisch funktionieren und datenschutzmäßig sowie sicherheitstechnisch aufgehen. Oder wie seht ihr das Ganze? Gibt es ähnliche oder schlimmere, bzw. positivere Erfahrungen?

Ähnliche Artikel:
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 1
Ransomware bei Kommunal IT-Dienstleister Südwestfalen-IT: Nachlese IT-Forensik-Bericht Teil 2
AnyDesk wurde im Januar 2024 gehackt, Produktionssysteme betroffen – Teil 1
NIS-2-Richtlinie muss bis 17. Oktober 2024 von (betroffenen) Unternehmen umgesetzt werden
Cyber-Security II: IT-Planungsrat empfiehlt Kommunal-IT von NIS-2-Richtlinie auszunehmen
Gelebte Verantwortungslosigkeit: Umgang mit IT Sicherheit in Unternehmen und im KRITIS-Bereich
IT aus der Hölle: Hunderte Fehlanmeldungen in Solarwinds-VM beobachtet
Schule & Digitalisierung: "Ende der Kreidezeit", oder Aufbruch ins Chaos?
Lauterbach "will" die elektronische Patientenakte (ePA) mit Opt-out – ein Desaster mit Ansage oder Wolkenkuckucksheim?
Desaster (Zuverlässigkeit, Sicherheit) bei der Telematik-Infrastruktur im Gesundheitswesen

Umfrage zur Update-Politik für professionelle Telefonanlagen


Anzeige

Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

43 Antworten zu IT aus der Hölle im Gesundheitswesen: Schlimmer geht's (n)immer

  1. Hackmack sagt:

    Fachkräftemangel und verheizen der Admins sowie sparen am falschen Ende…. bis es Kracht! Machen viele, leider wahr…. siehe Caritas Deutschland….

  2. Andi sagt:

    Dann möchtest du nicht wissen was in den Stadtämter alles so ab geht. Feuerwehr, Gesundheitsamt, Schulen, Bürgerämter und Co. warum die eine Ausnahme von nis2 haben, überlege doch mal 😉
    Katastrophe wenn du da mal hinter die Fassade schaust.

  3. Helldunkel sagt:

    Ersetze Arzt gegen mittelgroße Energieversorger und der Artikel wäre der gleiche.

    Verstehe das bis heute nicht warum das gerade in den Sektoren so ist.

    Hatte es kürzlich mit einem Kollegen darüber das die dunkle Seite immer attraktiver zu werden scheint. Glaube wir hatten im Moment einfach nur Glück das sich noch keiner auf solche Systeme stürzt und den Aus Knopf drückt.

    • FriedeFreudeEierkuchen sagt:

      Wenn du dir anschaust, was in einer Arztpraxis los ist, dann verstehst du es.
      Zuerst: Die Leute sind Mediziner, keine IT-ler. Sie müssen darauf vertrauen, dass ihre Dienstleister korrekt arbeiten. Ich würde nicht pauschal auf die Mediziner schlagen. Viele wollen es wirklich gut machen. Aber bei ihren Dienstleistern klemmt es dann. Nenne mir ein IT-Unternehmen das nicht extrem kostengetrieben arbeitet. Ich sehe dort wildeste Schlampereien und seltsames Dienstleistungsverhalten. Ich spare mir jetzt eine Aufzählung trauriger Anekdoten…
      Aber bitte: Hier kein pauschales Bashing betreiben. Die einzelnen Leute aus dem Support oder der Technik sind meist kompetent. Aber wenn von oben her unsinnige Effizienzvorgaben kommen, dann können sie nicht so qualifiziert arbeiten, wie sie eigentlich wollen. Mein Vorwurf geht hier also an die Chefetagen der IT-Dienstleister, nicht an die Leute vor Ort bzw. beim Support. Einzelne Pfeifen gibt es natürlich überall…

  4. Litschi sagt:

    Der Internet/Onlinezwang ist das Problem. Für bessere Lösungen benutzt man einen abgesicherten Server der online ist. Die einzelnen Arbeitsplätze haben keinen Zugriff auf das Internet. Wenn viele Softwareanbieter dringend Fernwartung wollen und heimlich installieren (CGM/AnyDesk usw…) dürfen sie über den Server kontrolliert über das Intranet auf die einzelnen Clients aufschalten.
    Noch funktioniert das so gut bei meinen Kunden und für die "Work-Life-Balance" der Mitarbeiter stehen Notebooks mit Kioskmodus zur Verfügung die sie in der Pause nutzen können um Bus-, Bahnverbindungen zu prüfen, JDownloader zu installieren und Torrents bereit zu stellen – aber am nächsten Tag ist alles wieder gelöscht :)

  5. WSUS-Admin sagt:

    In einer ehemals von mir betreuten Spezialklinik läuft ein KIS System von CGM auf einem virtualisierten WTS, es gibt Sophos UTM Firewalls der SG Serie mit entsprechenden Sophos Accesspoints der AP Serie.

    Internet läuft über einen Webfilter mit zweifach Virenscan.

    Das Problem ist: Sophos SG ist bald EOL, alle WLAN Access Points der Serie AP müssen dann raus, der virtuelle WTS ist noch Server 2012 R2.

    Die Investitionen werden auf 10-15 Jahre getätigt und die IT ist viel zu schnell mit den Lebenszyklen, man kommt kaum hinterher.

    Der TI Connector muss getauscht werden, weil dessen internes Zertifikat ausläuft, und und und.

    FAX ist noch das Kommunikationsmedium Nr. 1, es gab eine Rebellion der Stationen als das abgeschafft werden sollte.

    Es gibt KiM über die TI Anbdingung und die CGM Implementierung. Genutzt wird es nicht. Genauso wie E-Mail Verschlüsselung. Sensible Patientendaten gehen unverschlüselt durchs Netz.

    Wenigstens gibt es keine Windows 7 Clients mehr. Und keine Adminrechte für die Anwender. Strukturierte Verkabelung. Privat sollen die Mitarbeiter mit ihren Smartphones surfen, gibt ein MA-WLAN hierfür.

    • Anonymous sagt:

      Wobei Windows 7 Clients per se weniger plauderfreudig an externe Endpunkre waren als ihre Windows Nachfolger.

      • R.S. sagt:

        Und man mit ESU Windows 7 auch sicherheitstechnisch noch bis Oktober 2024 aktuell halten kann.
        Windows 7 ist also nicht per se ein Sicherheitsrisiko.
        Es kommt auf den Patchstand an.
        Aber da sehe ich schwarz. Die allermeisten Windows 7 Installationen werden wohl nicht auf dem aktuellen Patchstand sein.

        • werner hermann sagt:

          Wenn ich das richtig sehe kannst du offiziell nur noch Embedded/POS Systeme per ESU absichern.
          Wer da was "hinbastelt" hat ggfls nicht nur lizenzrechtliche Probleme sonder erfüllt IMHO auch nicht die Vorgaben der Telematik.

      • FriedeFreudeEierkuchen sagt:

        Das ist aber nicht das Kriterium für hochsensible Daten. Da geht es darum, dass das Basissystem möglichst wasserdicht ist. Und das ist Win 7 ganz objektiv schon viele Jahre nicht mehr (selbst in den letzten Jahren des aktiven Supports).

  6. Yossarian sagt:

    "Dass die elektronische Patientenakte mit hoher Wahrscheinlichkeit in ein Sicherheits- und Datenschutzdesaster führt, bleibt hoffentlich nur meine "unbegründete" Befürchtung"

    Oh nein Herr Born, das würde ich sogar als komplett gesichert betrachten. Wenn die ePatientenakte kommt, dann werden definitiv unsere Daten "abfließen" und im schlimmsten Fall komplett öffentlich werden. Die Frage ist dabei wohl nur wann.

  7. 1ST1 sagt:

    Wenn ich mal zum Doc muss, staune ich auch jedes Mal. Man wird vom Warteraum in einen Behandlungsraum gerufen, und sitzt da erstmal, das kann auch mal eine halbe oder länger Stunde sein, bis der Artzt aus einem anderen Behandlungsraum kommt. Bis dahin steht der PC entsperrt da und die Arzthilfe hat dem Dosc schonmal am PC die Krankenakte geöffnet. Jede weitere Akte ist nur ein paar unbeobachtete Mausklicks entfernt, und der PC läuft auch im Jahr 2023/24 noch mit Windows 7.

    Das was Sie da als Zustand in Artztpraxen usw. beschreiben ist auch in vielen anderen Handwerksbetrieben normal. Die haben keine Domäne, keinen Admin und Office wird als Family-Pack gekauft, 6 Lizenzen für 99 oder weniger im Jahr. Von Sicherheit hat da noch niemand was gehört, Passwörter sind lästig, hat der Sohn von Miarbeiter X so aufgebaut, funktioniert. Natürlich hat jeder Nutzer auf seinem PC Adminrechte und installiert alles was er/sie will, betreibt Filesharing, usw. die serienmäßigen Platten der PCs sind ja groß genug. Natürlich sind die persönlichen Daten, die in der Arztpraxis gespeichert werden, ungemein sensibler, aber auch ein Elektrohandwerksbetrieb kann interessante Informationen über seine Kunden "liefern", und wenn es nur Details zur installierten Alarmanlage sind.

    Dass eine Fritzbox bzw. die meisten anderen Router auch keine getrennten VLANs aufspannen, ist auch normal, dafür sind die meistens nicht gemacht und auch die Hausverkabelung (sofern es überhaupt eine gibt) gibt das meistens nicht her. Und nicht jedem Benutzer erschließt sich diese Ausplittung überhaupt. Zum Glück ist aber heutzutage meistens die Praxis nicht mehr im Wohnhaus des Arztes, außer im ländlichen Bereich. Betriebe können aber Homepoffice-Arbeitspätze absichern, der Firmen-PC baut eine VPN-Verbindung in den Betrieb auf, aus der er nicht ausbrechen kann, oder das Citrix-Portal ist so eingestellt, dass weder lokale Laufwerke, Copy&Paste, Drucker noch Screenshots möglich sind.

    • R.S. sagt:

      Screenshots zu verhindern löst kein Problem, es erschwert es nur minimal, an den Inhalt des Bildschirms zu kommen.
      Zückt man eben sein Smartphone und fotografiert den Bildschirm ab.

      • 1ST1 sagt:

        Einen 100% Schutz gibts nicht, man kann es dem Datendieb nur so schwer wie möglich machen. Der Weg andersrum, von draußen was böses rein zu pasten geht schonmal nicht mehr…

    • J. sagt:

      Was du in deinem ersten Absatz beschreibst, kann ich zu 100 % bestätigen – das war bislang bei JEDEM Arzt so, bei dem ich in den vergangenen 15 Jahren war. Die berühmte positive Ausnahme ist mir bislang nicht untergekommen.

  8. CS sagt:

    Der Artikel spricht mir aus der Seele.

    Ich mache seid gut 20 Jahren IT für Arztpraxen und es ist genau so wie beschrieben. KBV Sicherheitsrichtlinie und Vorgaben hin oder her, sobald es Geld kostet, welches nicht erstattet wird ist das Thema bei den meisten Ärzten, vor allem in kleineren Praxen, durch. Wenn wir eine Praxis von Kollegen übernehmen sehen wir immer genau das, unabhänig von der Größe der Praxis. Ausnahmen sind sehr sehr selten.

    Gehandelt wird erst, wenn es durch einen Vorfall Geld gekostet hat weil z.B. durch einen Crypto Trojaner das PVS verschlüsselt, die Daten abgezogen und nicht abgerechnet werden kann. Hier hatten wir auch auch schon mehrere Fälle, bei denen wir dazugezogen wurden, wo sowohl PVS als auch Backup kurz vor Quartalsende/Abrechung verschlüsselt wurden und das gesamte Quartal nicht abrechenbar war. Hier wurden dann 90%(!) des Umsatzes aus dem Vorquartals trotzdem von der KV bezahlt. Strafen oder ähnliches: Fehlanzeige

    Wir haben das Glück, das wir als unabhäniger Partner eines kleineren PVS Herstellers frei in der Wahl der IT Komponenten sind und entsprechend IT Security nach unseren Vorgaben machen können. Alle Kunden die wir betreuten haben als Minimum einen (korrekt konfigurierten) EDR Schutz und eine nach dem Whitelisting-Ansatz Firewall mit aktiven Security Features. Netzwerksegmentierung für medizinische Geräte, PVS Systeme, Telematik, Patienten WLan usw. und auch 2-Faktor Authentifizierung bei VPN Verbindungen sind ebenfalls bei unseren Kunden umgesetzt.
    Gerne würden wir einen vollumfänglichen Zero-Trust Ansatz in den Praxen implementieren, was aber oft an der eingesetzten Software scheitert. Viel Software im medizinischen Bereich ist von der Architektur und Technologie so alt und kommt nichteinmal ohne lokale Administrative Rechte klar, was sicher aber durch PAM Lösungen meistens zumindest so weit einschränken lässt, dass der "normale" Nutzer keinen Admin Account brauch.

    Das Thema nicht gesperrte Computer, gleiche Passworte, private Nutzung usw. wird bei uns in der Beratung immer wieder angesprochen und wir weisen Schriftlich auf das Risiko hin, was, vor allem bei größeren Praxisbetreibern, mitlerweile durchaus aus offene Ohren stößt und langsam geändert wird. Meistens ist das Argument dann, dass das zu lange dauert sich einzuloggen und jedes mal wenn man in den Raum kommt das Passwort einzutippen. Das beliebteste Passwort bei unseren Kunden für den Login ins PVS ganz originell: praxis

    Infrastruktur, "Kabelballen", physikalsiche Sicherheit usw. ist aber weiterhin ein Thema, da auch bei Praxis Neubauten durch die Architekten usw. nicht daran gedacht wird. Wir haben im letzen Jahr für ein MVZ mit mehr als 20 Standorten und einem Archtekturbüro einen Praxisneubau geplant und der EDV Schrank mit strukturierter Verkabelung und den Servern für radiologische Geräte und das PVS für mehr als 30 Arbeitsplätze sollte im Umkleidebereich des Personals montiert werden. Weder die Geschäftsleitung noch das Architekturbüro sah darin ein Problem und es waren viele Gespräche notwendig um einen entsprechend gesicherten und gekühlten Raum zu bekommen…

    • Christian Krause sagt:

      kann bestätigen, dass Ärzte die mit Abstand schlechtesten Kunden sind. selten so wenig Investitionsbereitschaft gesehen.

    • R.S. sagt:

      Das Thema mit den einfachen Passwörtern lässt sich doch einfach lösen:
      Windows so konfigurieren, das komplexe Passwörter mit einer Mindestlänge gefordert werden.
      Also z.B. mindestens 10 Zeichen und Groß-Kleinschreibung, Ziffern und Sonderzeichen müssen im Passwort enthalten sein.

      • CS sagt:

        Klar kann das eingerichtet werden, das steht außer Frage.
        Nur wenn der Kunde das nicht will und mir schriftlich den Auftrag gibt das zu ändern und bestätigt, dass wir anders beraten haben ist das halt so ne Sache…

      • Bernd B. sagt:

        Das geht nur in Mangelmärkten und bei Quasimonopolen lange gut. Bei hinreichend Auswahl sucht sich der Kunde schlicht einen anderen Anbieter, wenn der Eigene vom Dienstleister zum Aufseher und Reglementierer mutiert.

    • Bernd B. sagt:

      Bzgl. Passwörtern: Unsere Kunden liessen sich teilweise zu Fingerabdrucklesern (und dafür starken Passworten) überreden, wäre das eine Option?

      • CS sagt:

        Ja, wir haben ein System mit Näherungssensoren im Einsatz, was auch gut funktioniert und auch beim verlassen des PCs diesen sperrt.
        Problem ist halt das übliche: Das kostet ja Geld

        • Anonymous sagt:

          "Ja, wir haben ein System mit Näherungssensoren im Einsatz, was auch gut funktioniert und auch beim verlassen des PCs diesen sperrt."

          Kannst Du das empfehlen? welches ist es? entperrt es auch bei Näherung?

      • R.S. sagt:

        Oder eine kleine Webcam und dann Gesichtserkennung nutzen.

  9. PattyG sagt:

    Wow, man spürt förmlich die Unruhe, Wut, Verärgerung und maßlose Enttäuschung, die aus Deinen Zeilen hervorgeht. Kenne ich zu gut …
    Du hast es geschafft, in (relativ) wenigen Sätzen das komplexe, undurchsichtige und verfi… System zu beschreiben, in welchem wir uns befinden.
    Danke dafür!

  10. Herr IngoW sagt:

    Hallo Günther,
    deine (un)begründeten Befürchtungen werden wohl leider eintreffen.
    Schönen Sonntag noch und möglichst viel Gesundheit uns allen.
    PS. das "(un)" kann man auch weglassen, man sollte die Hoffnung aber nie aufgeben.

  11. Herr IngoW sagt:

    Noch zum FritzBox-Problem was ja für mich nicht wirklich eins ist, denn für Privat und Praxis gehören eigentlich zwei getrennte Anschlüsse und dann natürlich zwei Router. Oder ist das den Ärzten zu teuer.

    In solch einem Bereich sollte so etwas doch Standard sein, schon allein wegen der Sicherheit und der sensiblen Daten.

    Oder liege ich da in der heutigen Zeit falsch weil ja alles schnell schnell fertig muss und einfach muß es auch sein.

    • Herr IngoW sagt:

      Noch zum FritzBox-Problem was ja für mich nicht wirklich eins ist, denn für Privat und Praxis gehören eigentlich zwei getrennte Anschlüsse und dann natürlich zwei Router. Oder ist das den Ärzten zu teuer?
      In solch einem Bereich sollte so etwas doch Standard sein, schon allein wegen der Sicherheit und der sensiblen Daten.
      Oder liege ich da in der heutigen Zeit falsch weil ja alles schnell schnell fertig muss und einfach muß es auch sein.

      • FriedeFreudeEierkuchen sagt:

        Die Frage ist wenig zielführend. "Die Ärzte" gibt es einfach nicht. Es gibt welche, die mit der Digitalisierung fremdeln, andere die Top-Aufgestellt sind und selbst umfangreiches Wissen mitbringen.
        Dass Pauschlisierungen immer doof sind, ist die einzige gültige Pauschalisierung.

    • Günter Born sagt:

      es soll Ärzte, Labormitarbeiter etc. im Home-Office geben …

  12. Martin B sagt:

    Der Aufwand durch die M$ Updates ist auch einfach zu hoch, IT verkommt so zum Selbstzweck. Die Updates sind häufig fehleranfällig, verursachen Reboots wenn man sie nicht braucht, machen die Kisten während der Arbeit lahm und bringen praktische keinen Nutzen, sind also Produktivitätskiller, vor allem wenn man stundenlang danach Probleme lösen muss (z.B. Access Bug, Druckerprobleme, Outlook Suche uvm.). Dann ist man ständig bemüht (oder sollte es sein), die Onlineschnüffelei oder automatische Onlinekontoanlage uvm. per GPOs zu unterbinden, ein enormer Aufwand, wenn man viele Kunden bis ca. 50 Nutzer betreut. Auch wird das für die Kunden zu teuer. Der Knaller ist doch nun die Adobe Story mit Scans der Dokumente und Upload in die Cloud um deren blöde KI zu füttern. Wo soll das hinführen?

    Was nutzt das einer Arztpraxis oder den Patienten? Gar nichts, außer mehr Stress für die Nutzer wenn Updates wieder mal hohldrehen und weiter steigende KV Beiträge, denn das, was die Amis verzapfen um ihre Systeme zu füttern, zahlen wir alle.

    Ganz schön dämlich eigentlich.

    Wie dem auch sei, robust und günstig liefen die ungepatchten Systeme früher unter XP und W7, running systems without any changes und das für Jahre. Abgesichert durch FW, Webfilter und gute Antispamlösungen, das Geld war dort definitiv gut angelegt.

    Aber sage das mal einem Datenschutzbeauftragten;-)

  13. Erwin Wecker sagt:

    Nis, It-Sicherheitsgesetz, BSI-KritisV, etc. – wer interessiert sich dafür?
    Welches Unternehmen hat z. B. die BetrSichV (nur eines von hunderten einschlägigen Gesetzen) vom Anfang bis zum Ende gelesen, verstanden, alle Pflichten rechtssicher umgesetzt?
    Diese ganzen Gesetze interessieren (fast) niemanden (weder die Betroffenen noch Behörden). Bis etwas passiert ist. Dann hat man Gesetze, mit dem man jemanden den Schwarzen Peter zuschieben kann. Dafür sind die Gesetze da.
    Der Bund lebt es mit seinen Verfassungsbrüchen vor: "Der Staat macht keine Fehler".

    Es gilt wie immer: "Survival of the fittest" – Mit oder ohne Gesetze.

  14. Erwin Wecker sagt:

    Was ich noch vergessen hatte, meine Meinung: Wir brauchen einfach nur den gesunden Menschenverstand und keine tausenden von nicht mehr einzuhaltende Gesetzen.

    Es reicht einzig allein der § 823 BGB.

    Mein Beitrag zum Bürokratieabbau. Mal drüber nachdenken.

  15. HR sagt:

    Das Zustände kann ich aus meiner Tätigkeit heraus bestätigen. Aber ein für die Praxen relevanter, nicht technischer Aspekt ist hier noch nicht genannt.
    Wenn etwas passiert, kann es sehr teuer werden. Denn die Haftpflichtversicherung der Praxen werden keine Zahlungen übernehmen. Das Stichwort ist erstmal grobe Fahrlässigkeit. Und der Nachweis, das dies nicht so ist, wird bei den eingangs geschilderten Zuständen auch angesichts der aktuellen Lage und der diesbezüglichen Berichterstattung sehr schwierig.
    Bitte weißt doch die von Euch betreuten Praxen auf mögliche rechtliche Folgen hin. Die korrekte rechtliche Beurteilung muss von Juristen (z.B. der KV) übernommen werden.

  16. Partypapst sagt:

    Komische Sichtweise vieler hier. Günter hat's in einem vorherigen Artikel doch schön beschrieben, was in der übergeordneten Sicherheitsarchitektur schief läuft.
    https://www.borncity.com/blog/2024/03/23/digitalisierung-im-gesundheitswesen-kelber-kritisiert-epa-schutzlos-gegen-cyberangriffe/

    Ihr zerbrecht Euch die Köppe und lästert über Windows 10 21H2 in Verbindung mit Fritzboxen, Passwortkomplexitäten in kleinen Entitäten da draußen, die von Medizinern (!) geführt werden, deren Reallohn extrem nach unten geht bei gleichzeitiger Budgetierungsgrenze. Kostensteigerungen von bis zu 25% (Personal, Software, Dokumentation, Geräte), aber die Pauschalen stagnieren nahezu.
    Immer mehr Patienten müssen von immer weniger Ärzten in der Fläche behandelt werden. Die Budgetierung bleibt aber für FÄ.
    Ist so als ob man dem Betreiber einer Autowerkstatt sagt, du muss 1300 Autos im Quartal reparieren, bekommst aber wenn du deutlich mehr als der Durchschnitt machst keine Vergütung mehr für Mehrreparaturen.
    Davon profitieren nur Betreiber von Praxen, die die Mindestwochenstundenzahl (26) öffnen und ggf. im Ballungsgebiet solvente Privatkundenanteile haben.
    Ihr kackt die falschen an.
    Eine maximaler Impact wird doch erreicht, wenn man wie bereits geschehen, einen Dienstleister wie Bitmark kompromittiert.
    Auch die Gematik-Implementierung der ePA ist absolut nicht gefeit gegen zentrale Kompromittierung. Ich geh doch nicht zum Endpoint, wenn ich ein Vielfaches in der Zentrale oder über die Struktur selber abgreifen kann.
    Sämtliche Gematik-Implementierungen von PVS-Herstellern, bspw. CGM Turbomed (Hausarzt) oder ifa (Augenheilkunde), die ich gesehen habe, sind krude bis hanebüchen. Praktikabilität ist oft nicht gegeben und wenn man es versucht hat, völlig irre.
    Was ist z. B. an der so oft geprisenen Komfort-Signatur mit dem eHBA am Morgen anders als 200-250 Blankoformulare im Analogen zu zeichnen???
    Das war und ist zuvor verboten, klar haben's einige auch gemacht, jetzt wird es als Komfortfeature geprisen. Die Stapelsignatur am Ende des Arbeitstages läuft oft desöfteren in Fehler, um die sich dann der Mediziner POSTALISCH in Bringpflicht kümmern darf.
    Das eRezept wird von Online-Apotheken damit im Fernsehen beworben, dass die Praxis doch bitte den QR-Code ausdruckt, bei ifa z. B. sämtlich auf A4.
    Die bekommens auch nicht hin einen stinknormalen TSE-Block wie jeder Einzelhändler auf ein bestehendes Rechnungsformular zu pappen, bei ifa heisst das Extra-Blatt für TSE (zumindest der Support hat keine blassen Schimmer).
    Für den Gewinn einer budgetierten GKV-basierten FA-Praxis auf dem Land stehen Ingenieure und Meister in der Industrie nicht mal auf (vor allem nach den letzten Lohnrunden), und die haben ganz sicher keine 50-70h Stunden-Woche.
    Fragt ihr Euch nicht, warum die Dichte immer deutlicher abnimmt und im stationären Bereich nur durch massive Zuwanderung aus Asien/Südamerika/Afrika abgemildert werden konnte. Das geht aber mittlerweile dem Ende zu.
    Im ambulanten Bereich gibt's den Kanll in den nächsten 7 Jahren, wenn die vielen Boomer in Rente sind. Dann haben wir hier auch nur noch NHS und Privat.

    Abschließend: Ihr repariert vor 'nem großen Regen doch sicher auch erst das löchrige Dach, bevor ihr die Fenster tauscht.
    Sprich, bei der Umsetzung der Digitalisierung im Gesundheitswesen zäumt man hierzulande komischerweise das Pferd immer von hinten auf.
    Die Esten machen es schon 15 Jahre vor.
    Notfallblatt, Medikamentenplan und Unverträglichkeiten/Allergien sind über die Karte abrufbar. Hier höre ich in nahezu jeder Praxis, ob der aktuelle Mediplan vorliegt bzw. nachgereicht werden kann.
    Und bei Heimbewohnern, die stationär eingewiesen werden, muss die Pflegekraft im Heim immer rennen, um noch Notfallblatt und Mediplan auszudrucken und dem Bewohner im Rettungswagen auf die Brust zu schnallen. Irrsinnig.

    • Martin B sagt:

      die armen Ärzte. Mediangehalt 95.000 Brutto und daruner sind auch Angestellte Ärzte. Ein Praxisarzt geht kaum unter 150k vor Steuern und nach Kosten nach Hause, bei Fachärzten geht das bis 700k hoch.

      Ärzte sind in Hinsicht auf IT oft Sparbrötchen, das liegt aber auch daran, weil viel Geld nicht immer viel hilft und es mit teuren hochflexiblen und vergoldeten Cat 7 Kabeln eben nicht getan ist. Man kann auch unausgegorene Konzepte teuer verkaufen, das ist das Problem.

      Dann macht man es eben lieber billig, das Durcheinander.

  17. Partypapst sagt:

    Abschließend:
    Man repariert vor einem großen Regen doch auch erst das löchrige Dach bevor man die Fenster tauscht. Komischerweise zäumt man hier bei der Digitalisierung im Gesundheitswesen das Pferd von hinten auf.
    Die Esten machen es seit 15 Jahren vor und können BMG und Gematik nicht so richtig verstehen.
    Digitalsieren, weil da digital drin vorkommt, aber Praktikabilität hinten anstellen.
    Bsp. In Estland hat der berechtigte Teilnehmer vom Probanden in der Regel über die Karte schnell Zugriff auf Notfallblatt. Medikamentenplan und Unverträglichkeiten/Allergien. Hier wird das von allen Praxen/Stationen immer und immer wieder gesondert abgefragt und als Fragment dokumentiert.
    Pflegekräfte in heimen können oft gar nicht so schnell laufen und drucken, um dem Heimbewohner ihre Fragmente im Notfallblatt und Mediplan im Rettungswagen noch auf die Brust zu schnallen vor der Einweisung. Irsinn!

  18. Takeo Otori sagt:

    Wär lustig wenns ned so traurig wär ..
    Allerdings können wir auch nicht ewig beim Faxgerät bleiben!
    Die Digitalisierung ist an gar nichts Schuld, es sind die Sparmaßnahmen, das völlig fehlende Sicherheits Verständis, fehlende Schulungen derjenigen die den Computer bedienen, Pfusch und Bastel, billig Hardware aus China und unprofessionelle gratis Software die auf den Rechnern nichts verloren hat.
    Social Engineering lässt sich ja jetzt wunderbar an ChatGPT üben, wie krieg ich die Dame am Empfang dazu, mein USB-Stick oder CD vom Arzt mit den angeblichen Röntgenbildern einzulegen – im selben Computer wo andere ihre eGK Karte reinstecken natürlich, da hilft dann auch keine Hardware-Firewall mehr.
    Da müsste bei jedem ITler sofort die Alarmglocke angehen und die Person eine Abmahnung und Schulung aufgedrückt bekommen, in der Realität passiert natürlich nichts dergleichen.
    Das ist aber überall so, nicht nur im Gesundheitswesen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.