IT-Dienstleistungen der PVS-Hersteller: Ein unterschätztes Sicherheitsrisiko?

13.01.2025 - Mängel bei TIaaS-Installationen und IT-Sicherheitskonzepten sind offenbar kein Einzelfall. Ein Versuch die aktuellen Herausforderungen zusammenzufassen.

Immer wieder erreichen uns Berichte über mangelhafte Telematik-Infrastruktur-as-a-Service-Installationen (TIaaS) sowie implementierte Schwachstellen in der Praxis-IT bei der Einführung von Rechenzentrums-Konnektoren. Häufig wird die Schuld für Probleme auf die Endgeräte der Kunden, restriktive Sicherheitseinstellungen oder falsch konfigurierte Firewalls geschoben. Doch die wahren Ursachen liegen oft tiefer.

Beispielsweise werden in Praxen Konnektoren im Reihenbetrieb außer Dienst gestellt, ohne vorher auf die entstehenden Cyberrisiken hinzuweisen. Gerade in Fällen, in denen keine Hardware-Firewall vorhanden ist, bleibt die Sicherheit am Ende des Tages auf der Strecke.

Ein besonders kritischer Vorfall ereignete sich in einer Praxis in Ostwestfalen: Hier scheiterte die TIaaS-Installation per Fernwartung, und die TI konnte am Praxis-PC nicht bereitgestellt werden. Daraufhin wurde die Praxisinhaberin aufgefordert, die vorhandene Hardware-Firewall zu entfernen, um die Installation abzuschließen. Aus Angst vor einem gescheiterten Termin und der damit verbundenen Ausfallpauschale kam sie der Anweisung nach. Später stellte sich heraus, dass nicht die Firewall, sondern falsche Proxy-Einstellungen am Praxis-Computer das Problem waren. Durch das Entfernen der Firewall wurde jedoch die Angriffsfläche der Praxis vergrößert – ein klarer Verstoß gegen das Secure-by-Design-Prinzip und der IT-Sicherheitsrichtlinie nach §390 SGB V.

Ökonomische Interessen statt Sicherheitslösungen

Die Praxis zeigt: Viele PVS-Hersteller bieten IT-Sicherheitslösungen nur an, wenn diese ins wirtschaftliche Konzept passen. Organisatorische oder technische Maßnahmen, die mit zusätzlichem Aufwand verbunden sind, werden häufig ignoriert. Stattdessen wird gezielt auf TI-Lösungen in der Cloud hingewiesen, ohne die Praxen ausreichend über die Konsequenzen aufzuklären.

Ein Beispiel dafür ist die Umstellung von einem funktionierenden Konnektor im Reihenbetrieb zu einem TIaaS-Angebot, obwohl der Zertifikatsablauf des bestehenden Konnektors erst Ende 2025 bevorsteht. In solchen Fällen fehlt oft der Hinweis, dass zusätzliche Maßnahmen wie eine Hardware-Firewall notwendig wäre, um die IT-Sicherheit zu gewährleisten.

Bericht aus der Praxis

Eine Praxis aus Düsseldorf schildert: „Ich wurde vom PVS-Hersteller aufgefordert, meinen Konnektor zu ersetzen, da die Zertifikate angeblich bald ablaufen würden. Tatsächlich war dies erst Ende 2025 der Fall. Nach der Installation des TIaaS-Angebots stellte mein Dienstleister fest, dass ohne den bisherigen Konnektor als Firewall-Ersatz eine Sicherheitslücke entstanden war, die nur durch eine Hardware-Firewall geschlossen werden konnte. Darauf hatte mich niemand hingewiesen.“

Dieses Beispiel deutet daraufhin, dass ökonomische Interessen der Anbieter oft über den Sicherheitsbedürfnissen der Praxen stehen.

Den aktuellen Berichten aus den Praxen zufolge trägt der IT-Support der Hersteller nicht immer zur Verbesserung der IT-Sicherheit bei.

Probleme bei der Benutzerverwaltung und Rechtevergabe

Ein weiteres Problem betrifft die Benutzerverwaltung. Viele PVS-Hersteller benötigen für ihre TI-Gateway bzw. TIaaS-Installationen administrative Rechte – sowohl während des Setups als auch im Betrieb. Dies führt häufig dazu, dass Standard-Benutzerkonten unnötigerweise privilegierte Rechte erhalten.

Einige Hersteller geben den Praxen sogar Anweisungen, dauerhaft unter Admin-Konten zu arbeiten. Dies erhöht das Risiko von Sicherheitslücken erheblich. Hinzu kommt, dass professionelle Virenscanner häufig deinstalliert werden, mit dem Argument, der Windows Defender sei ausreichend.

Die Verantwortung der Praxen

Zwar liegt die Verantwortung für IT-Sicherheit letztlich bei den Praxisinhabern:Innen, doch fehlt es oft an Bewusstsein für die Risiken. Die Praxen verlassen sich auf die Expertise der PVS-Hersteller, die jedoch nicht immer professionell agieren. Man kann den Eindruck gewinnen, die Softwarehäuser unterliegen dem Primat der Gewinnmaximierung und die Bedürfnisse der Praxen sind zweitranig.

Die Herausforderung der Digitalisierung

Ohne Zweifel stehen Ärzte und Ärztinnen und Psychotherapeuten:Innen unter großem Druck, die gesetzlichen Anforderungen der Digitalisierung – wie die Einführung der elektronischen Patientenakte (ePA) – zu erfüllen. Dabei wird der Fokus auf Datenschutz und IT-Sicherheit häufig vernachlässigt, was die Angriffsfläche für Cyberbedrohungen vergrößert. Das kommt als weiterer Faktor noch dazu.

Handlungsempfehlungen für Praxen

Um die IT-Sicherheit in Ihrer Praxis zu gewährleisten, sollten Sie folgende Schritte beachten:

  1. Überprüfen Sie die Notwendigkeit von Umstellungen: Hinterfragen Sie, ob ein Wechsel zu TIaaS oder anderen Lösungen wirklich erforderlich ist. Prüfen Sie dabei stets die Kosten-Nutzen-Verhältnisse und mögliche Auswirkungen auf die Sicherheit.
  2. Fordern Sie klare Informationen ein: Lassen Sie sich von Ihrem PVS-Hersteller genau erklären, welche Sicherheitsmaßnahmen bei einer Umstellung notwendig sind und welche Risiken bestehen.
  3. Setzen Sie auf externe Expertise: Ziehen Sie unabhängige IT-Dienstleister hinzu, um Ihre Infrastruktur auf Schwachstellen zu prüfen und bei komplexen Umstellungen zu unterstützen.
  4. Schulen Sie Ihre Mitarbeiter falls vorhanden: Sorgen Sie dafür, dass Ihre Mitarbeiter die Grundlagen der IT-Sicherheit kennen und verstehen, welche Maßnahmen für den Praxisalltag wichtig sind.
  5. Führen Sie regelmäßige Sicherheitschecks durch: Lassen Sie Ihre IT-Umgebung regelmäßig auditieren, um potenzielle Schwachstellen frühzeitig zu erkennen und zu beheben.

Gemeinsam für mehr Sicherheit in der Praxis

Wenn Sie den Verdacht haben, dass die IT-Sicherheit in Ihrer Praxis durch eine Umstellung auf TIaaS oder TI-Gateways beeinträchtigt wurde, zögern Sie nicht, uns zu kontaktieren. Wir stehen Ihnen mit Rat und Tat zur Seite und helfen, Ihre IT-Infrastruktur sicher und effizient zu gestalten.

Kontaktieren Sie uns unter: info@datenstrom.net

News-Übersicht

Zurück

Haben Sie eine Frage?

Zögern Sie nicht, uns zu den Themen Telematik, Informationssicherheit und Cybercrime zu kontaktieren.

Wir sind gerne für Sie da und unterstützen Sie mit Rat und Tat.

Jetzt anrufen
Kontaktformular
Jetzt anrufen
Kontaktformular
Copyright 2025. daten-strom.Medical-IT-Services GmbH
DatenschutzImpressum
Einstellungen gespeichert
Datenschutzeinstellungen

Diese Website verwendet Cookies, um Ihnen einen sicheren und komfortablen Website-Besuch zu ermöglichen. Entscheiden Sie selbst, welche Cookies Sie zulassen wollen.

Einige Cookies sind für die Funktionalität dieser Website notwendig (Erforderlich), andere Cookies dienen der Nutzung externer Medien (Extern).

Sie können der Nutzung aller Cookies zustimmen (Alle akzeptieren), technisch zwingend notwendige Cookies auswählen (Nur erforderliche Cookies erlauben) oder Ihre eigene Auswahl vornehmen und speichern (Auswahl akzeptieren).

Mehr Informationen finden Sie unter Datenschutz. Sie können die Datenschutz-Einstellungen für diese Website jederzeit nachträglich anpassen.

Datenschutz Impressum
You are using an outdated browser. The website may not be displayed correctly. Close