Praxis-IT: Ärger mit Praxissoftware, Konnektoren und ePA

Konnektoren müssen ausgetauscht werden

Konnektoren des Herstellers Coup Group Medical (CGM) waren die ersten, die auf den Markt kamen, um Praxen an die Telematikinfrastruktur (TI) anzuschließen. Praxen, die sich schon früh einen Konnektor zugelegt haben, um die TI nutzen zu können, sind nun als erste davon betroffen, diese Geräte austauschen zu müssen. Denn das Zertifikat, das für den Betrieb der Geräte nötig ist, verliert nach 5 Jahren seine Gültigkeit. Zum Austausch des Geräts gibt es derzeit keine Alternative, gab die Kassenärztliche Bundesvereinigung (KBV) zuletzt bekannt.

Die betroffenen Praxen hatten gehofft, um einen kostspieligen Austausch herumzukommen. Alle, die den Konnektor jetzt ersetzen müssen, bleiben jedoch nicht auf den Kosten in Höhe von bis zu 2.300 Euro sitzen. Die KBV konnte nach monatelangem Streit mit den Krankenkassen erreichen, dass die Kassen die Kosten für den Austausch komplett übernehmen.

Der Hersteller CGM hatte dafür den Preis auf 2.300 Euro abgesenkt – auch für bereits in Auftrag gegebene Austausche. Praxen, die austauschen müssen, werden auch von CGM direkt informiert, sind aber nicht verpflichtet, das Ersatzgerät wieder bei CGM zu bestellen. Es gibt Alternativen, die zum Teil weniger als 2.300 Euro kosten, z. B. Konnektoren, die nicht direkt in der Praxis stehen, sondern in einem Rechenzentrum. Praxen können sich mit solchen Geräten per VPN verbinden lassen.

Weitere Informationen dazu erfragen Sie am besten bei Ihrem IT-Dienstleister, der Ihre technischen Voraussetzungen gut kennt und beurteilen kann, welche Lösung für Ihre Praxis geeignet ist.

Praxissoftware inSuite von DocCirrus von Datenleck betroffen

Zehntausende Gesundheitsdaten von mehr als 60.000 Patienten waren im Internet offen zugänglich. Auf Daten aus 270 Praxen, die die Praxissoftware inSuite des Herstellers DocCirrus nutzen, konnten Mitglieder der Datenaktivisten-Gruppe „Zerforschung“ zugreifen, nachdem es ihnen gelungen war, Zugang zu den in der Software hinterlegten E-Mail-Adressen von Arztpraxen zu bekommen. So war es den Aktivistinnen möglich, die E-Mail-Kommunikation zwischen Arztpraxen und ihren Patientinnen einzusehen. Dazu gehörten Laborbefunde, Blutwerte oder Atteste.

Die Gruppe informierte daraufhin zuerst das Unternehmen und den zuständigen Datenschutzbeauftragten in Berlin. „Zerforschung“ geht davon aus, dass Daten von mehr als einer Million Menschen einsehbar waren. Der Berliner Datenschutzbeauftragte bestätigte gegenüber der Tagesschau allerdings lediglich ein Leck, das 60.000 Patienten betrifft. Das Unternehmen DocCirrus zeigte sich in einer Pressemeldung dankbar, auf „Programmierfehler“ aufmerksam gemacht worden zu sein, und gab an, die Fehler mittlerweile behoben und die betroffenen Praxen informiert zu haben. „Zerforschung“ forderte die Datenschutzbehörden auf, gegen das Unternehmen vorzugehen und Strafen festzusetzen.

Das Unternehmen verweist auf seiner Website auf Zertifizierungen seiner Software, u.a. durch die KBV. Es wirbt außerdem damit, dass die Daten zu 100 Prozent lokal gespeichert würden.

Sicherheitslücke auch bei der elektronischen Patientenakte und dem E-Rezept

Wenn Patienten die elektronische Patientenakte (ePA) nutzen wollen, müssen sie sich für einen Zugang freischalten lassen. Dafür müssen sie ihren Personalausweis überprüfen lassen. Bisher konnten sie dafür ein sogenanntes Video-Ident-Verfahren nutzen, mit dem sie sich online mit ihrer Krankenkasse verbinden konnten. Dieses Verfahren wird seit 2021 für den Zugriff auf die ePA benutzt und inzwischen auch für das E-Rezept verwendet.

Sicherheitsforscher des Chaos Computer Clubs (CCC) konnten dieses Verfahren nun jedoch erfolgreich überwinden. Sie haben sich dabei Zugriff auf die ePA einer Testperson verschafft. Ihren Angaben zufolge ließe sich mit diesem Verfahren theoretisch für eine beliebige Auswahl der 73 Millionen gesetzlich Versicherten eine ePA eröffnen und darüber die in Arztpraxen, Krankenhäusern und Krankenkassen gespeicherten Gesundheitsdaten der Personen anfordern.

Die Gematik hat inzwischen den Krankenkassen untersagt, das Video-Ident-Verfahren weiterhin einzusetzen. Die Gematik sucht im Moment zusammen mit dem Bundesgesundheitsministerium nach alternativen Lösungen. So lange bleibt Versicherten nur, sich in einer Krankenkassen-Filiale vor Ort für die Nutzung der ePA legitimieren zu lassen, wenn ihr Personalausweis nicht für eine Online-Nutzung ausgelegt ist.