Nachdem in der jüngsten Zeit insbesondere in den sozialen Medien vielfach die Befürchtung geäußert wurde, der Konnektor der Telematikinfrastruktur könne gleichsam als trojanisches Pferd von den Kostenträgern dazu verwendet werden, auf die Datenbank der Arztsoftware zuzugreifen, möchten wir mit diesem Beitrag die Funktionsweise sowie die Möglichkeiten und Grenzen des Telematik-Konnektors aufzeigen.
Der Konnektor der Telematik-Infrastruktur verbindet ähnlich wie ein Internet-Router das interne Netzwerk der Arztpraxis über das Internet mit dem sicheren Netzwerk der Telematik-Infrastruktur. Er wird zum einen mit dem Praxisnetzwerk, zum anderen mit dem Internet verbunden und stellt so die Verbindung der Praxis zur Außenwelt her. Gleich einem “Torwächter” sorgt er durch eingebaute Sicherheitsmechanismen zum einen dafür, dass die zentrale Server-Infrastruktur der Telematik nicht durch böswillige Zugriffe von außen aus den Praxisnetzwerken angegriffen werden kann, zum anderen schützt er aber auch die Praxisnetzwerke vor böswilligen Zugriffen aus der Telematikinfrastruktur.
Wie arbeitet der Konnektor?
Im Praxisnetzwerk kommunizieren der Telematik-Konnektor, die Kartenterminals und die Rechner, auf denen die Arztsoftware läuft, über das interne Praxisnetz (LAN) miteinander, indem sie Nachrichten miteinander austauschen. Der Nachrichtenaustausch erfolgt über eine sogenannte SOAP-Schnittstelle, bei der sowohl der Telematik-Konnektor als auch die Arztsoftware nur ganz bestimmte Nachrichten mit vorgegebenen Inhalten austauschen können. Man kann sich das wie eine Ampel vorstellen, die nur bestimmte definierte Lichtsignale senden kann, auf die die Verkehrsteilnehmer reagieren. Würde die Ampel ein anderes Signal (z.B. Blinken des grünen Lichtes), senden, würde diese Nachricht von den Verkehrsteilnehmern mangels definierter Bedeutung einfach ignoriert.
Die Kommunikation zwischen Telematikinfrastruktur und Arztsoftware verläuft grundsätzlich immer von der Arztsoftware zum Konnektor. Es gibt nur eine Ausnahme, bei der der Konnektor der Arztsoftware bei bestimmten Ereignissen, beispielsweise dem Stecken einer Versichertenkarte in das Kartenterminal, eine Nachricht senden kann, sofern dies vorher zwischen Arztsoftware und Konnektor vereinbart wurde.
Die Nachrichten, die von der Arztsoftware an den Konnektor gesendet werden, enthalten bestimmte Befehle in einem vorgegebenen Format, z.B. “gib mir alle Karten, die in einem bestimmten Kartenterminal gesteckt sind”, oder “gib mir die Daten einer gesteckten Versichertenkarte”. Der Konnektor reagiert ausschließlich auf diese Befehle und nur dann, wenn das Format und der Inhalt der von ihm empfangenen Nachricht der vorgegebenen Definition entspricht. Nachrichten mit einem anderen Format oder andere Befehle werden vom Konnektor abgelehnt und nicht ausgeführt.
Erhält der Konnektor einen validen Befehl, führt er ihn aus und sendet die Antwort in einem ebenfalls vorgegebenen Format an die Arztsoftware zurück. Die Arztsoftware nimmt eine Nachricht vom Konnektor überhaupt nur dann in Empfang, wenn sie vorher eine entsprechende Anfrage an den Konnektor gestellt hat. Nachrichten, die vom Konnektor an die Arztsoftware ohne vorherige Anfrage gesendet wurden, muss diese ignorieren. Empfängt die Arztsoftware nach vorheriger Anfrage eine Nachricht vom Konnektor, überprüft sie die Form und den Inhalt der Nachricht und verarbeitet diese nur dann, wenn die Nachricht dem vorgegebenen Format und ihr Inhalt der vorausgegangenen Anfrage entspricht. Die Verarbeitung der empfangenen validen Nachricht kann ausschließlich durch vorbestimmte Aktionen erfolgen, wie beispielsweise dem Anzeigen aller vom Kartenterminal empfangenen Karten oder dem Speichern der Daten einer eingelesenen Versichertenkarte. Das Auslesen der in der Datenbank der Arztsoftware gespeicherten Daten auf Aufforderung durch den Konnektor ist daher nicht möglich.
Könnte das System manipuliert werden?
Eine Verwendung des Telematik-Konnektors als “Trojaner”, der unbemerkt Daten “absaugt”, wäre nur dann möglich, wenn dieser von sich aus Nachrichten an die Arztsoftware senden und diese dadurch auffordern könnte, bestimmte Daten aus ihrer Datenbank zu holen und an den Konnektor zu senden.
Grundsätzlich ist der Kommunikationsweg vom Konnektor zur Arztsoftware eine “Einbahnstrasse” – die Arztsoftware ignoriert alle Nachrichten des Konnektors, die sie nicht selbst durch ein vorhergehende Anfrage initiiert hat. Ein manipulierter Konrektor wäre daher nicht in der Lage, Anfragen an die Arztsoftware zu senden, um von dieser Daten zu erhalten. Die einzige Möglichkeit für den Konnektor, von sich aus eine Kommunikation mit der Arztsoftware zu initiieren, ist das Senden einer Ereignisnachricht. Diese wird von der Arztsoftware nur dann entgegen genommen, wenn dieser Kommunikationsweg vorab durch eine gesonderte Vereinbarung zwischen Konnektor und Arztsoftware registriert wurde (“Event Registration”) . Der Konnektor kann auch hier nur bestimmte Nachrichten schicken, wie beispielsweise die Information, dass eine Versichertenkarte in ein Kartenterminal gesteckt wurde. Nur wenn eine registrierte Verbindung besteht, nimmt die Arztsoftware die Nachricht vom Konnektor entgegen und führt den ihr vorgegebenen Befehl aus. Ein Zugriff auf die Datenbank der Arztsoftware ist so nicht möglich.
Welche Daten werden an die Kostenträger übertragen?
Eine Kommunikation mit den zentralen Servern der Telematikinfrastruktur erfolgt nur, wenn die Arztsoftware den Telematik-Konnektor mittels Nachricht beauftragt, eine am Kartenterminal gesteckte Versichertenkarte zu lesen und einen Online-Abgleich der Versicherten-Stammdaten durchzuführen. Der Konnektor erhält vom Kartenterminal die auf der Versichertenkarte gespeicherten Daten des Versicherten und leitet diese an die Server der Kostenträger in der zentralen Telematikinfrastruktur weiter. Dort werden die Daten mit den beim Kostenträger gespeicherten Versichertendaten verglichen. Bei Änderungen an Name, Adresse oder Versicherungsverhältnis werden die aktualisierten Daten zurück an den Konnektor übergeben, der sie als Antwort auf ihre Anfrage an die Arztsoftware weiterleitet, wo die dort gespeicherten Patientendaten aktualisiert werden. Es werden keinerlei Daten aus der Arztsoftware an die Kostenträger übermittelt, sondern nur die Informationen der Versichertenkarte, die er selbst ausgestellt hat.
Fazit
Zum aktuellen Zeitpunkt besteht für die Kostenträger keine Möglichkeit, über die Telematikinfrastruktur auf die in der Arztsoftware gespeicherten Daten zuzugreifen. Die Telematikinfrastruktur schützt allerdings nicht vor anderen böswilligen Zugriffen, so dass die Rechner in den Arztpraxen durch weitere Sicherungsmaßnahmen geschützt werden müssen. Auch ist ein rein auf Hardware basierender Zugriffschutz anfällig gegen Diebstahl oder Erschleichung der für die Erlangung des Zugriffs benötigten Komponenten.