Blog-Archive

KRITIS-Verordnung

TeleTrusT begrüßt Entwurf und sieht Nachbesserungsbedarf

Berlin, 23.02.2016 – Das Bundesministerium des Innern hat den Referenten-Entwurf einer „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ veröffentlicht und einschlägige Verbände zur Kommentierung aufgerufen. Im Vorfeld der für Anfang März angesetzten Anhörung äußern die Fachgremien des Bundesverbandes IT-Sicherheit e.V. (TeleTrusT) grundsätzliche Zustimmung, sehen aber Nachbesserungsbedarf.

Mit der „KRITIS“-Verordnung wird §10 des BSI-Gesetzes in einem ersten Schritt umgesetzt. Für die Bestimmung Kritischer Infrastrukturen in den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung werden relevante Anlagekategorien definiert und mit Schwellenwerten, korrespondierend mit dem jeweiligen Versorgungsgrad, versehen.

Im Rahmen der aktuellen Anhörung der Verbände und Fachkreise merkt TeleTrusT nach eingehender Erörterung des Entwurfes durch die internen Arbeitsgruppen insbesondere die folgenden Punkte an:

  1. Die Zugrundelegung der „500.000er-Regel“ für die Schwellenwerte wird als kritisch betrachtet. Die Regel basiert auf der Annahme, dass Ausfälle, bei denen weniger Haushalte betroffen sind, technisch und organisatorisch aufgefangen werden können. Sind im konkreten Fall also 500.000 Haushalte betroffen, kann ein weiterer, ernster Vorfall nicht einmal teilweise abgefangen werden. TeleTrusT regt an, die Schwellenwerte um einen geeigneten Sicherheitspuffer zu ergänzen.
  2. Die Benennung absoluter Zahlen für Schwellenwerte lässt eine qualitative Berücksichtigung möglicher „Domino-Effekte“ außer Acht. Wie ein europaweiter Stromausfall von 2006 gezeigt hat, kann durch Abschalten einer einzigen, eher weniger wichtigen Leitung das Gesamtsystem massiv beeinträchtigt sein. Neuere Untersuchungen und Modellberechnungen zeigen, dass Angriffe auf kleine Bereiche einer komplexen Infrastruktur durch Kaskadeneffekte die Gesamtstruktur beeinflussen können. Daher regt TeleTrusT an, in der Rechtsverordnung auch die Kumulation von sicherheitskritischen Ereignissen zu berücksichtigen.
  3. Das für die Anlagenkategorie „Standortkopplung“ zugrunde gelegte Datenvolumen auf Basis des wichtigsten, und – gemessen am Datendurchsatz – weltweit größten Internetknotenpunkts (DE-CIX), erscheint für die Betrachtung für ITK Unternehmen zu hoch. Da über den Internetknotenpunkt nicht nur der inländische, sondern auch der internationale Datenverkehr prozessiert wird, ist das Anwenden des Datenvolumens des DE-CIX auf industrielle und/oder unternehmensinterne Datenverbindungen nicht plausibel. TeleTrusT regt an, die Berechnungsgrundlage zur Festlegung der kritischen Betreiber zu revidieren.
  4. Im Referentenentwurf bleibt unklar, inwieweit moderne Telekommunikationsanwendungen wie IP-Telefonie eingeschlossen sind. Derzeit bringen alle Telekommunikationsdienstleister moderne IP-Telefonie als Basisprodukte auf den Markt. Auch über diese Dienste müssen Notrufe erreichbar sein. Daher sollten sie im Fokus der Betrachtung kritischer Infrastrukturen sein. TeleTrusT regt an, klarzustellen, inwieweit die IP-basierten Sprach- und Telefoniedienste in der Rechtsverordnung berücksichtigt werden.

PM-160223-TeleTrusT-KRITIS.pdf

Advertisements

Smart Metering Systeme

Mit intelligenten Informationsnetzen können Energieerzeugung und -verbrauch effizient verknüpft und ausbalanciert werden. Wichtige Elemente eines solchen Netzes sind intelligente Messsysteme, auch „Smart Metering Systems“ genannt. Auf der einen Seite sorgen sie für Verbrauchstransparenz, auf der anderen Seite für die sichere Übermittlung von Messdaten. Mit der zusätzlichen Fähigkeit, eine Plattform für die Steuerung von elektronischen Verbrauchsgeräten und Erzeugungsanlagen zu bieten, verbessern sie zudem das Last- und Erzeugungsmanagement im Verteilnetz. Zentrale Komponente eines intelligenten Messsystems ist das Smart Meter Gateway als Kommunikationseinheit mit integriertem Sicherheitsmodul.

Da es beim Aufbau und der Nutzung eines intelligenten Netzes nicht zuletzt auch um die Verarbeitung personenbezogener Daten geht, sind die Sicherheit und der Schutz eben jener eine zentrale Voraussetzung für die öffentliche Akzeptanz intelligenter Messsysteme. Die zukünftigen Energieversorgungssysteme, insbesondere die dafür verwendeten intelligenten Messsysteme, erfordern somit verbindliche und einheitliche sicherheitstechnische Vorgaben sowie funktionale Anforderungen zur Wahrung der Interoperabilität.

Im Auftrag des Bundesministeriums für Wirtschaft und Energie (BMWi) entwickelt das BSI daher Anforderungen an vertrauenswürdige Produktkomponenten (Smart Meter Gateway mit integriertem Sicherheitsmodul), deren sicheren IT-Betrieb (Administration) und an die vertrauenswürdige Kommunikationsinfrastruktur (Smart Metering PKI). Die Einhaltung der Vorgaben werden im Rahmen eines Zertifizierungsverfahrens durch das BSI überprüft. Eingebunden in die Entwicklung wurden verschiedene Verbände aus den Bereichen Telekommunikation, Informationstechnik, Energie, Wohnungswirtschaft und Verbraucherschutz sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, die Bundesnetzagentur sowie die Physikalisch-Technische Bundesanstalt.

Gegenstand des neuen Stammgesetzes über den Messstellenbetrieb und die Datenkommunikation in intelligenten Energienetzen (Messstellenbetriebsgesetz – MsbG) sind die Festlegung der technischen und organisatorischen Vorgaben des BSI zur Gewährleistung von Datenschutz und Datensicherheit (§§ 19 bis 28 in Artikel 1).

Das Smart Meter Gateway – Sicherheit für intelligente Netze (PDF, 4MB, Datei ist barrierefrei⁄barrierearm)

 

 

Veröffentlichung des Bundesamtes für Sicherheit in der Informationstechnik (BSI): https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/SmartMeter/smartmeter_node.html

Weitergehende Informationen zum Thema:

 

 

Sicherheitslücke: Warum Android-Berechtigungen Hackern Tür und Tor öffnen

Android-Berechtigungen: Einfallstor für Hacker

Das Android-Berechtigungskonzept ermöglicht bösartigen Apps das Mitlesen des Datenverkehrs. Warum das so ist und wie Sie sich schützen können, verrät Trend Micro.

Täglich werden neue Gefahren bekannt, denen Anwender durch die Aktivitäten von Hacking-Team ausgesetzt waren und es zum Teil immer noch sind.

Auch eine gefälschte Nachrichten-App gehört dazu, die rund 50 Personen aus Google Play heruntergeladen haben.

Zwar ist die App seit dem 7. Juli nicht mehr online, doch lenkt ihre Entdeckung die Aufmerksamkeit auf ein seit langem schwelendes Problem: das der Android-Berechtigungen.

Der Schädling kommt durch die Hintertür

Die betroffene „BeNews“-App enthält einen Hintertürschädling, der die Android-Sicherheitslücke mit der Bezeichnung CVE-2014-3153 ausnutzte. Über diese Lücke lassen sich auf Android-Geräten Benutzerrechte erhöhen.

Im Detail heißt das: Die Hintertür ANDROIDOS_HTBENEWS.A kann Android-Versionen von 2.2 Froyo bis 4.4.4 KitKat betreffen, ist aber nicht darauf beschränkt. Der Schädling nutzt CVE-2014-3153, eine Sicherheitslücke in Android, über die sich lokal Privilegien erhöhen lassen.

Der Fehler wurde bereits vom Root Exploit TowelRoot dazu missbraucht, um die Gerätesicherheit zu umgehen, Schadsoftware herunterzuladen und Angreifern den Fernzugriff zu ermöglichen.

Um die Sicherheitsprüfungen im Google-Play-Store zu umgehen, wird der Hintertürschädling erst nachträglich, also nach dem Herunterladen und Installieren, aus dem Internet geladen und ausgeführt.

Der Nutzer hat im Grunde keine Chance, den Trick zu bemerken. Deshalb dürften die rund 50 Anwender, welche die App heruntergeladen haben, auch in die Falle getappt sein und den Schädling nachgeladen und installiert haben.

Bedienkomfort versus Sicherheit

Um es klipp und klar zu sagen: Das Problem ist das Android-Berechtigungskonzept. Denn Google prüft die Berechtigungen nur im Zusammenhang des im Store hochgeladenen Programmcodes, aber nicht mit der letztendlich auf den Geräten der Anwender installierten App.

Tücken des Android-Berechtigungskonzepts

Leider ist das nicht das einzige Problem im Android-Berechtigungskonzept. So können bösartige Apps anstelle legitimer Anwendungen Rechte zum Mitlesen des Datenverkehrs einfordern.

Darüber hinaus werden neue Rechte bei Updates automatisch genehmigt, wenn sie derselben Gruppe von Berechtigungen angehören, denen die Anwender bereits zugestimmt haben. So gehören die Rechte für das Blitzlicht eines Smartphones derselben Gruppe an wie diejenigen für Audio- und Videomitschnitte.

Leider bleibt Google bei seiner Politik, die Sicherheit dem Bedienkomfort unterzuordnen. Cyberspione haben so leichtes Spiel.

Datenschutz versus Privacy

Es ist wohl ein frommer Wunsch zu hoffen, dass sich in kurzer Zeit etwas an dieser Situation ändern wird. In den USA bedeutet Privacy eben etwas völlig anderes als das, was wir im deutschsprachigen Raum unter dem Schutz der Privatsphäre verstehen, wie er sich im deutschen Datenschutzrecht und bald auch in der EU-Datenschutzverordnung widerspiegelt.

Die Anwender müssen deshalb selbst für Sicherheit auf ihren Android-Geräten sorgen. Das bedeutet einmal, stets höchste Vorsicht der Auswahl von Apps walten zu lassen. Zum anderen aber heißt das, dass die Zeiten schon lange vorbei sind, in denen Smartphone-Besitzer auf Sicherheitslösungen auf ihren Geräten verzichten konnten.

Zudem dürfen dies keine Minimallösungen sein, die sich auf einen Pattern-basierenden Schutz beschränken. Vielmehr sind Lösungen gefragt, wie sie auf dem PC längst zu Hause sind, Lösungen also, die auch das Kommunikationsverhalten von Anwendungen bewerten und notfalls unterbinden können.

Weitere Details zur gefälschten Nachrichten-App aus dem Hacking-Team-Fundus sind im deutschen Blog von Trend Micro abrufbar.

31.07.15 | Redakteur: Margit Kuthner

http://www.security-insider.de/themenbereiche/plattformsicherheit/mobilesecurity/articles/498907/?cmp=nl-14

Kritische Infrastrukturen und die Informationssicherheit

Der Entwurf des neuen IT-Sicherheitsgesetzes sieht vor, dass alle Betreiber von Kritischen Infrastrukturen (KRITIS) ein ISMS im Einsatz haben müssen.

(24.03.15) – Auf die deutschen Energieversorger rollt eine Zertifizierungswelle zu. Der Entwurf des IT-Sicherheitsgesetzes (IT-SiG) sieht vor, dass die meisten Unternehmen der Branche künftig ein testiertes Information Security Management System (ISMS) vorzuweisen haben. Der IT-Dienstleister prego services erläutert mit diesem Artikel, worauf sich die Energieversorger einstellen müssen:

Neue Regelungen und Verpflichtungen schreiben einen besonderen Schutz von so genannten Kritischen Infrastrukturen (KRITIS) vor – also von Kommunikationsnetzwerken, die für das staatliche Gemeinwesen eine besonders große Bedeutung haben. Zu diesen KRITIS zählen auch die Prozessnetzwerke von Energieversorgern, da deren Ausfall oder Manipulation erhebliche Auswirkungen auf die Versorgung der Bevölkerung und die öffentliche Sicherheit haben könnten. Deshalb müssen insbesondere Energieversorger künftig ein zertifiziertes Information Security Management System vorweisen.

Der IT-Dienstleister prego services in Saarbrücken und Ludwigshafen erläutert, worauf Energieversorger jetzt achten sollten. Die Energiebranche zählt zu den Kernmärkten des Unternehmens, das auch seit über zehn Jahren sichere IP-Prozessnetzwerke für Energieversorger konzipiert, implementiert sowie betreibt und Teilnehmer der Allianz für Cyber-Sicherheit im Bereich Kritische Infrastrukturen ist.

1. Was Gesetzgeber und Behörden verlangen: Der Entwurf für ein neues IT-Sicherheitsgesetz sieht vor, dass alle Betreiber von KRITIS ein ISMS im Einsatz haben müssen. Für Energieversorger verschärft sich diese Pflicht durch den IT-Sicherheitskatalog der Bundesnetzagentur (BNetzA), der derzeit ebenfalls noch im Entwurfsstadium ist. Er verlangt von ihnen, nicht nur ein solches ISMS zu betreiben, sondern es von einer unabhängigen, akkreditierten Zertifizierungsstelle zertifizieren zu lassen.

2. Welche Zertifikate notwendig sind: Das künftige Information Security Management System der Energieversorger muss zum einen der Norm DIN ISO 27001 entsprechen, welche die allgemeinen Anforderungen an ein solches System definiert. Darüber hinaus muss es verschiedene Aspekte der Norm DIN ISO/IEC TR 27019 berücksichtigen, die eine Leitlinie speziell für die Energieversorgungsbranche bereitstellt.

3. Was das ISMS leisten muss: Aufgabe eines Information Security Management System ist es vor allem, die Verfügbarkeit, Vertraulichkeit und Integrität kritischer Daten sicherzustellen. Die ISO 27001 führt dazu konkrete Maßnahmen auf, die dies gewährleisten sollen. Außerdem verpflichtet es das Management des Unternehmens, Sicherheitsrichtlinien und Regelungen zu erlassen, die nötigen Ressourcen bereitzustellen sowie das ISMS laufend zu überwachen, aber auch kontinuierlich zu verbessern.

4. Was das für die Energieversorger bedeutet: Der Aufbau und Betrieb eines solchen ISMS bringt auch die Pflicht mit sich, einen IT-Sicherheitsbeauftragten als zentralen Ansprechpartner zu bestellen. Er betreut, überwacht und pflegt als Hauptverantwortlicher das ISMS und steht der Bundesnetzagentur zu Fragen rund um den Umsetzungsgrad von Maßnahmen oder Sicherheitsvorfällen zur Verfügung. Darüber hinaus ist laut IT-Sicherheitsgesetz eine Warn- und Alarmierungsstruktur einzurichten, die rund um die Uhr verfügbar sein muss.

5. Für wen es ernst wird: Auch wenn sowohl das neue IT-Sicherheitsgesetz als auch der IT-Sicherheitskatalog derzeit noch im Entwurfsstadium sind – ihre Verabschiedung und die Pflicht für Energieversorger zu einem zertifizierten ISMS gelten als sicher. Betroffen von dieser Pflicht sind nach aktuellem Stand mehr als 1.500 Unternehmen der Energiebranche. Lediglich Kleinstunternehmen, die weniger als zehn Mitarbeiter haben und deren Jahresbilanzsumme zwei Millionen Euro nicht überschreitet, sollen von den Regelungen ausgenommen sein.

„Um sich rechtzeitig auf die Erfüllung der Gesetzesanforderungen vorbereiten zu können, sollten sich Energieversorger am besten sofort mit dem Thema ISMS auseinandersetzen“, sagt Mario Kaiser, Informationssicherheits-Beauftragter bei prego services in Saarbrücken. „Ein zertifizierungsreifes Information Security Management System führt man nicht von heute auf morgen ein. Selbst kleinere Unternehmen müssen mit Projekten rechnen, die mehr als ein halbes Jahr in Anspruch nehmen.“ (prego services: ra)

Tablets im Gesundheitswesen

ICON RisikoVom Betrachten von Röntgenbildern bis zur Telemedizin: Tablets ermöglichen Innovation im Gesundheitswesen.

Seit 2010 gibt es erste Ansätze von Beschäftigten im Gesundheitswesen Tablets zur Vereinfachung ihrer Arbeit einzusetzen. Sie stellen eine echte Alternative zu Computern, installiert an zentralen Orten und,  im Vergleich dazu, unhandlichen Notebooks dar.

Seitdem besteht – zumindest theoretisch – die Möglichkeit von überall einfach an Patientendaten, Röntgenbilder, Terminkalender, Medikationen und andere medizinische Informationen zu kommen.

Doch IT-Verantwortliche sehen diese Entwicklung mit einem besorgten Auge. Bring-Your-Own-Device (BYOD) ist gerade im Gesundheitswesen mit seinen sensiblen Patientendaten noch komplexer umzusetzen als in anderen Unternehmen.

Es ist jedoch verständlich, dass Ärzte und Pflegepersonal auf die Vorteile dieser Technologie hinweisen und die IT-Verantwortlichen auf eine Lösung drängen.

Dabei werden vornehmlich die folgenden Vorteile genannt:

Tablets können das klassische Klemmbrett und handschriftliche Notizen ersetzen

Es können bei Patientenvisiten direkt Notizen gemacht werden, die sofort im System vorhanden sind. Das Pflegepersonal kann die Medikamentenvergabe vor Ort aufnehmen und kontrollieren, und Patienten können Fragebögen und Formblätter elektronisch ausfüllen.

Tablets beziehen die Patienten in den Gesundheitsprozess mit ein

Die interaktiven Geräte sowie spezielle Apps können eine direkte Kommunikation zwischen Patient, Ärzten und Pflegepersonal herstellen, egal ob zu Hause, in der Arztpraxis oder im Krankenhaus. Kostenfreie Apps informieren über Wartezeiten oder helfen bei der Arztsuche.

Tablets helfen bei der Gesundheitsversorgung zu Hause

Die traditionelle Telemedizin erforderte aufwändige Technik und proprietäre Software-Lösungen. Tablets werden zunehmend für jeden erschwinglich. Durch die eingebauten Kameras und mit 3G-Ausstattung können breite Bevölkerungsschichten nicht nur in Ballungsräumen direkt in Kontakt mit Gesundheitsinformationen kommen, Daten weiterschicken und Ergebnisse erfragen.

Tablets erleichtern den Umgang mit medizinischer Software

Die meisten Software-Module im Gesundheitswesen basieren auf alten Codierungen, die sich nur schwerlich in neuere Betriebssysteme portieren lässt. Dies führt zu einem Festhalten an veralteten Systemen in Praxen und Kliniken. Zudem sind permanente, teure Schulungen für die veralteten Programme notwendig. Mobilität und Touchscreen statt Tastatur sowie intuitiv verständliche Apps sind Pluspunkte für Tablets im medizinischen Alltag.

Tablets zwingen die Hersteller zu schlanken Anwendungen

Software für Unternehmen im Gesundheitswesen gibt es in vielen proprietären Varianten, deren Bedienbarkeit häufig zu wünschen übrig lässt. Eine Virtualisierung der Systeme reicht nicht aus, um eine breitflächige Akzeptanz zu erreichen. Der Einsatz von Tablets in den Krankenhäusern und Praxen könnte die Software-Anbieter zur notwendigen Modernisierung zwingen.

Tablets erleichtern die medizinische Aus-und Fortbildung

Umfangreiche Handbücher sind ein Schwerpunkt der Aus- und Fortbildung von Ärzten und Pflegepersonal in ihren Praxis- und Kliniksystemen. Handbücher, Vorlesungstexte, interaktive Grafiken oder elektronische Notizen direkt bei den Materialien sind selbst Bestandteil der Tablet-PCs. Neue Versionen sind schnell elektronisch verteilt, AppStores halten viele von ihnen kostenlos bereit.

Tablets stellen digitale Versionen medizinischer Literatur bereit

Die medizinische Literatur wächst beständig. Viele Verlage stellen digitale Versionen ihrer Publikationen zur Verfügung, die über Tablets abgerufen werden können.

Tablets verbessern die Vorbereitung und Durchführung von chirurgischen Eingriffen

Ärzte und Assistenten benötigen vor, während und nach einem Eingriff sehr viele unterschiedliche Informationen, einschließlich Bildmaterial. Mit Apps und Daten zu vergleichbaren Operationen können sie sich besser vorbereiten und Fehler vermeiden.

Tablets helfen bei Diagnosen und Therapien

Mit Tablet-Apps können Tests über Gedächtnisverluste bei Verdacht auf eine Alzheimer Erkrankung durchgeführt werden. Laut Aussage von Anwendern sind Apps auf diesem Gebiet effektiver als Tests auf Papier. Außerdem können leichter Vergleichsdaten nach Alter, Geschlecht und Erziehung verwendet werden.

Therapeuten haben bei der Sprachtherapie bei Kindern nun die Möglichkeit, zahlreiche Apps mit erweiterten Fördermitteln einzusetzen und sind nicht mehr nur auf Karten, Bälle oder Puppen angewiesen. So können zum Beispiel auch unterschiedliche Sprachstile eingeübt werden.

Aber:

Tablets verursachen IT-Verantwortlichen Kopfschmerzen

Fotolia_38051973_XS

Fotolia.com

Zwei Drittel der IT-Verantwortlichen im Gesundheitswesen sehen beim Einsatz von Tablets vor allem ein Sicherheits- und Management-Problem. So ist oft die Kompatibilität mit Legacy-Anwendungen nicht gelöst, außerdem stellen sich Fragen hinsichtlich der Haltbarkeit und des technischen Supports. Die größten Probleme aber ist die Sicherheit der Systeme und Daten und das Management der Risiken, vor allem in der Freigabe von Bring-Your-Own-Device-Lösungen. Patientendaten sind extrem sensibel und sollten nicht streng geregelt die Arztpraxis oder das Krankenhaus verlassen. IT-Verantwortliche im Gesundheitsbereich können gerade hier zeigen, ob sie ihr Metier verstehen.

Social Media und der gute Ruf einer Arztpraxis

Noch vor wenigen Jahren stellte die Kommunikation durch E-Mails für viele Unternehmen eine neuartige Herausforderung dar. Der Wunsch der Mitarbeiter, auch während der Arbeit, Zugriff auf das Internet zu haben, und initiierte neue Denkanstösse in Unternehmen. Mittlerweile gehört die Kommunikation über E-Mail sowie die Recherche im Internet zu beruflichen Themen zum Standard der meisten Branchen. Sogar die Nutzung dieser Medien für private Zwecke, ist heutzutage – oft ohne Kenntnis der juristischen Hintergründe – in Firmen, mehr oder weniger geregelt, den Mitarbeitern möglich. Die beständige Weiterentwicklung hin zu sichereren Systemen ermöglicht, z.B durch Verschlüsselung, längst die Nutzung von abgesichertem E-Mail Verkehr. Und auch eine weitere Entwicklung lässt sich weder aufhalten noch rückgängig machen. Viele Menschen kommunizieren täglich untereinander über das Internet. Gerade junge Menschen verbringen viel Zeit damit, über Facebook und Co ständig in Kontakt zustehen. Gleichzeitig suchen sie über Suchmaschinen nach Arztpraxen, bewerten Ärzte auf Portalen und fühlen sich besonders verbunden mit derjenigen Hausarztpraxis mit der sie auf Facebook befreundet sind. Viele Unternehmen nutzen bereits die mannigfaltig Facebook Kontakte ihrer Mitarbeiter um deren „Freunde“ auf die eigenen Leistungen und Services aufmerksam zu machen. Wäre das nicht ein einfacher Weg um auch als Arzt seine Leistungen nach außen darstellen zu könnenEs stellt sich auch für Arztpraxen die Frage, ob es sinnvoll ist, sich dieser Entwicklung eher zu verschließen oder sie proaktiv zu nutzen. In der Parallelwelt Internet ist längst eine digitale Identität Ihrer Arztpraxis entstanden und das geht weit über die Inhalte ihrer Homepage hinaus. Persönliche Empfehlungen und soziale Vernetzungen bestimmen den Erfolg der Akteure – mit ihrem Zutun oder auch ohne. Ihre Entscheidung aktiv die Ausrichtung ihres Internetprofils zu beeinflussen, birgt die Chance es, ihren Vorstellungen, entsprechend zu gestalten. Sie können Informationen weiter geben, die Sie ihren Patienten schon immer mitteilen wollten (wie zum Beispiel Ihre IGeL Leistungen, Gesundheitsinformationen oder medizinische Themen). Sie erreichen eine bessere Platzierung in Suchmaschinen sowie eine jüngere und passendere Patientengruppe. Nicht zu unterschätzen ist, dass sich Dialogmöglichkeiten ergeben, die eine Identifikation Ihrer Patienten mit Ihrer Praxis aufbaut. Doch da wo Licht ist, ist auch Schatten. Aus der Nutzung von E-Mail, Internet und Social Media resultieren nicht zu vernachlässigende Datenschutz und Datensicherheits Probleme.

Was muss ich bei der Kommunikation über E-Mail mit dem Patienten beachten?

E-Mails sind wie Postkarten. Schicken sie Ihrem Patienten eine Postkarte, wenn sie einen neuen Befund haben? Genauso wenig werden Sie auch zukünftig per schlichter Email sensible Information verbreiten. Aber die E-Mail hat sich mittlerweile als formloses Kommunikationsmittel breitflächig durchgesetzt. Was liegt also näher als beim Hausarzt mal kurz nachzufragen, was in der Sprechstunde nicht richtig verstanden wurde oder mal eben sich die Untersuchungsergebnisse schicken zu lassen. Längst existieren dafür auch die hinreichenden technischen Möglichkeiten, die Ihnen ein verschlüsseltes technisch sicheres Kommunizieren mit dem Patienten ermöglichen. E-Mails können von jedem System aus Ende-zu-Ende verschlüsselt werden, Dokumente mit digitalen Signaturen abgesichert werden und eine abgesicherte Übertragung von Schriftverkehr über dedizierte Praxissoftware ist sogar schon in vielen Standartlösungen bereits enthalten (zum Beispiel Arztbriefe).

Mindestanforderungen für den Datenschutz bei Nutzung von Facebook

Ihre persönliche Facebook Seite sollte auf jeden Fall privat bleiben. Aus diesem Grund benötigt ihre Praxis – wie auch alle anderen Unternehmen – eine separate Fanpage. Erlauben sie Facebook niemals den Zugriff auf ihr Adressbuch. Einmal falsch geklickt an dieser Stelle kann das als Verstoß gegen die Schweigepflicht nach § 203 StGB gewertet werden.

Das Netz vergisst nichts – auch nicht das was sie eig. gelöscht sehen wollen. Deshalb müssen sie vom ersten Freischalten an die Einstellungen der Privatsphäre unter Kontrolle haben und regelmäßig überprüfen. Erschwerend kommt hinzu das Facebook seine Struktur, seine Standarteinstellungen und selbst seine Geschäftsbedingungen ständig modifiziert ohne es in allen seinen Einzelheiten klar werden zu lassen.

Zumindest haben sie die Möglichkeit ihre Pages frei von werblichen Pinnwand Einträgen zu halten und die Verbreiter zu sperren. Daneben haben sie ja doch auch ihren Patienten gegenüber die Verantwortung immer wieder auf die Datenschutz Problematik hinzuweisen. Weisen darauf hin dass sämtliche Daten auf ihrer Seite der Firma Facebook gehören und dass persönliche, wenn nicht gar medizinische, Inhalte auf einer solchen Seite nicht zu suchen haben. Entsprechende Einträge müssen schnellst möglich gelöscht werden gleichzeitig sollten Sie auf Nachrichten mit persönlichen Inhalt mit einem Datenschutzhinweis und dem Angebot auf ein persönliches Gespräch antworten.

Der ominöse „Like-Button“

Seiten mit dieser Funktion übertragen Nutzerdaten direkt nach Amerika an die Firma Facebook. Ohne das die Nutzer den Button angeklickt haben. Eine zumindest weit gehend juristische Absicherung bietet die sog. „2-Klick“ – Lösung. Entsprechende Informationen zur Umsetzung stellen wir Ihnen gerne zur Verfügung.

 Spam und Schadsoftware in sozialen Netzen

Wie bei Email oder dem Zugang zum Internet gilt auch für soziale Netze die Verpflichtung zur Einrichtung einer Firewall und einer permanent aktuellen Virenschutz Lösung auf ihren IT Systemen.

Genauso wie für Homepages gilt auch für Facebook Fanpages die Impressumspflicht, Urheber- und Mitarbeiterrechte müssen beachtet werden.

 Ihr guter Ruf

Selbst bei seriösen und sachlichen Auftritt ihrer Seiten können missgünstige oder empörte „Freunde“ ihren positiven Eindruck im Internet zerstören. Informieren sie sich deshalb regelmäßig darüber was im Internet über sie/Sie zu erfahren ist:

– überprüfen Sie sich und ihre Praxis bei mehreren Suchmaschinen

– scannen sie auch Bild und Videoplattformen

– richten sie einen Google-Alert/Social-Mention-Alert ein, kontrollieren Sie Google Places

– suchen Sie Ihren Namen in Personensuchmaschinen

 Wie gehe ich mit schlechten Bewertungen im Internet um?

Die bestmögliche Vorkehrung zur Wahrung ihrer positiven digitalen Reputation erreichen sie durch das Erzeugen von positiven Einträgen auf ihrer eigenen Homepage und in Fach- und Social Mediabeiträgen (indiskutabel sind dabei wohl sog. Fakeeinträge die im Übrigen mittlerweile leicht enttarnt werden). Antworten sie stets positiv auf Kritik über ihre eigene Webseite sowie in Bewertungsportalen. Halten sie Informationen über ihr Unternehmen in Branchenbüchern, Bewertungsportalen, Adressdateien und auf ihren eigenen Pages aktuell.

Fazit

Die Einhaltung ihrer Schweigepflicht und der Schutz der persönlichen Daten ihrer Patienten sind auch bei Nutzung der neuen Medien Email, Internet und sozialen Netzwerken gesichert umsetzbar. Die Voraussetzung für eine sichere Gewährleistung von Datenschutz und Datensicherheit bei der Verwendung der neuen Medien in der Arztpraxis, ist ein bewusster und juristisch untermauerter Umgang mit dem technologischen Medium Internet.

Wir beraten Sie bei der informationstechnischen Umsetzung, informieren Sie über juristische Anforderungen und bieten Hilfestellung auf ihrem Weg in die digitale Zukunft.

Abgestempelt? Fünf gute Gründe gegen die elektronische Gesundheitskarte

Die Krankenversicherung war eine große Errungenschaft unseres Sozialstaates. Sie soll Mitglieder unserer Gesellschaft, die erkranken, unterstützen. Doch die elektronische Gesundheitskarte markiert einen bedenklichen Wandel: unser Gesundheitssystem wird immer komplizierter und standardisierter – und entfernt sich damit immer weiter vom Menschen. Mit der eGK werden in Zukunft immer mehr Entscheidungen von technischen Systemen getroffen, Ärztinnen und Ärzte werden zu Verwaltern von Krankheiten. Darunter leiden werden vor allem chronisch Kranke, behinderte und alte Menschen – die, die eigentlich entlastet werden sollen, werden doppelt bestraft. Viele der angeblichen Vorteile, die die elektronische Gesundheitskarte mit sich bringen soll, könnten wesentlich einfacher, sicherer und ohne die (Fehl)-Investition von Milliarden Euro erreicht werden.

Sie werden zu gläsernen Patientin oder Patient

Per eGK können künftig viele sehen, wann Sie welche Krankheit hatten. Sind die Daten erst einmal zentral gespeichert, kann niemand hundertprozentig kontrollieren, wer sie in die Hände kriegt. Und was wäre, wenn Ihre Arbeitgeberin, Ihre Versicherung oder Ihr Vermieter diese Daten bekäme?Die Missbrauchsmöglichkeiten der elektronischen Gesundheitskarte sind zahlreich, schon vor der Einführung der Gesundheitskarte waren bereits viele Sicherheitslücken bekannt. So haben beispielsweise alle bislang ausgelieferten Lesegeräte zwei Modi: einen sicheren und einen unsicheren. Gibt der Patient im letzteren Modus seine PIN ein, kann diese abgefangen werden. Zwar soll dieses Problem bei allen ab dem 01.10.2011 zugelassenen Geräten behoben sein, die meisten Arztpraxen dürften bis dahin jedoch schon ein Gerät haben, da die Anschaffung nur bis Ende September bezuschusst wird.Da sich herausgestellt hat, dass die für eine sichere Verbindung in den Arztpraxen nötigen Konnektoren hohe Kosten verursachen, wurde auf diese im sogenannten Basis-Rollout verzichtet. Dadurch entsteht eine weitere erhebliche Sicherheitslücke: Wird nur ein Heilberufsausweis missbräuchlich benutzt, kann sich damit potentiell jeder leicht die umfangreichen Lese- und Schreibrechte eines Arztes aneignen. Dies könnte z.B. genutzt werden, um mit Hilfe von Schadsoftware (die beispielsweise als harmloses Programm zum ändern der PIN getarnt sein könnte), Datensätze auszulesen oder zu manipulieren.Ralph Heydenbluth, der die Sicherheit der eGK untersucht hat, kommt zu dem Schluss: „Geschützte Versichertendaten und Notfall-/Basisdaten sowie persönliche Erklärungen wären einsehbar, Notfalldaten und persönliche Erklärungen wären manipulierbar/löschbar, und weder das Auslesen oder die Manipulation wäre für den Versicherten zeitnah erkennbar noch im Nachhinein ein Verursacher zu ermitteln“.Der geplanten Einführung einer zentralen Datenbank stehen weitere datenschutzrechtliche Bedenken gegenüber, da sich hier Missbrauchsmöglichkeiten in völlig neuen Dimensionen ergeben. Geplant ist zwar, dass alle Daten in verschlüsselter Form gespeichert werden, d.h. ohne den entsprechenden auf der eGK gespeicherten Schlüssel nicht auslesbar sind. Jedoch wird die „Informationstechnische Servicestelle“ der gesetzlichen Krankenversicherungen Nachschlüssel behalten, da sonst bei Verlust der Karte alle medizinischen Daten unwiderruflich verloren wären. Wer sichZugnag zu diesen Schlüsseln verschaffen kann, hat potentiell Zugriff auf hoch sensible Krankendaten von 70 Mio. Krankenversicherten.

Einmal krank, immer krank

Alle Diagnosen (und Fehldiagnosen) lassen sich künftig lebenslang speichern. Die eGK soll lästige Doppeluntersuchungen vermeiden. Das heißt, Sie müßten zukünftig auf Ihre Recht, eine zweite Meinung einzuholen, verzichten.Um die eindeutige Zuordnung von Daten und Patienten nach einem Krankenkassenwechsel zu vereinfachen, wird mit der eGK eine lebenslang gültige Versichertennummer eingeführt. Wird in Zukunft die elektronische Patientenakte eingeführt, können also alle Diagnosen für den Rest Ihres Lebens gespeichert werden, es sei denn, sie sorgen für die Löschung der Informationen. Ob Doppeluntersuchungen tatsächlich durch die eGK verringert werden können, ist unklar.Peter Schaar, Bundesbeauftragter für den Datenschutz, teilte dem deutschen Ärzteblatt mit, er sei„zur Überzeugung gelangt, dass sich die Ärzte im Zweifelsfall ohnehin nicht auf gespeicherte medizinische Informationen, die sie nicht selbst unter definierten, kontrollierten Bedingungen erhoben haben, verlassen, sondern diese aus haftungsrechtlichen Gründen neu prüfen würden. Vor diesem Hintergrund beurteilt er die Möglichkeit von Einsparungen durch Vermeidung von Doppeluntersuchungen eher skeptisch.“Ärzte bekommen in Zukunft also mitunter umfangreiche Informationen, auf deren Vollständigkeit sie sich nicht verlassen können, die aber zu einem voreingenommenen und unter Umständen falschen Urteil führen könnten.

Ihre Ärztin oder Arzt hat weniger Zeit für Sie

Das Ausstellen eines elektronischen Rezeptes braucht mehr Zeit als ein herkömmlich erstelltes Papierrezept (auch bei denen, die bereits heute vom Arzt mit dem Computer gedruckt werden). Ärztinnen müssen sich außerdem zukünftig durch den ständig wachsenden Informationsdschungel Ihrer gesammelten elektronischen Krankendaten wühlen. Das ist alles Zeit, die für ein persönliches Gespräch fehlen wird. Anstatt Sie zu befragen, fragt der Arzt in Zukunft Ihre Datensätze ab.Versuche in Testregionen haben ergeben, dass viele geplante Funktionen der elektronischen Gesundheitskarte die Praxisabläufe behindern, statt sie zu vereinfachen. So hat sich etwa in der Testregion Flensburg herausgestellt, dass die Erstellung eines elektronischen Rezeptes für jedes Medikament 24 Sekunden dauert, ein Papierrezept hingegen benötigt nur 2,13 Sekunden. Das klingt wenig, bedeutet aber, dass eine Praxis mit durchschnittlicher Patientenanzahl ca. 26 Stunden im Monat verloren gehen.Einige Ärzte befürchten außerdem, dass ihnen juristische Konsequenzen drohen würden, wenn sie unter allen zukünftig auf der eGK gesammelten Informationen etwas übersehen. Der Zeitaufwand, den Ärzte mit der Sichtung der gespeicherten Datensätzen verbringen müssen, wird also steigen. Es bleibt aber fraglich, ob dieser Mehraufwand in angemessenem Maßstab zum Nutzen steht. Denn da die Speicherung der meisten wichtigen Daten (Notfalldaten, elektronische Fallakte, elektronische Patientenakte…) freiwillig sein soll, können Ärzte nicht davon ausgehen, vollständige Informationen zu erhalten.

Sie haben keinen Nutzen, aber die Kosten

Wissenschaftliche Studien heraus gefunden, dass die Anwendungen der Karte Ihre Gesundheit nicht verbessern können. Ärzte sagen schon lange, dass sie die Karte für medizinisch nicht notwendig halten. Die „Gesundheitskarte“ ist aber nicht nur überflüssig, sondern auch noch teuer: Insgesamt könnten es bis zu 14 Milliarden EUR werden. Ihre Kassenbeiträge werden statt für Ihre Gesundheit, für ein IT-Großprojekt ausgegeben.Am Anfang sollen auf der Karte nur Versichertenstammdaten (Name, Geburtsdatum, Adresse) gespeichert werden, also die gleichen Informationen, die zur Zeit die Krankenkassenkarte liefern. Außerdem wird ein Foto aufgedruckt um Missbrauch zu verhindern (das könnte allerdings auch wesentlich günstiger und einfacher geschehen, etwa durch Kontrolle eines Lichtbildausweises bei unbekannten Patienten), die Übereinstimmung von Foto und versicherter Person wird von den Kassen dabei nicht überprüft.Auch der Versichertenstatus soll gespeichert werden und so von den Krankenkassen schnell aktualisierbar sein. In Österreich wird bereits seit einigen Jahren eine e-Card als Nachweis über den Versichertenschutz verwendet. Dabei ist es zu zahlreichen Systemausfällen und Fehlern gekommen.Die Gesundheitskarten, die im Rahmen des Basis-Rollout ausgegeben werden, bieten also kaum zusätzlichen Nutzen im Vergleich zur bisherigen Krankenversichertenkarte. Es geht bei diesem Schritt auch nur darum, eine Infrastruktur für spätere zusätzliche Funktionen zu schaffen.Zu diesen gehört zum Beispiel das elektronische Rezept, das eingeführt werden soll, sobald eine „praxistaugliche und sichere Lösung“ gefunden ist. In bisherigen Testdurchläufen hat sich das „eRezept“ laut Aussagen der gematik, der Entwicklerfirma der elektronischen Gesundheitskarte, hingegen als hinderlich für die Abläufe in den Praxen gezeigt.Doch selbst wenn eine technische Lösung gefunden ist, die den reibungslosen Ablauf nicht gefährdet, heißt das noch nicht, dass diese Ärzten oder Patienten einen zusätzlichen Nutzen bringen würde: Eine Forschergruppe aus London fand nach der Untersuchung von 53 Publikationen (von 460.000, alle anderen waren qualitativ nicht ausreichend) zum Thema e-Health heraus, dass durch Benutzung elektronischer Verschreibungssysteme (eRezept) keine Verbesserung der Therapieergebnisse nachzuweisen ist.Später sollen der Patient außerdem freiwillig sog. Notfalldaten speichern lassen können, ohne jedoch diese Daten selber einsehen oder verändern zu können.Rettungssanitäter und Ärztinnen äußerten sich hierzu jedoch eher kritisch. In einem akuten Notfall, wenn eine Patientin selber also nicht mehr ansprechbar ist, macht ein Notfalldatensatz wenig Sinn, da den Sanitätern bzw. Notärzten keine Zeit bleibt um nach der Karte zu suchen, diese auszulesen um schließlich eventuell (die Speicherung ist ja freiwillig) die benötigten Informationen zu finden. Informationen wie Arzeimittelunverträglichkeiten, Blutgruppe etc. werden ohnehin erst relevant, wenn der Patient schon im Krankenhaus und in den meisten Fällen schon wieder einigermaßen stabil ist.

Risiken und Nebenwirkungen sind unabschätzbar

Niemand weiß, welche Funktionen die elektronische Gesundheitskarte in Zukunft noch haben wird. Gestern haben Sie bei Ihrer Ärztin über Stress auf der Arbeit geklagt und morgen haben Sie Werbung für Anti-Depressiva und eine Heilwasser-Wunder-Therapie im Briefkasten? Vielleicht müssen Sie in Zukunft einen Gentest auf Krankheitsveranlagungen machen, um einen günstigeren Tarif zu bekommen und die Ergebnisse werden direkt zentral gespeichert? Und eines sei noch vermerkt: Niemand kann garantieren, dass Gesetze, die heute Patienten schützen, in 10 Jahren auch noch gelten.Der Chaos Computer Club hat eine 2006 erstellte interne Kosten-Nutzen-Analyse der gematik veröffentlicht. Diese Studie hat ergeben, dass monetäre Gewinne fast ausschließlich durch Funktionen erwirtschaftet werden, deren Nutzung freiwillig sein soll. Aus diesem Grund wird teilhabenden Akteuren geraten, Anreize zur Nutzung dieser Dienste zu schaffen. Dies könnte konkret z.B. so aussehen, dass Ihnen für einen bestimmen Zeitraum die Praxisgebühr erlassen wird, wenn Sie beim Arzt einen Notfalldatensatz anlegen lassen. Oder Ihnen wird ein Bonus für eine Zusatzversicherung angeboten etc. Dabei ist zu bedenken: „Der Bonus des Einen, ist der Malus des anderen“. Da die Finanzsituation der Kassen der gesetzlichen Krankenversicherungen auf Grund der enormen Anschaffungsausgaben der eGK in Zukunft noch angespannter sein wird, kann man davon ausgehen, dass Krankenkassen kaum großzügig Geschenke verteilen werden. Es ist viel mehr mit einer Umverteilung zu rechnen – zu Ungunsten derer, die die eGK ablehnen, der Technik nicht trauen, oder – das werden unserer Meinung nach die meisten sein – sie schlicht nicht verstehen.Wirklich rentabel und interessant wird die Infrastuktur aber erst bei weiteren, bislang in der Öffentlichkeit noch nicht diskutierten Anwendungen:„…erst die Schaffung von Mehrwertdiensten, etwa die Optimierung von Versorgungsprogrammen, zeige die Potenziale des Brokermodells. Im Rahmen eines Herz/Kreislauf-Problems könnten Versicherte verpflichtet werden, regelmäßig Fitnessstudios aufzusuchen und ihre Anwesenheit durch Stecken der Gesundheitskarte zu dokumentieren.“, so Horst Dreyer, ein Mitarbeiter der Steria Mummert Consulting, die die für die eGK nötigen Brokerdienste entwickelt – der große Bruder lässt grüßen.


Creative Commons Lizenzvertrag
Diese(s) Werk bzw. Inhalt von FoeBuD e.V. steht unter einer Creative Commons Namensnennung 3.0 Deutschland Lizenz.