"Sicherheitsscans Telematikinfrastruktur"

sämtliche Informationen zu den nach Medienberichten durchgeführten Sicherheitsscans in der Telematikinfrastruktur. Insbesondere, ob interne Praxisnetze gescant wurden. Vgl dazu 1[https://www.aerztezeitung.de/Wirtschaft/IT-Experten-entdecken-Sicherheitsluecken-im-Konnektor-Anschluss-415639.html?utm_term=2020-12-16&utm_source=2020-12-16-AEZ_NL_NEWSLETTER&utm_medium=email&tid=TIDP709748X430449FC9E454B05B63CFF6306F780A1YI4&utm_campaign=AEZ_NL_NEWSLETTER] "Um fehlerhafte Konfigurationen des Internetanschlusses in den Praxen zu identifizieren hat die gematik nach eigenen Angaben seit Dezember die Sicherheitsscans, die regelmäßig alle Außenstellen der TI scannen, auf die angeschlossenen Praxen erweitert."

Anfrage erfolgreich

  • Datum
    17. Dezember 2020
  • Frist
    19. Januar 2021
  • Ein:e Follower:in
<< Anfragesteller:in >>
Antrag nach dem IFG/UIG/VIG Sehr geehrteAntragsteller/in bitte senden Sie mir Folgendes zu: sämtliche Informati…
An gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH Details
Von
<< Anfragesteller:in >>
Betreff
"Sicherheitsscans Telematikinfrastruktur" [#206731]
Datum
17. Dezember 2020 19:24
An
gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IFG/UIG/VIG Sehr geehrteAntragsteller/in bitte senden Sie mir Folgendes zu:
sämtliche Informationen zu den nach Medienberichten durchgeführten Sicherheitsscans in der Telematikinfrastruktur. Insbesondere, ob interne Praxisnetze gescant wurden. Vgl dazu 1[https://www.aerztezeitung.de/Wirtschaft/IT-Experten-entdecken-Sicherheitsluecken-im-Konnektor-Anschluss-415639.html?utm_term=2020-12-16&utm_source=2020-12-16-AEZ_NL_NEWSLETTER&utm_medium=email&tid=TIDP709748X430449FC9E454B05B63CFF6306F780A1YI4&utm_campaign=AEZ_NL_NEWSLETTER] "Um fehlerhafte Konfigurationen des Internetanschlusses in den Praxen zu identifizieren hat die gematik nach eigenen Angaben seit Dezember die Sicherheitsscans, die regelmäßig alle Außenstellen der TI scannen, auf die angeschlossenen Praxen erweitert."
Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 206731 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/206731/ Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH
Sehr geehrteAntragsteller/in Ihre Anfrage wurde bei uns unter der Ticket-ID-0000097083 aufgenommen. Bitte geben…
Von
gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH
Betreff
Ihr #Ticket ID-0000097083# mit dem Thema ""Sicherheitsscans Telematikinfrastruktur" [#206731]" wurde angelegt
Datum
18. Dezember 2020 08:19
Status
Warte auf Antwort
smime.p7s
3,9 KB


Sehr geehrteAntragsteller/in Ihre Anfrage wurde bei uns unter der Ticket-ID-0000097083 aufgenommen. Bitte geben Sie die Ticketnummer bei weiteren E-Mails bzw. Telefonaten mit an. Wir werden auf Sie zukommen, falls Fragen unserseits bestehen oder die Anfrage erledigt wurde. Hier noch einmal die wichtigsten Daten zu Ihrer Anfrage: Titel: "Sicherheitsscans Telematikinfrastruktur" [#206731] Beschreibung: Antrag nach dem IFG/UIG/VIG Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: sämtliche Informationen zu den nach Medienberichten durchgeführten Sicherheitsscans in der Telematikinfrastruktur. Insbesondere, ob interne Praxisnetze gescant wurden. Vgl dazu 1[https://www.aerztezeitung.de/Wirtschaft/IT-Experten-entdecken-Sicherheitsluecken-im-Konnektor-Anschluss-415639.html?utm_term=2020-12-16&utm_source=2020-12-16-AEZ_NL_NEWSLETTER&utm_medium=email&tid=TIDP709748X430449FC9E454B05B63CFF6306F780A1YI4&utm_campaign=AEZ_NL_NEWSLETTER] "Um fehlerhafte Konfigurationen des Internetanschlusses in den Praxen zu identifizieren hat die gematik nach eigenen Angaben seit Dezember die Sicherheitsscans, die regelmäßig alle Außenstellen der TI scannen, auf die angeschlossenen Praxen erweitert." Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen

Ihre Spende für die Plattform

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Ihre Spende macht es uns möglich, die Plattform am Laufen zu halten und weiterzuentwickeln.

Jetzt unterstützen!

gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH
Ihr Antrag nach dem IFG vom 17.12.2020 über fragdenstaat.de "Sicherheitsscans Telematikinfrastruktur" [#206731] Se…
Von
gematik Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH
Betreff
AW: "Sicherheitsscans Telematikinfrastruktur" [#206731]
Datum
13. Januar 2021 10:34
Status
Anfrage abgeschlossen
image001.png
6,8 KB
smime.p7s
3,9 KB


Ihr Antrag nach dem IFG vom 17.12.2020 über fragdenstaat.de "Sicherheitsscans Telematikinfrastruktur" [#206731] Sehr geehrteAntragsteller/in in vorstehender Angelegenheit möchten wir auf Ihre hier nochmals wiedergegebene Anfrage vom 17.12.2020 „Sehr geehrte Damen und Herren, bitte senden Sie mir Folgendes zu: sämtliche Informationen zu den nach Medienberichten durchgeführten Sicherheitsscans in der Telematikinfrastruktur. Insbesondere, ob interne Praxisnetze gescant wurden. Vgl dazu 1[https://www.aerztezeitung.de/Wirtscha...] "Um fehlerhafte Konfigurationen des Internetanschlusses in den Praxen zu identifizieren hat die gematik nach eigenen Angaben seit Dezember die Sicherheitsscans, die regelmäßig alle Außenstellen der TI scannen, auf die angeschlossenen Praxen erweitert." Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe!“ wie folgt antworten: Die gematik führt seit Dezember 2020 eigene Sicherheitsscans durch, um Konnektoren zu identifizieren, die über den Internetanschluss der Praxen nicht fachgerecht angebunden wurden. Die Scans haben das Ziel, auch zukünftig zu verhindern, dass Fehlkonfigurationen des Internetanschlusses zu einer Gefährdung der Telematikinfrastruktur führen. Weiterhin möchten wir die Ärzte dabei unterstützen, die Sicherheit der von ihnen verantworteten Patientendaten zu gewährleisten. Die gematik agiert bei den Scans auf Basis ihres gesetzlichen Auftrags gemäß § 330 und § 331 SGB V und unter Beachtung des geltenden Datenschutzrechts, hier insbesondere die Grundsätze der Datenminimierung und Zweckbindung. Das Vorgehen wurde mit Vertretern des Bundesamtes für Sicherheit in der Informationstechnik und mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit abgestimmt. Für eine möglichst große Transparenz stellen wir die Maßnahmen nachfolgend dar: Schritt 1 - Konnektoren melden sich mit der vom Internetprovider vergebenen IP Adresse am VPN Zugangsdienst der Telematikinfrastruktur an. Schritt 2 - Die IP Adresse wird durch den VPN-Zugangsdienstanbieter gespeichert und an die gematik übermittelt. Schritt 3 - Die gematik führt auf diese IP Adressen einen Sicherheitsscan durch. Hierbei wird ausschließlich geprüft, ob und wenn ja welche eingehenden Verbindungen in das jeweilige Netz zugelassen werden. Die gematik konzentriert sich hierbei auf wenige ausgewählte Ports, um negative Auswirkungen auf die Internetverbindung der Praxis auszuschließen. Auf Port 80 (http) und 443 (https) wird – sofern einer dieser Ports eingehende Verbindungen zulässt – ein http Request ausgelöst, um zu prüfen ob eine spezielle Konfigurationsdatei des Konnektors (SDS) abrufbar ist und somit ein Zugriff auf den Konnektor möglich ist. Die SDS Datei enthält keine personenbezogenen Informationen der Praxis oder von Patienten. Zum Abschluss des Scans werden alle IP Adressen, bei denen keine Auffälligkeiten festgestellt wurden, gelöscht, da die Zweckbindung der Datenspeicherung entfällt. Schritt 4 - Bei IP Adressen, bei denen Auffälligkeiten aufgetreten sind, wird durch Kooperation zwischen VPN Zugangsdienst und dem Vertragspartner (Dienstleister vor Ort) die betroffene Praxis identifiziert und dafür Sorge getragen, dass die Konfiguration des Internetanschlusses korrigiert wird. Abschließend ist es uns wichtig zu betonen, dass im Rahmen der Sicherheitsscans keine Aktionen ausgelöst werden, die zu einer Beeinträchtigung des Internetanschlusses oder dazu führen, dass personenbezogene Daten (der Praxis oder von Patienten) offenbart werden. Der gematik liegen zu keinem Zeitpunkt, Informationen über den betroffenen Praxisinhaber (Name, Anschrift etc.) vor. Es ergeht daher folgender BESCHEID: Ihre Anfrage mit dem Inhalt "…bitte senden Sie mir Folgendes zu: sämtliche Informationen zu den nach Medienberichten durchgeführten Sicherheitsscans in der Telematikinfrastruktur. Insbesondere, ob interne Praxisnetze gescant wurden.“ wird diesseits grundsätzlich als beantwortet betrachtet. Sofern Ihr Antrag dahingehend auszulegen sein sollte, dass über die vorstehenden Informationen hinaus konkrete Ergebnisse jedes einzelnen (Auffälligkeiten zeigenden) Sicherheitsscans begehrt werden, wird der Antrag abgelehnt. Begründung: Die Ergebnisse derartiger Sicherheitsscans enthalten Betriebs- und Geschäftsgeheimnisse im Sinne von § 6 Satz 2 IFG. Gemäß § 6 Satz 2 IFG darf Zugang zu Betriebs- oder Geschäftsgeheimnissen nur gewährt werden, wenn der Betroffene (vorliegend der jeweilige Leistungserbringer / die jeweilige Praxis) eingewilligt hat. Eine solche Einwilligung liegt nicht vor. Dieser Bescheid ergeht gebührenfrei. Rechtsbehelfsbelehrung Gegen diesen Bescheid kann innerhalb eines Monats nach Bekanntgabe schriftlich oder zur Niederschrift Widerspruch bei der gematik GmbH erhoben werden. Die Anschrift lautet: Friedrichstr. 136, 10117 Berlin. Mit freundlichen Grüßen