Redaktionspause | KW 26

Als ob die Ohren geklingelt hätten: Nur einen Tag, nachdem wir beim BMVZ-Arbeitstreffen einen lebhaften Austausch zu den (vielfach ungelösten) organisatorischen Herausforderungen rund um das KIM-Adressverzeichnis und die praxisseitige Gestaltung von eArztbrief-Empfang und -weiterleitung geführt hatten, vermeldete die KBV am 25. April eine relevante Arbeitserleichterung – zumindest bei der Adressdatensuche via KV-Safenet. Denn, KV-Kollegensuche und KIM-Adressbuch sind nun miteinander verbunden, was zwar überhaupt nichts an den Geburtsfehlern des Verzeichnisdienstes (VZD) ändert, aber zumindest das Finden von Adressdaten der Kollegen künftig einfacher macht. Kurz gesagt, gibt die KV-Kollegensuche auch die KIM-Adressen von Ärzt:innen aus, sofern diese über eine solche verfügen und der Suchende den extra-Button dafür drückt. Und da die KV-seitige Suchmaske deutliche komfortabler ist, als die VZD-eigenen Features und z.B. die Suche allein anhand einer LANR oder BSNR erlaubt, liegt hierin bereits die Verbesserung. Hinzu kommt, dass die Kollegensuche – anders als beim VZD – im Layout unabhängig von der Praxissoftware stetig gleich und mit gleichen Funktionalitäten daherkommt.

Was einerseits gut ist, legt aber gleichzeitig auf frustrierende Weise den Finger in die Wunde:
KIM hat eine Reihe Geburtsfehler, die nicht nur das Auffinden von KIM-Adressen der Kollegen schwermacht, sondern die gerade komplexe Praxisstrukturen – jede für sich – dazu zwingt, über Prozesse und Personaleinsatz im KIM-Kontext gezielt nachzudenken. Und diese Problematik wird durch die neue ‚Krücke‘, die die Verbindung zur Kollegensuche bietet, nicht angegangen. Tatsächlich schreibt die KV Thüringen auf ihrer Hilfeseite über die VZD-Suchmaske vielsagend: „Mit einem Klick in die Auswahlliste entscheiden Sie, wohin der elektronische Arztbrief gehen soll. Diese Auswahlliste kann man offenbar beliebig unfreundlich gestalten.“ (~ Quelle). Darüber hinaus gibt es eine Reihe im Praxisalltag relevante Punkte bei der Nutzung von KIM, bzw. bei der Anlage von KIM-Adressen zu beachten – gerade weil die KIM-Funktionalitäten trotz der Unzulänglichkeiten künftig immer wichtiger werden.

Ein Eintrag im Ti-Verzeichnisdienst wird für eine Betriebsstätte immer dann automatisch und standardisiert angelegt, sobald eine SMC-B in Betrieb genommen wurde. Selbiges gilt für einen Arzt oder Heilberufler, sobald ein persönlicher eHBA aktiviert wird. Es gibt somit sowohl Einrichtungs- als auch Personeneinträge.  Für beide gilt: Mit dem automatischen Eintrag im Verzeichnisdienst (aka Adressbuch) ist jedoch keine Vergabe einer KIM-Adresse verbunden. Die muss gesondert beantragt werden und ist kostenpflichtig. Praxen, bzw. MVZ benötigen dafür einen KIM-Dienstleister, von denen die gematik derzeit über 70 zugelassene listet (~ zur Übersicht). Außerdem gilt: Laufen eHBA und SMC-B nach fünf Jahren ab, muss von der Praxis neu nachgedacht oder zumindest Obacht gegeben werden. Denn jeder Verzeichniseintrag ist an die jeweilige Telematik-ID gebunden – von der gegebenenfalls mit der neuen Karte eine neue generiert wird. Die mit dem bisherigen Eintrag verknüpften KIM-Adressen müssten dann  über den praxisindividuellen KIM-Anbieter auf die neue ID übertragen werden. Wird das nicht beachtetet, sind Informationsabbrüche vorprogrammiert. Aufgrund der vielen Anbieter und Akteure war es uns nicht möglich, über das konkrete Verfahren Näheres in Erfahrung zu bringen. Deshalb gilt: Sprechen Sie rechtzeitig vor Ablauf des 5-Jahres-Zeitraumes Ihren KIM-Dienstleister aktiv auf die Antragsbesonderheiten und Umstände bei Nachfolgekarten an.

Neben allen anderen Problemen hapert es dabei im VZD besonders häufig bei BAG und MVZ mit vielen Ärzten und mehreren Fachrichtungen an der Dateneindeutigkeit. Dies liegt zum einen daran, dass drei verschiedene Stellen die Daten einpflegen: KV für SMC-B, LÄK für eHBA, KIM-Dienstleister für die KIM-Adresse. Zum Anderen ist nur die KIM-Adresse überhaupt (und nur in Teilen) frei durch den Antragsteller definierbar. Der Adressaufbau folgt dabei diesem Schema: xyz@Anbieter-Kennung.KIM.telematik. Für den vorderen Teil (XYZ) findet man folgenden Tipp: ‚Seien Sie erkennbar, jedoch nicht kreativ – aber auch nicht datensparsam. Wählen Sie ggf. einen längeren Namen, der Ihre Einrichtung eindeutig identifizierbar macht.‘ Die eigentlichen Verzeichnisdaten werden dagegen von KV und LÄK stumpf aus den Zulassungs-, bzw. Antragsdaten übernommen. Bekanntermaßen sind gerade aber die im Zulassungsverfahren verwandten Praxisnamen oft wenig hilfreich für eine gute Findbarkeit. Die KV Bayerns schreibt hierzu: „Änderungen des Praxisnamens sind nur möglich, wenn fehlerhafte Praxisnamen in unserem Arztregister vorhanden sind. … Es ist nicht möglich, Wunschnamen zu hinterlegen.“ (~ Quelle | im PDF Seite 4)

Außerdem stellt sich die Frage nach dem sinnvollen Einsatz von persönlichen und einrichtungsgebundenen Postfächern. Allenthalben kann man hierzu lesen, dass eine auf den SMC-B bezogene Einrichtungsadresse pro Praxis ausreichend sei – z.B. bei der Gematik selbst: „Grundsätzlich genügt pro Praxis eine Adresse, welche an die SMC-B gekoppelt ist. Man kann aber je nach Bedarf weitere E-Mailadressen einrichten.“ (~ im FAQ | Frage 3) Aber was für die Einzel- oder Zweierpraxis ein wirklich guter Tipp ist, muss es nicht ebenso für komplexe Strukturen sein. Im Gegenteil. Allerdings geht im Grunde kein auf den ambulanten Bereich gerichtetes Handout auf diese Problematik ein. Da sich dieselbe Frage allerdings für Krankenhäuser stellt, die künftig ebenfalls an die Ti angebunden sein müssen, empfehlen wir unbedingt einen Blick in das Ti-Handbuch für Kliniken (~ PDF öffen, zum Thema ab Seite 32). Dort wird auf den Aspekt mehrerer SMC-B, die je Einrichtung nebeneinander existieren ebenso eingegangen, wie auf die Sinnhaftigkeit präventiver Ersatz-SMC-B und das Abwägen zwischen persönlichen und Funktionspostfächern. Pro SMC-B können bis zu 100 KIM-Mailadressen eingerichtet werden.

Um den Kreis zu schließen: Der kollegiale Austausch beim BMVZ-Arbeitstreffen hat ergeben, dass die meisten MVZ auf das Nebeneinander mehrerer Funktionspostfächer setzen und, dass in der Regel eine feste Zuständigkeit definiert ist, welche MFA sich wann und in welchem Turnus um die eingehenden eNachrichten und eArztbriefe kümmert. Gleichzeitig wurde festgestellt, dass es (bisher) wegen der schweren Findbarkeit von Adressen nicht selten zu fehlgeleiteten eArztbriefen kommt. Aufgrund der besonderen Sicherheitsarchitektur des KIM-Dienstes gibt es jedoch keine Weiterleitungsfunktion o.ä. – wodurch die Zustellung von Fehlläufern z.B. innerhalb eines MVZ von einer Funktionsadresse an die nächste zu einem zeitraubenden Abenteuer werden kann und am Ende wieder im Erstellen eines Papierausdruckes mündet …!? 

Erstaunlicherweise hat es die Pressemeldung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vom 22. März kaum in die gesundheitspolitischen Fachmedien geschafft. Obwohl die Inhalte vor allem für Arztpraxen höchst alarmierend sind, ohne indes alarmistisch zu sein. Vielmehr ist es ein bekannter Fakt, dass „Cyberangriffe auf das Gesundheitswesen zu[nehmen, dass] – medizinische Einrichtungen immer häufiger das Ziel von Hacker-Angriffen [werden].“ Vor diesem Hintergrund hatte das BSI im vergangenen Jahr 12.000 in repräsentativer Zufälligkeit ausgewählte Arzt- und Zahnarztpraxen angeschrieben und um Auskunft zu ihrer IT-Struktur und dem Umsetzungsstand von Maßnahmen gemäß IT-Sicherheitsrichtlinie (~ mehr zu) gebeten. Knapp 1.600 dieser Praxen haben sich aktiv an der Online-Umfrage beteiligt. Das ernüchternde Ergebnis: „Lediglich ein Drittel der Befragten gab eine vollständige Umsetzung aller mit der Richtlinie vorgegebenen Schutzmaßnahmen an. Gleichzeitig ergab die Befragung, dass zehn Prozent der Arztpraxen bereits mindestens einmal von einem IT-Sicherheitsvorfall betroffen waren.“ Und das sind nur die Ergebnisse derer, die sich freiwillig an dieser Studie beteiligt haben. Unterstellt man, dass tendenziell eine Teilnahme eher abgelehnt wird, wenn man weiß, dass man selbst nicht so gut dabei wegkommen könnte, dürfte das wahre Problem noch viel größer sein.

BSI-Präsidentin Plattner erklärt dazu aber: „Die gute Nachricht ist: Viele der Sicherheitsmängel, die wir festgestellt haben, können schnell und ressourcenschonend behoben werden.“ Eine Aussage, die darauf Bezug nimmt, dass viele der Befragungsteilnehmer angegeben haben, Verständnisprobleme bezüglich der Vorgaben gemäß IT-Sicherheitsrichtlinie zu haben. Außerdem kommt die Studie zu dem Ergebnis, dass „der Umsetzungsrückstand mit fehlendem Budget, Personal und Zeit einherzugehen [scheint]. Die Befragung zeigt, dass bereits der Einsatz eines Sicherheitsverantwortlichen einen positiven Effekt auf die IT-Sicherheit der Praxis hat.“ (~ Studien-PDF | dort Seite 12) Oder kurz gesagt: Größere Praxisstrukturen, die es sich kapazitätsmäßig leisten können, einen genau für solche Fragen zuständigen Profi beschäftigen zu können, sind deutlich besser aufgestellt als die durchschnittliche Arztpraxis. „So gibt es in diesen Praxen häufiger einen Netzwerkplan und eine redundante Stromversorgung des Servers, die Daten werden häufiger verschlüsselt gespeichert und versendet, und die Zugangsbeschränkungen und Schutzmaßnahmen vor unberechtigten Zugriffen gehen häufiger über eine Passwortsperre hinaus. Somit kommen hier die grundlegenden Schutzmaßnahmen der IT-Sicherheitsrichtlinie häufiger zum Tragen.“

Eine gute Nachricht aus der Sicht vieler MVZ, die im Übrigen aufgrund des Studiendesigns nicht in den Teilnehmerkreis eingeschlossen waren. Aber vielleicht ist die Studie dennoch ein guter Anlass, die eigenen Routinen in Bezug auf die Anforderungen der KBV-IT-Sicherheitsrichtlinie zu hinterfragen. Kleiner Mind-Up: Im Grunde erinnern die Vorgaben der IT-Sicherheitsrichtlinie einem TOM, also einem Verzeichnis an Technisch-Organisatorischen Maßnahmen, wie es mit der DSGVO ohnehin von jeder Praxis gefordert wird. Gleichzeitig werden damit Mindeststandards formuliert, die es nicht zu unterschreiten gilt. Deshalb besteht die Richtlinie auch nur aus einem ausgesprochen kurzen Textteil sowie fünf tabellenartigen Anhängen, in denen thematisch sortiert die Anforderungen grob umrissen werden. Für die klassische Einzelpraxis sind ausschließlich die Anhänge 1 und 5 verpflichtend. Anhang 1 regelt Grundsätzliches zum Einsatz von Software, Zugriffsrechten und mobilen Endgeräten. Anhang 5 definiert Standards im Kontext der Telematikinfrastruktur.“ (~ Quelle & weitere Informationen)

‚Nicht die Methode, sondern die Motive sind wichtig‘ – so in etwa lautet die Quintessenz des Referenten zum Thema Cyberkriminalität und IT-Sicherheit beim BMVZ Praktikerkongress vom 22. September 2023 (~ Mario Bauschke | DKB AG – Bereichsleiter Compliance & Support). Das Thema der Cyberkriminalität ist eines, das im Zeitalter der Digitalisierung unbedingt Beachtung verdient. Auf den Punkt: Es macht nur begrenzt Sinn, die Praxisräume mit guten Schlössern zu sichern, aber die Daten nahezu ungeschützt zu lassen. Was wie ein Appell zur Selbstreflektion klingt, soll auch genau dies sein. Denn die Zunahme an Cyberangriffen ist nicht von der Hand zu weisen, wobei die Motivlage mannigfaltig ist. Erpressung steht dabei ganz weit vorn, indem Patientendaten geklaut und mit deren Veröffentlichung gedroht wird. Oder die Praxissoftware wird fremdcodiert und die Erpresser verlangen Lösegeld für die Entsperrung.

Der Faktor Mensch | Wie kann man sich dagegen schützen?
Noch höhere Mauern und sinnbildlich verstärkte Tore (Firewall etc.) bieten nur scheinbaren Schutz, denn die Angreifer kommen oft durch die Hintertür, oder werden nicht selten von Mitarbeitern in die eigene Datenfestung eingelassen. Durch das Öffnen von E-Mail Anhängen, das Antworten auf dubiose Nachrichten ‚vom Chef‘, der mal eben ganz schnell um eine Antwort bittet, oder vom Steuerberater, der noch einmal die Bestätigung der BSNR braucht. Die Autoritätsmasche, nach der eine vermeintlich höhere Instanz eine Handlung einfordert, in Kombination mit Zeitdruck, ist eine häufig verwendete Methode. Hier hilft in erster Linie eine Sensibilisierung, kombiniert mit einigen Kenntnissen. Wüssten Sie beispielsweise, wie sich der Quellcode einer E-Mail auslesen lässt, um zu überprüfen, ob es sich um einen validen Absender handelt? Dies ist je nach E-Mail-Programm unterschiedlich, lässt sich aber im Nu nachgoogeln. Um den Quellcode auf Gefahren zu überprüfen, gibt z.B. folgende Webseite Aufschluss (~ Spamhouse Technology). Haben Sie jetzt unbedacht auf den Link geklickt? Falls Sie gezögert haben oder hätten: Glückwunsch! Ein Moment des Innehaltens ist stets ratsam, und zwar bei allen Aktivitäten dieser Art aus dem Firmennetzwerk. Leider vergeht diese Achtsamkeit nach den Schulungen binnen weniger Wochen und bedarf regelmäßiger Wiederholung, oder Testung durch z.B. Fake-Attacken, um die Mitarbeitenden in Alarmbereitschaft zu halten.

Für weiterführende Informationen haben wir den Vortrag zur Cybersicherheit vom Praktikerkongress 2023 zur Verfügung gestellt. Er findet sich im Mitgliederbereich in der Kategorie Wissen Exclusiv/ Digitalisierung und Infrastruktur (~ direkt zu).  Zudem möchten wir auf das gerade frisch erschienene Buch „Ransomware und Cyber-Erpressung“ (~ Inhalt | Leseprobe | zum D.Punkt-Verlag) aufmerksam machen, das vergleichsweise praxisnah daherkommt und vom Textniveau auch dem informierten Laien nachvollziehbare Erkenntnisse und Handlungsempfehlungen bietet. Und es sei auf die Webseite der Verbraucherzentrale verwiesen, die mit ihrem stets aktualisierten Phishing-Radar über die neuesten Scam-Versuche informiert.

Das Thema Datenschutz ist und bleibt ein Dauerbrenner. Jüngst wies der Ärztenachrichtendienst (änd) darauf hin, dass MVZ und Praxen für den Service der Terminerinnerung datenschutzrechtlich verantwortlich bleiben. Nachfolgend die Details und einige Zusatzinformationen – doch für den schnellen Überblick bleibt es bei dem Zitat, das wir vergangenes Jahr bereits in einem Artikel über Doctolib verwendeten: „Tenor: Am Ende des Tages ist eh der Arzt in der Praxis für alles verantwortlich.“ (~ PRAXIS.KOMPAKT KW 31|2023) Wichtig: Das Dilemma beschränkt sich natürlich nicht auf den Anbieter Doctolib, sondern ist ein grundsätzliches Problem von Online-Terminbuchungssystem. So erhalten die Datenschützer aus Bremen regelmäßig Beschwerden von Patienten im Kontext von Terminerinnerungen via Mail oder Telefon. Nach Einschätzung der Bremer Landesbeauftragten für Datenschutz zählt die Terminerinnerung als Zusatzleistung und ist nicht Bestandteil der Behandlung. Also müssen Patienten gesondert in die Verarbeitung ihrer Daten zu diesen zwecken einwilligen. Das umfasst auch die Weitergabe von E-Mail und Telefonnummern an die Terminportal-Betreiber (~ änd v. 02.04.2024).

Die Datenschützer aus Berlin haben die Feinheiten noch einmal dediziert ausgeführt: Verwendet eine Praxis einen externen Anbieter (Auftragsverarbeiter) für die Terminvermittlung, so bedarf es für die Nutzung dieses Service keiner Einwilligung des Patienten, wohl aber einer Information. Für die Terminerinnerung selbst muss aber eine Einwilligung eingeholt werden! Erfolgt diese durch den externen Anbieter, muss darauf explizit hingewiesen werden. Auf der Webseite der Berliner werden ganz unten alle Maßnahmen aufgelistet, mit denen sich Praxen diesbezüglich datenschutzkonform aufstellen können (~ Terminverwaltung in Arztpraxen). Teils mag es länderspezifische Unterschiede in der Auslegung der DSGVO geben, doch die ausführliche Berliner Darstellung deckt sich, im Hinblick auf die Patientendaten, mit denen der Bremer. Noch schärfere Auslegungen sind uns zurzeit nicht bekannt.

Der änd weist ferner auf einen Vorfall hin, der – zynisch betrachtet – etwas belustigend ist. So wurden im Bremer Gesundheitsamt tausende Patienten kompromittiert. Allerdings hätte hier keine Firewall geholfen, sondern ein gutes Schloss. Einbrecher hatten sich nämlich an den nicht abschließbaren Aktenschränken zu schaffen gemacht und, bei den abschließbaren Schränken, die „vermeintlich versteckten“ Schlüssel genutzt. Quasi als Bonbon für alle Zaungäste forderte die Bremer Datenschutzbeauftragte die Gesundheitsämter daher auf: „zukünftig auf das Verstecken von Schlüsseln zu verzichten“.