Telematikinfrastruktur
20. Apr. 2023·3 min. Lesezeit

Sicherheit innerhalb der TI

Beim Thema Digitalisierung gibt es nach wie vor Bedenken was den Schutz und die Sicherheit von Daten angeht. Wir erläutern wie Daten in der TI abgesichert sind.

von Michael Backhaus

Gesundheitsdaten sind ein sensibles Gut, das besonderen Schutz benötigt. Um diesen Schutz zu gewährleisten, gibt es besonders strenge Vorgaben zum Datenschutz und Sicherheit von Daten in der TI. Dazu hat die gematik – ein Unternehmen des Bundesgesundheitsministeriums mit Sitz in Berlin – ein spezielles Sicherheitskonzept entwickelt. Darüber hinaus müssen alle verwendeten Komponenten der TI speziell geprüft und zertifiziert sein. Für den bestmöglichen Schutz von sensiblen Informationen und Daten arbeitet die gematik zudem sehr eng mit dem Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen.

Das dreistufige Konzept der gematik

Stufe 1 Konzeption & Spezifikation verwendeter Dienste, Anwendungen und Komponenten

Erst durch verschiedene Komponenten wie einer TI-fähigen Software, einem Kartenlesegerät, einer VPN-Verbindung oder Zugang zu einem Konnektor können Leistungserbringer überhaupt erst an der TI teilnehmen und die Fachanwendungen der TI nutzen. Sowohl für die Software- als auch die Hardwarekomponenten existieren spezielle Vorgaben der gematik. Hersteller und TI-Anbieter müssen diese Vorgaben ganz genau einhalten, um den Zugang zur Telematikinfrastruktur überhaupt anbieten zu dürfen. Die Vorgaben für diese Komponenten werden von der gematik in enger Abstimmung mit dem BSI entwickelt und in Form von Protection Profiles (PP) und Technischen Richtlinien (TR) festgehalten.

Stufe 2 Prüfung & Zulassung verwendeter Dienste, Anwendungen und Komponenten

Alle Dienste, Anwendungen und Komponenten, die zur Nutzung der Telematikinfrastruktur eingesetzt werden sollen, müssen zunächst auf Herz und Nieren geprüft werden. So werden all diese zunächst ein mehrstufiges Verfahren zur Prüfung bestehen, bevor sie in der TI eingesetzt werden dürfen. Dazu werden umfassende Tests durchgeführt, die im Anschluss durch eine weitere Sicherheitsevaluation von einem qualifizierten Sachverständigen in einem umfangreichen Gutachten bestätigt werden müssen. Nur wenn alle Dienste, Anwendungen und Komponenten diesen detaillierten Prüfprozess erfolgreich durchlaufen haben und somit die Vorgaben des BSI und BfDI aus Stufe 1 erfüllen, dürfen sie zugelassen werden und zum Einsatz kommen.

Stufe 3 Überwachung laufender Betrieb & Identifikation und Abwehr von Bedrohungen

Für die Sicherheit im laufenden Betrieb gibt es bei der gematik sogar ein eigens abgestelltes Team von Sicherheitsexpertinnen- und experten. Das Computer Emergency Response Team (CERT) steht in ständiger Verbindung zu Anbietern und Herstellern, überwacht die Telematikinfrastruktur stetig auf Unregelmäßigkeiten und erprobt Notfallszenarien. Durch den Austausch der beteiligten Akteure können Vorfälle wie Datenschutzverstöße von und an die gematik gemeldet werden, was die Sicherheit stetig verbessert und den laufenden Betrieb absichert. Jeder kann mitmachen! Über das Coordinated Vulnerability Disclosure Program kann jeder und jede Schwachstellen innerhalb der TI melden. Diese Meldungen werden seitens der gematik sehr ernst genommen. Dazu findet sich HIER ein entsprechendes Formular. Für weitere Informationen stellt die gematik ebenfalls ein Whitepaper zu Verfügung, welches HIER heruntergeladen werden kann.

Was Sie sonst noch tun können

Auch außerhalb der Telematikinfrastruktur gilt es sensible Daten wie Gesundheitsdaten, Befunde und Krankheitshistorien besonders zu schützen. Dazu sollte jeder Praxisinhaber sich ebenfalls um eine sichere Praxis-Infrastruktur kümmern. Dazu gibt es spezielle Anbieter, die sich auf das Thema der sicheren Praxis-IT spezialisiert haben. Noch einfacher geht es jedoch über einen TI-Zugang von curenect. Im Lieferumfang ist automatisch eine UTM Hardware-Firewall inbegriffen, die das gesamte Praxis Netzwerk vor unberechtigten Zugriffen schützt und gleichzeitig die Standardanforderungen des BSI erfüllt. Dabei ist eine korrekte Konfiguration unbedingt erforderlich. Diese wird vor Ort durch unsere Techniker durchgeführt.

Sollten Sie Fragen oder Anregungen zu diesem Artikel haben, schreiben Sie uns gerne unter info@curenect.de oder vernetzen Sie sich mit unserem LinkedIN Account.