Die in der ePA für alle hinterlegten Daten können auch bei Hackern Begehrlichkeiten wecken. Einer der möglichen Angriffspunkte sind Praxen und die dort betriebenen Komponenten der Telematikinfrastruktur (TI). Spätestens jetzt – noch vor dem bundesweiten Rollout der ePA – sollten sich Praxisteams also Zeit nehmen, ihr Qualitätsmanagement (QM) und ihre Praxis-IT auf Schwachstellen zu checken und diese zu beheben.
Dokumentation sicher verwahren
Gutes QM beginnt mit einer guten Dokumentation. Gerade zu Beginn der TI kam dies mitunter zu kurz, folgte doch auf den langen Terminfrust oft nur ein Technikerbesuch unter Zeitdruck, um endlich die TI-Komponenten zu installieren.
Schnell noch einen rudimentären Zettel mit den Passwörtern und Zugangsdaten dagelassen – Unterlagen abgeheftet und “aus den Augen, aus dem Sinn”. Spätestens beim Wechsel des Praxisverwaltungssystems (PVS) oder dem Tausch von TI-Komponenten ärgert man sich dann über die mangelnde Dokumentation.
Wichtig: Als Praxisbetreiber sind Ärztinnen und Ärzte dafür verantwortlich, die Dokumentation und Zugangsdaten sicher aufzubewahren! Als Hilfe dabei haben die Rauchenden Köpfe Formblätter für die Dokumentation der Passwörter und Zugangsdaten der einzelnen Komponenten erstellt (s. Kasten links).
Geräte aktualisieren
Wie beim PVS ist es auch bei der TI wichtig, die einzelnen Teile up to date zu halten. Allen Komponenten der TI wird technisch nur eine begrenzte Zeit “vertraut”. Nach Ablauf einer meist fünfjährigen Frist sind die Komponenten, zumindest in Teilen, auszutauschen. Die Sicherheitszertifikate laufen dann ab.
Behalten Sie also im Blick, wie lange die Sicherheitszertifikate Ihrer TI-Komponenten gelten. Wer beispielsweise 2020 seinen eHeilberufeausweis (eHBA) oder Praxisausweis (SMC-B) beantragt hat, muss 2025 erneuern. Setzen Sie sich zum Beispiel großzügig vor Ablauf eine Terminerinnerung und beantragen neue Geräte oder Ausweise – einige Lieferungen dauern vier bis sechs Wochen.
Wichtig: Da die Komponenten Zugang zur TI ermöglichen, dürfen sie nicht einfach im Hausmüll entsorgt werden (mehr Infos der Gematik: www.hausarzt.link/G43FR oder im Produkthandbuch). Die Einstellungen von Konnektoren und Lesegeräten sind zurückzusetzen und die Karten (wie SMC-B oder gSMC-KT) sind aus den Geräten zu entnehmen. Sind die Karten noch gültig, können sie in einem neuen Gerät weiter genutzt werden. Sind die Karten abgelaufen, sind sie zu zerstören.
Konnektor schützen
Der Konnektor ist das Herzstück der TI in der Praxis. Er baut eine verschlüsselte Netzwerkverbindung (VPN – Virtuelles Privates Netzwerk) zu den zentralen TI-Servern auf, um einen sicheren Datenaustausch mit diesen zu gewährleisten und verwaltet die digitalen Identitäten der Praxis – beispielsweise für die TI-Mailvariante KIM oder die digitale Unterschrift für das eRezept.
Die meisten Praxen haben aktuell noch Konnektoren, die als unscheinbare Kästchen irgendwo in der Praxis stehen. Wichtig: Konnektoren sollten nie frei zugänglich sein. Prüfen Sie, ob Ihr Konnektor vor dem Zugriff von anderen hinreichend gesichert ist, zum Beispiel in einem abgeschlossenen Schrank.
Merke: Sie als Betreibende müssen die Zugangsdaten Ihres Konnektors kennen und dokumentiert haben. Nicht weil Sie dort selbst etwas umstellen sollten, sondern um die Hoheit über Ihre Passwörter zu besitzen und Ihrem IT-Dienstleister den Zugang zu gewähren, sofern dieser etwas einstellen muss.
Aufgrund der Stabilität der TI-Verbindung, deren Geschwindigkeit und auch nötigen Sicherheitsmaßnahmen ist es langfristig zu empfehlen, nicht mehr unbedingt einen Konnektor “in der Praxis” zu betreiben.
Tipp: Steht bei Ihnen ein Konnektortausch an, überlegen Sie, ob Sie auf eine andere Variante wechseln. Aufgrund der Sicherheitszertifikate sind Konnektoren in der Regel nach fünf Jahren zu tauschen. Bei zwei der drei Anbieter kann per Update die Laufzeit verlängert werden (Secunet, Rise).
Wechsel in die Cloud?
Manche Praxen haben bereits auf einen Cloud-Konnektor (TI as a Service, TIaaS) umgestellt. Er bietet im Grunde die gleichen Funktionen, steht aber nicht physisch in der Praxis, sondern in einem Rechenzentrum. Hier gewährleistet der Dienstleister des Rechenzentrums die Zugriffssicherheit – und in der Regel verfügen Sie daher hier nicht über die Zugangsdaten.
Tipp: Nutzen Sie bereits einen Cloud-Konnektor, ist es sinnvoll, demnächst auf die neue und durch die Gematik zugelassene Variante, das sogenannte TI-Gateway, zu wechseln. Diese bietet Vorteile bei Stabilität und Geschwindigkeit der TI-Verbindung.
Zudem sollen in Zukunft diese Hochleistungskonnektoren (TI-Gateway) in Rechenzentren eingesetzt werden, weil damit auch ein nochmal höheres Sicherheitsniveau beim täglichen Arbeiten erreicht werden kann.
Lesegeräte manipulationssicher?
Als weitere Komponenten haben Sie ein oder mehrere TI-taugliche Kartenlesegeräte oder eine spezielle Tastatur, mit der Versichertenkarten eingelesen werden können. Diese sind laut Betriebsanleitung regelmäßig auf Manipulation zu überprüfen. Wie das in der Praxis realistisch umsetzbar ist, steht auf einem anderen Blatt…
Tipp: Bitte prüfen Sie aber, ob bei der PIN-Eingabe ein Störrauschen seitens des Tastengerätes erfolgt oder ob die optisch elegantere Variante mit Bildschirmtastatur die Zahlen durchwürfelt. Beides ist zwar theoretisch aus Komfortgründen deaktivierbar, aber entweder könnte ihre PIN bei der Eingabe abgehört werden, oder jemand könnte anhand der unvermeidlichen Fingerabdrücke auf dem Gerät die PIN erraten.
Jedes Lesegerät hat einen eigenen Zugangs-PIN, den Sie für den Konfigurationsfall dokumentiert und zum Beispiel mit der Doku-Vorlage verschlossen, aber griffbereit haben sollten.
Zudem hat auch jedes Kartenlesegeräte einen Sicherheits-Chip (gSMC-KT) in der Größe einer Handy-SIM-Karte, der wegen des Sicherheitszertifikats alle fünf Jahre getauscht werden muss. Diese sind nicht durch eine PIN geschützt, aber das Ablaufdatum sollten Sie im Auge behalten.
SMC-B nie in fremde Hände
Ebenso alle fünf Jahre zu tauschen ist der BSNR-abhängige Praxisausweis SMC-B, mit der sich die Praxis gegenüber der TI identifiziert. Wie die gSMC-KT steckt auch die SMC-B in einem Kartenlesegerät. Wichtig: Die SMC-B darf nie in fremde Hände geraten. Beide “kleinen” Chips sind durch ein Sicherheitssiegel vor Entnahme aus dem Lesegerät zu sichern.
Der SMC-B ist zudem mit einer PIN geschützt, die Sie geheim und nicht beim Gerät aufbewahren sollten (s. PIN-Knigge unten).
Andererseits brauchen Sie den PIN täglich, um ihn beim Praxisstart einzugeben, und sollten ihn abends beim Verlassen der Praxis durch Ausschalten des Lesegeräts deaktivieren. Tipp: Sicherheitshalber sollte der PIN regelmäßig, spätestens bei Wechsel im Personal, verändert werden.
Der PIN zum SMC-B muss in der Regel an Angestellte weitergegeben werden, da ohne aktive TI nicht mal das Einlesen von Versichertenkarten möglich ist. Sensibilisieren Sie daher alle im Team, die mit der TI oder den Zugangsdaten direkt oder indirekt zu tun haben, für den sicheren Umgang damit.
Denken Sie vor dem Tausch der SMC-B daran, dass diese mit Ihrem KIM-Konto “verheiratet” ist. Die KBV rät, vor dem Ende der Laufzeit die KIM-Nachrichten mit dem alten SMC-B abzurufen und zu entschlüsseln.
Beim Wechsel sollten die Techniker darauf achten, dass sich Scheidung vom alten SMC-B und Heirat mit dem neuen möglichst überlappen (mehr dazu und zum Konnektortausch finden Sie unter: www.hausarzt.link/rVSKa). Prüfen Sie nach dem Wechsel auch die KIM-Funktionalität: eAU, eNachricht und eArztbrief sind sonst vorerst nicht mehr nutzbar, was teure Technikereinsätze nach sich ziehen kann.
eHBA: PIN nur für Ärzte
Alle Ärztinnen und Ärzte, auch die in Weiterbildung, brauchen für die digitale Unterschrift von eAU und eRezept einen eHBA. Dieser ist fünf Jahre gültig.
Der eHBA hat zwei PIN: Die Signatur-PIN (PIN.QES) ist für die qualifizierte elektronische Signatur (QES) nötig. Die Karten-PIN (PIN.CH) dient zum Ver- und Entschlüsseln von Nachrichten sowie den Zugriff auf die Daten der eGK, wenn Sie den eHBA statt einem (weiteren) SMC-B in einem mobilen Kartenlesegerät (etwa im Notdienst oder Hausbesuch) nutzen.
Tipp: Wenn Sie die PIN.QES und PIN.CH identisch wählen, kommt eine PIN-Sperre seltener vor, weil nicht versehentlich die “andere” eHBA-PIN eingegeben wird.
Wichtig: Die PIN dürfen nur Sie kennen, da Sie damit rechtsgültig unterschreiben können, auch außerhalb der TI etwa einen Vertrag. Es gibt zwar technische Hilfen wie Komfort- und Stapelsignatur, damit Sie nach einmaliger PIN-Eingabe nicht “ständig” zum Kartenterminal laufen müssen, nach Feierabend sollten Sie aber den eHBA durch Ziehen aus dem Kartenlesegerät im PVS “ausschalten”. Der eHBA ist sicher aufzubewahren und, wenn er verloren geht, sind alle TI-Komponenten bei der herausgebenden Stelle zu deaktivieren.
Hilfe bei gesperrter PIN
In der Alltagshektik kann es passieren, dass man den PIN falsch eingibt oder ihn mit dem PIN der SMC-B verwechselt. Dies ist nur begrenzt oft möglich. Leider ist die Benutzerführung im PVS oft nicht optimal, sodass rasch der PIN gesperrt sein kann.
