Warum eine UTM-Hardware-Firewall nicht die Lösung aller Probleme ist - Interview mit einem KBV-zertifizierten IT-Dienstleister

Die Digitalisierung hat auch vor dem Gesundheitswesen nicht Halt gemacht und fordert den Praxisinhaberinnen und Praxisinhabern viel ab. Mit der digitalen Kommunikation und dem Datenaustausch im Gesundheitswesen sind die Anforderungen an die Datensicherheit gewachsen und werden auch in Zukunft ein wichtiges Thema sein, mit dem sich jede Praxisinhaberin und jeder Praxisinhaber beschäftigen muss. Für viele ist das ein Thema, dem sie gerne aus dem Weg gehen würden. Ich spreche heute mit Benjamin Hess, einem von der KBV zertifizierten IT-Dienstleister, der in verschiedensten Praxen unterwegs ist und weiß, was den Praxisinhaberinnen und Praxisinhabern abverlangt wird und daher die Probleme in der Umsetzung der IT-Sicherheitsrichtlinie der KBV genauestens kennt.

Schnelle Frage zum Einstieg: Was macht die IT-Sicherheit aus Ihrer Sicht so wichtig?
Benjamin Hess: Die Cyberangriffe auf Medatixx in Eltville, MediaMarkt/Saturn oder auch das Bürgerbüro in Ludwigslust-Parchim sind Zeichen dafür, dass die Cyberkriminalität vor unserer Haus- und leider auch Praxistür steht. Genau aus diesem Grund hat die KBV im Januar 2021 eine Richtlinie zur IT-Sicherheit auf den Weg gebracht (§ 75b SGB V), mit dem Ziel, einen Standard festzulegen, den jede Praxis als Handreiche nehmen kann, um die eigene Praxis-IT abzusichern. Dabei handelt es sich um einen Mindeststandard, der aber bereits eine gute Absicherung schafft.

Die Sicherheitsrichtlinie der KBV ist für den Laien an manchen Stellen möglicherweise überfordernd. Können Sie sie in einfachen Worten zusammenfassen und uns einen kleinen Einblick geben, was für welche Praxis relevant ist?
Der interessante Teil der IT-Sicherheitsrichtlinie für Praxisinhaberinnen und Praxisinhaber sind sicherlich die Anlagen, denn dort werden die Anforderungen definiert, die die Praxen erfüllen müssen. Diese Anforderungen wachsen, je größer eine Praxis ist, daher werden die Praxen nach Größen eingeteilt. Zusätzlich werden medizinische Großgeräte und die Komponenten der Telematik in weiteren Anlagen benannt.

Aber woher weiß ich, welche Anforderungen ich in meiner Praxis umsetzen muss?
Die allermeisten Praxen zählen zu den kleineren vertragsärztlichen Praxen (mit bis zu fünf ständig mit der Datenverarbeitung betrauten Personen) und müssen daher Anlage 1 (Anforderungen für Praxen) und Anlage 5 (Dezentrale Komponenten der Telematikinfrastruktur) umsetzen – für diese beiden Anlagen sind das 41 Punkte.

Ist es aus Ihrer Sicht möglich, dass Praxisinhaber das alleine bewältigen können?
Die Anforderungen sind schon jetzt sehr komplex und sie werden auch in Zukunft eher zunehmen. Da ich davon ausgehe, dass Praxisinhaberinnen und Praxisinhaber Expertinnen und Experten ihres Faches sind, aber weniger Expertise in technischen Fragen besitzen, empfehle ich das Hinzuziehen eines zertifizierten bzw. qualifizierten IT-Dienstleisters.

Es gibt auf dem Markt so viele Angebote von IT-Dienstleistern. Woher weiß ich, welches das Richtige für meine Praxis ist?
Die Anforderungen in der Sicherheitsrichtlinie bieten in der Umsetzung leider sehr viel Spielraum zur Auslegung. Das führt dazu, dass eine Flut von Angeboten auf dem Markt existiert, die kaum zu überblicken ist. An dieser Stelle spreche ich nicht als IT-Dienstleister, sondern möchte Sie bitten, folgende Punkte zu berücksichtigen:

1. IT-Dienstleister: Haben Sie einen eigenen IT-Dienstleister, dem Sie vertrauen? Fragen Sie ihn, welches Konzept er hat bzw. mit wem er zusammenarbeitet. Wichtig ist aus meiner Sicht auch, ob der Dienstleister Zertifizierungen wie u. a. den BSI Grundschutz Praktiker vorweisen kann oder zumindest eine Spezialisierung im Bereich der Gesundheits-IT.
2. Vergleichen Sie das Angebot immer mit den Punkten in den entsprechenden Anlagen. Werden in dem Angebot alle Punkte der Richtlinie erfüllt und umgesetzt?
3. Vergleichen Sie das Angebot auch mit anderen Angeboten auf dem Markt.
4. Fragen Sie Kolleginnen und Kollegen.

Als IT-Laien fällt es vielen Praxis-Inhaberinnen und Praxisinhabern schwer, Angebote zu vergleichen und das Richtige herauszufiltern. Haben Sie aktuell Beispiele, worauf man achten kann?
Ich kann sehr gut nachvollziehen, dass es sehr schwierig ist, Angebote herauszufiltern, die alle geforderten Punkte auch wirklich abdecken. Und ja, es gibt tatsächlich auf dem Markt sehr viele Angebote, die den Inhalt der Richtlinie nicht korrekt wiedergeben. Angefangen von UTM-Firewalls, die als verpflichtend verkauft werden bis hin zu Dienstleistern, die WLAN als verboten hinstellen. Diese Punkte finde ich nicht in den Anlagen.

Ein Beispiel: In Anlage 1 Punkt 32 wird gefordert, dass Netzübergangspunkte abgesichert werden sollen. Auch das Wort Hardware-Firewall wird benutzt. Dazu gibt es viele Angebote am Markt, die eine UTM-Hardware-Firewall als die Lösung aller Probleme darstellen. Aber an dieser Stelle vielleicht mal eine kurze Erklärung, dass eine Hardware-Firewall nicht eine UTM für 1500 € plus Installation und Wartung sein muss. Eine Hardware-Firewall kann auch ein Produkt für 300 € sein. Wir reden dort auch nur von einem Punkt der Anlage 1. Verstehen Sie mich nicht falsch, ich möchte, dass die Praxen so sicher wie nur möglich sind. Aber ich möchte nicht, dass den Praxisinhaberinnen und Praxisinhabern Dinge als Pflicht oder Zwang verkauft werden, die auch anders gelöst werden können.

Ein weiteres Beispiel: Auch Punkt 33 der Anlage 1, der Netzwerkplan, wird von vielen IT-lern „weggelächelt“. Gerade diesen Punkt halte ich als Nachweis aber für sehr wichtig. Oder die Anforderung einer TLS-Verbindung im Praxisverwaltungssystem, die seit 1. Januar 2021 verpflichtend ist, wurde in den meisten Systemen erst zum 1. September 2021 umgesetzt und ist immer noch nicht in allen Systemen möglich. Das sind nur einige Beispiele aus der Praxis, die die Umsetzung für Praxisinhaberinnen und Praxisinhaber erschweren und die aus meiner Sicht ein eigenständiges Umsetzen der Richtlinie durch Praxisinhaberinnen und Praxisinhaber oder durch das Praxispersonal unmöglich machen. Mir ist sehr bewusst, dass Sie keine IT-ler sind und die Aussage der KBV, die „Ärzte können das allein“, nicht wirklich stimmen kann.

Das Interview mit Benjamin Hess von praxis-it-sicherheit.de. führte Claudia Wollbrück.