Deshalb sollte Ihr Konnektor im Rechenzentrum stehen
Dieser Tage gelangte ein internes Papier der Gematik an die Öffentlichkeit, in dem bestätigt wird. dass es in mehr als 90 Prozent der an die Telematik-Infrastruktur angeschlossenen Praxen Sicherheitsrisiken gibt. Interessanterweise liegen aus Sicht der Gematik diese Risiken nicht in der Architektur der TI selbst, sondern vor allem im sogenannten Parallelbetrieb der Konnektoren.
Anschluß seriell oder parallel?
Der Telematik-Konnektor stellt den Zugang der Praxis in das sichere Netz der Telematikinfrastruktur her. In ihrem ursprünglichen Konzept hatte die Gematik vorgesehen, dass der Konnektor “seriell” zwischen den Internet-Router und das interne Praxisnetz geschaltet wird. Der Konnektor nimmt dann eine Schutzfunktion wahr und beschränkt den Zugang von “außen” zum Praxisnetz. Leider beschränkt die Schutzfunktion auch den Internetzugang. Damit Praxen überhaupt noch ins Internet kommen, muss ein sog. “Secure Internet Service” (SIS) dazu gebucht werden, der einen eingeschränkten Internetzugang ermöglicht. Als das Konzept der TI in den frühen 2000er Jahren entwickelt wurde, war das Stand der Technik, das Internet exotisch und niemand konnte sich vorstellen, dass es ein Dutzend Jahre später aus unserem Leben nicht mehr wegzudenken sein könnte.
Daher wurde in fast keiner Praxis der Konnektor in Reihe installiert. Stattdessen wurde der Konnektor “parallel” angeschlossen – wie ein weiterer Rechner ins Praxisnetzwerk. Die Schutzfunktion kann er so nicht mehr wahrnehmen. Das alleine ist nicht unbedingt ein Problem, solange die Praxis andere Schutzmaßnahmen ergreift, um ihr Praxisnetz “nach außen” abzusichern. Viele Praxen haben beispielsweise eine sogenannte Firewall “in Reihe” zwischen Internetanschluss und Praxisnetz geschaltet. Diese prüft den Datenverkehr zwischen Praxisnetz und Internet und blockt alle nicht autorisierten Zugriffe von außen ins Praxisnetz sowie aus dem Praxisnetz nach außen wirksam ab. Aus unserer Sicht ist die parallele Installation des Konnektors in Kombination mit einer sicheren Konfiguration der Praxis EDV, wie z. B. Firewall, aktuelle Software, Virenscanner, Festplattenverschlüsselung etc. zielführender und kostensparender als der serielle Anschluss an die TI.
Und bei RED?
Die von der Gematik nun festgestellten Risiken treten zum einen in Praxen auf, deren Praxisnetz für den Anschluß der TI ohne weitere Schutzmaßnahmen direkt mit dem Internet verbunden wurde. Zum anderen sind Praxen gefährdet, deren vorhandene Schutzmaßnahmen im Zuge des Anschlusses an die Telematik-Infrastruktur abgeschaltet wurden – teilweise ohne Wissen der Praxisinhaber. Gründe dafür waren technisches Unverständnis oder schlicht Schlamperei – die sachgemäße Einrichtung und Konfiguration einer Firewall erfordert doch einiges an Sachkenntnis.
Wir sieht es aber bei Einsatz der RED telematik aus? Um unsere Praxen vom Betrieb und der Administration des Telematik-Konnektors zu entlasten, steht dieser ja in unserem sicheren Rechenzentrum und kann daher das Praxisnetz nicht vor Angriffen von außen schützen. RED löst hier aber gleich mehrere Probleme auf einmal. Da die Verbindung zwischen dem Kartenterminal in der Praxis und dem Konnektor im Rechenzentrum geschützt werden muss, schalten wir unsere Red box in Reihe zwischen Internet und Praxisnetz. Die RED box schützt nicht nur den Weg zwischen Praxis und Konnektor vor unbefugten Zugriffen, sondern bringt zusätzlich eine Firewall mit, die das Praxisnetz gegen Angriffe abschirmt. Damit erhalten unsere Praxen nicht nur einen sorgenfreien Anschluß an die TI, sondern zusätzlich einen Schutz vor Angriffen von außen.
Praxen, die bereits mit einer Firewall geschützt sind, brauchen diesen Schutz der RED box natürlich nicht. Hier reicht die Einrichtung einer gesicherten Verbindung zwischen Praxis und Rechenzentrum – oftmals in Absprache mit dem Administrator über die bereits vorhandene Firewall. Dies gilt auch für Einzelrechner, die bereits durch eine Software-Firewall geschützt sind. Damit erfüllt die RED telematik praktisch die Forderung nach einem Reihenbetrieb, erfüllt die Auflagen an die sichere Aufbewahrung des Konnektors, entlastet die Praxen von der laufenden Betriebsverantwortung und spart sogar noch bares Geld.