Sicher wie die TI-tanic?

In der Computerzeitschrift c’t vom 17.01.2020 wurde der Artikel “Sicher wie die TI-tanic – Hinweise auf mögliche Verwundbarkeiten der Medizin-Telematik” veröffentlicht.

Der Artikel benennt insbesondere drei Sicherheitsmängel:

  1. Mangelhafter Auslieferungsprozess der Praxisausweise, aufgedeckt durch den Chaos Computer Club (CCC)
  2. Zertifikatsfehler im Konnektor
  3. Mangelnde Softwarequalität in Konnektor und Kartenterminal

Die Auslieferungsprozesse wurden kurz nach dem Bericht des CCC geprüft und bewertet. Daraufhin wurde der Auslieferungsprozess gestoppt und Verbesserungsmaßnahmen entwickelt. Ab dem 27.01.2020 werden die Praxisausweise wieder bestell- und lieferbar sein. Die Verbesserungen führen insbesondere dazu, dass keine alternativen Versandadressen mehr angegeben werden können und dass es Rückversicherungen zur Praxisausweisbestellung seitens der KV in die Praxen gibt. Bei Ausweisen, die in der Vergangenheit an alternative Adressen versendet wurden, wird in der Praxis die korrekte Zustellung überprüft.

Der Zertifikatsfehler

Der Spezifikation entsprechend erstellt der Konnektor für die verschlüsselte Verbindung zur Managementoberfläche und zu Elefant ein selbstsigniertes Zertifikat, welches beim erstmaligen Öffnen der Managementschnittstelle im Browser zwangsläufig zu einer Warnmeldung führt. Da sich die Managementoberfläche des Konnektors im internen Netzwerk der Praxis befindet, kann technisch bedingt keine öffentliche Ausgabestelle zur Überprüfung der Zertifikate angefragt werden. Während der Installation der Konnektoren bei Elefant-Kunden wird das Zertifikat des Konnektors immer in Elefant importiert und die Verbindung damit auf dem durch die gematik und dem BSI vorgesehenen Sicherheitsniveau betrieben.

Die Softwarequalität

Die angemahnte mangelnde Softwarequalität des Konnektors und des Kartenterminals basiert auf der Nutzung von öffentlich verfügbaren Fremdbibliotheken in der Programmierung. Diese Bibliotheken stellen Funktionen bereit, die sich als Standard etabliert haben und nicht immer wieder neu programmiert werden müssen. Da diese Bibliotheken öffentlich sind, werden immer neue Funktionen implementiert und auch enthaltene Sicherheitslücken erkannt und behoben. Dies führt zu neuen Versionen dieser Bibliotheken. Im Konnektor und Kartenterminal sind Versionen dieser Fremdbibliotheken enthalten, die nicht den neuesten Versionen entsprechen und deshalb vom oben genannten Artikel als Sicherheitsrisiko eingestuft wurden.

Um eine Zulassung zu erhalten, müssen die Hersteller den Entwicklungsstand ihrer Software irgendwann einfrieren und die Zertifizierungsprozess starten. Schon in dieser Zeit werden neue Versionen der Bibliotheken veröffentlicht. Deshalb wird der Einsatz von Fremdbibliotheken auf ein Minimum beschränkt und diese darüber hinaus kontinuierlich untersucht. Jeder Befund wird im Rahmen einer Analyse bewertet. Auch wenn die Prüfung einer verwendeten Bibliothek zum Bekanntwerden eines Befundes führt, heißt dies nicht zwangsläufig, dass dieser Befund tatsächlich Auswirkungen auf den Konnektor hat beziehungsweise der Konnektor dadurch kompromittiert werden könnte.

Werden Befunde jedoch tatsächlich als kritisch eingestuft, ist ein Updateweg definiert, mit dem eine neue Software für den Konnektor in einem verkürzten Zulassungsverfahren geprüft und zugelassen wird.

Bei der Zertifizierung eines Konnektors werden insbesondere die Erreichbarkeit, die Berechtigungen und die Aktivierung dieser Bibliotheken kritisch hinterfragt. All diese Fragen musste secunet bei der Zertifizierung beantworten und hat das auch getan.

Unabhängig zur Entwicklungsarbeit von secunet werden verschiedene externe Schritte zur Qualitätssicherung durchgeführt. Dazu gehören Penetrationstest von unabhängigen Experten und eine Prüfung durch eine Prüfstelle im Auftrag des BSI. Diese führt Untersuchungen des Softwarecodes, zusätzliche Penetrations-Tests und eigene Prüfungen durch. Nur nach dem erfolgreichen Durchlaufen dieses Prozesses erhält ein Konnektor überhaupt eine Zulassung.

Reaktionen

Auf den Artikel haben bisher die Telekom und die gematik reagiert. Nach Prüfung der einzelnen Punkte bestätigt die Telekom, dass der untersuchte Konnektor nach wie vor den Spezifikationen der Gematik entspricht und somit zugelassen ist und man sich an Spekulationen grundsätzlich nicht beteiligen möchte. Die Gematik selbst bestätigt, dass keine tatsächlichen Sicherheitslücken abgeleitet werden können. (Quelle: Ärzteblatt vom 17.01.2020).

Zusammenfassung

Jeder Praxisinhaber steht grundsätzlich vor demselben Problem: Die Sicherheit ihrer IT-Systeme kontinuierlich zu bewerten und sofern notwendig zu reagieren. Auf dem Ergebnis der Bewertung aufbauend erfolgt eine Entscheidungsfindung, welches die geeignete Reaktion ist – vom Warten auf ein Software-Update, über vorläufige Nutzung einer anderen Software bis zum Update bis hin zum Abklemmen des Systems vom Internet bis ein Update zur Verfügung steht. Diese Einschätzung wird dem Leistungserbringer im Hintergrund vom Hersteller, der gematik und dem BSI abgenommen.




Zähler für erbrachte Leistungen zurücksetzen

Elefant zählt die erbrachten Leistungen auch für nicht geplante Leistungen, wie z.B. der Sprechstunde, Akutbehandlung, oder Probatorik:

Leistungserfassung für Probatorik (hier: 2 Sitzungen). Wird auch im Theapieexperten (untere Leiste) mitgezählt.

Beginnt zum Beispiel ein neuer Krankheitsfall und sollen die Zähler wieder bei 1 beginnen, setzen Sie das Datum “Behandlung ab” neu. Alle davor erbrachten Leistungen werden dann nicht mitgezählt. Diese Einstellung finden Sie in der Patientenakte > Kartenreiter Stammdaten.

Einstellung des Behandlungsdatums

Für nicht antragspflichtige Leistungen beginnt Elefant ab diesem Datum wieder bei 1 zu zählen.




Kartenlesegerät: IT-Komponente oder Diva?

Auf der Webseite “DG Digitales Gesundheitswesen” der Gesellschaft für Beratung, Schulung und Kommunikation mbH gibt es einen sehr hilfreichen und unterhaltsamen Beitrag über den Umgang mit den Kartenlesegeräten und der Telematikinfrastruktur. Dieser erhält unsere Lese-Empfehlung:

Telematikinfrastruktur: Wenn die Arbeit mit dem Kartenlesegerät zum Umgang mit der Diva wird

Neben den sechs beschriebenen Eigenschaften gab es auf Twitter noch eine Ergänzung:

7. Selektiv
Auf Stromsparfunktion bei Netzwerkkomponenten besser verzichten, damit die Verbindungen bestehen bleiben. Dies betrifft insbesondere Geräte wie PowerLAN und Switch.

Wir wünschen viel Spaß beim Lesen!




Import neuer UV-GOP für 2020

Ab dem 1. Januar 2020 gelten neue UV-GOP Gebühren. Für Psychotherapeuten sind das die Ziffern P1-P39.

Die neuen Gebühren werden im Update 20.01.02 enthalten sein. Dieser Artikel beschreibt, wie die Gebühren auch manuell importiert werden können:

1. Laden Sie die XLS mit den neuen Gebühren auf Ihren PC herunter. (Diese liegt nach dem Herunterladen wahrscheinlich in Ihrem Download-Ordner.)

2. Kopieren Sie die XLS in den Elefant-Ordner “ImportDatenHasomed” (meist C:\ELEFANT1\ImportDatenHasomed) und bestätigen Sie das Überschreiben der vorhandenen Datei.

3. Gehen Sie in Elefant in Datenbank > Gebühren > GOÄ:

4. Klicken Sie dann auf “Import Pauschalen”:

5. Anschließen bitte “P-Gebühren importieren” wählen:

6. Bestätigen Sie die Abfrage mit “Ja”:

7. Der Import ist abgeschlossen und die Gebühren sind aktualisiert. Das Fenster kann mit “Ok” geschlossen werden.

Nun stehen die neuen Gebühren zur Leistungserfassung zur Verfügung. Wenn Sie bereits viele Leistungen in 2020 erfasst haben und die aktualisierten Gebühren auch dort anpassen wollen, gehen Sie bitte weiter wie folgt vor:

8. Gehen Sie nochmal in Elefant in Datenbank > Gebühren > GOÄ:

9. Klicken Sie dann auf “Werte von Gebühren”:

10. Durch den Klick auf “Ja” stimmen Sie zu, dass die Eurowerte aller bisher erfassten sowie geplanten Gebühren mit dem neuen Wert aktualisiert werden. Dies betrifft auch vergangene Quartale!




Frohes neues Jahr!

Hinter uns liegt ein abwechslungsreiches Jahr. Das Team der Elefant – Praxissoftware dankt Ihnen als unsere Kunden dafür, dass wir an Ihrer Seite sein dürfen. Wir freuen uns auf weitere spannenden 365 Tage gemeinsam mit Ihnen.

Und da der Jahresstart auch immer mit der Abrechnung verbunden ist, sind wir wieder länger für Sie erreichbar:

  • Samstag, 04.01.2020 von 09-13 Uhr
  • Montag, 06.01.2020 von 8-19 Uhr (Feiertag in einigen Bundesländern)
  • Di-Fr, 07.01.-10.01.2020, von 08-19 Uhr




Version 20.01.01

Die Version 20.01.01 ist eine Vollversion und kann für eine Neuinstallation von Elefant genutzt werden. Sie enthält alle Verbesserungen bereits veröffentlichter Updates.

Wir empfehlen allen Kunden, auf diese Version zu aktualisieren! Hier geht es zur Downloadseite.

Bei der Installation des Updates nach dem Download wird Windows wahrscheinlich die Installation mit einem Fenster vom Windows Defender SmartScreen verhindern. Was Sie in diesem Fall tun können, beschreiben wir in folgendem Beitrag: SmartScreen-Fenster

Im Vergleich zur Version 20.01.0 haben sich folgende Punkte geändert:

Allgemein

  • Downloadmanager, Teamviewer und AnyDesk lassen sich wieder direkt aus Elefant starten.
  • Beim Scannen in ein PDF tritt der Meldung “Errorcode 999” nicht mehr auf.

Heilmittel

Die neuen Heilmitteldateien der KBV von Anfang Dezember 2019 wurden integriert.

Telematikinfrastruktur

Die Prüfnachweise werden nur noch für das jeweils gültige Quartal des Scheins ermittelt und in die KV-Abrechnungsdatei geschrieben.




Version 20.01.0

Die Version 20.01.0 ist eine Vollversion und kann für eine Neuinstallation von Elefant genutzt werden. Sie enthält alle Verbesserungen bereits veröffentlichter Updates.

Über den Download-Manager in Elefant und auf unserer Webseite steht Ihnen ab sofort das Update für das 1. Quartal 2020 zum Download zur Verfügung. Wie Sie die Version installieren, können Sie sich in unseren Video-Tutorials auf YouTube ansehen.

Wichtiger Hinweis: Diese Version oder mindestens die 19.04.02 muss installiert sein, bevor Sie die Abrechnung des vierten Quartals 2019 beginnen.

Bitte beachten Sie bei der Installation des Updates nach dem Download auch folgenden Beitrag: SmartScreen-Fenster

Im Vergleich zur Version 19.04.04 haben sich folgende Punkte geändert:

Allgemein

  • Die LDT-Schnittstelle v3 (Labor) sind entsprechend den Anforderungen der KBV aktualisiert.
  • Deutsche Sonderzeichen werden in vorausgefüllten PDF-Dokumenten wieder korrekt angezeigt.
  • Elefant Wissen bringt eine Hinweismeldung, wenn kein Internet vorhanden ist.

Patientenliste

In der Patientenliste ist neben der „Name, Geburtsdatum, Patientennr., …” im Dropdown nun auch die Suche nach „SKT-Zusatz“ möglich.

Sonderkostenträger-Suche in der Patientenliste

Abrechnung

Im Fenster „Abrechnung einstellen“ steht nun ein Button zum Öffnen des Ordners der Abrechnungsdatei zur Verfügung.

Ärzte

  • Das Muster 39 (zytologische Untersuchung) ist komplett überarbeitet. Die Änderungen sind erst ab dem 1.1.2020 sichtbar.
  • Weiterhin gibt es ab dem 1.1.2020 eine Warnung, dass “UUU” als Diagnose nicht mehr erfasst werden darf. Wird die Leistung trotzdem erfasst, wird das KBV Prüfmodul den Fehler “Die Eingabe ‘UUU’ im Feld ‘6001’ ist ungültig. Erlaubt ist ein Format gemäß ann, ann.n, ann.nn, ann.n-‘. Bitte setzen Sie sich mit Ihrem Systemhaus in Verbindung.” erzeugen.

Warnung bei der Erfassung einer UUU-Diagnose

Institute

Aktualisierung des Orientierungspunktwert von bisher 10,8226 Cent ab 01.01.2020 auf 10,9871 Cent.




SmartScreen-Fenster

Bei der Installation des Quartalsupdates nach einem Download wird Windows wahrscheinlich die Installation mit einem Fenster vom Windows Defender SmartScreen verhindern. In diesem Beitrag beschreiben wir, was Sie in diesem Fall tun können.

Bitte klicken Sie bei dieser Meldung auf Weitere Informationen:

Windows Defender SmartScreen meldet bei Installation von Elefant eine “unbekannte App”

Anschließend klicken Sie auf Trotzdem ausführen. Danach startet die Installation von Elefant:

Eine Ausnahme für Elefant hinzufügen.

Sollte eine solche Meldung erscheinen, können Sie die Installation von Elefant durch einen Klick auf Ausführen starten:

Zum Hintergrund: Obwohl die Installationsdatei von Elefant digital signiert wurde und sich HASOMED damit als vertrauenswürdiger Herausgeber identifiziert, versucht Microsoft Windows Ihren PC zu schützen und die Installation zu verhindern. Warum SmartScreen die Datei als unbekannt klassifiziert, konnten wir bisher nicht nachvollziehen.




Version 19.04.04

Dieses Update ergänzt Elefant um neue oder verbesserte Funktionen. Diese sind auch im kommenden Quartalsupdate enthalten.

Hinweis: Die Version 19.04.02 muss mindestens installiert sein, bevor Sie die Abrechnung des vierten Quartals 2019 beginnen.

Ab sofort kann dieses Update über die Webseite und demnächst auch über den Download-Manager geladen werden. Eine Anleitung finden Sie hier.

Schein anlegen

Das Ausstellungsdatum kann jetzt vor dem gewählten Scheinquartal liegen.

Auswahl eines vergangenen Quartales

Privatabrechnung

Für die Privatrechnung ist jetzt ein Testausdruck möglich. Dieser Ausdruck hat keine Rechnungsnummer, wird als Testdruck markiert und wird nicht unter “Liste Originale” gespeichert.

Praxis einstellen

Es ist ein neuer Titel M.Sc. Psych. (Master of Science Psychotherapie) auswählbar. Dieser ist auch bei der Anlage von Ärzten verfügbar.

Die Kontonummer und BLZ wurde entfernt. Die BIC ist kein Pflichtfeld mehr somit lassen sich BIC und IBAN getrennt eingeben und drucken.

Angabe von BIC und IBAN

Zusatzmodul SNS

Der Reiter „Therapieverlauf SNS“ in der Patientenakte ist jetzt für alle KV-Bereiche per Default aktiv und sichtbar.

SNS-Kartenreiter in der Patientenakte

PS: Zu SNS gibt es weitere Artikel in diesem Blog.

Formulare / Anträge

Auf dem Muster 6 (Überweisung) erscheint der Schalter „Vermittlungscode anfordern“. Die Anforderung erfolgt über KV-Connect.

Auf dem PTV11 ist der Schalter sichtbar, wenn die Option entweder

  • „ambulante Psychotherapeutische Akutbehandlung“ oder
  • „ambulante Psychotherapie“ und „zeitnah erforderlich“ gesetzt wurde.

Button für die Anforderung eines TSS-Codes über KV-Connect

eArztbrief

Die Stammdaten eines Patienten können durch Daten des eArztbriefes überschrieben werden, wenn für den Patienten im aktuellen Quartal noch keine Karte gelesen worden ist.




Sichere Praxis-IT

Der Patientendatenschutz steht in einer psychotherapeutischen Praxis mit an erster Stelle. Dafür bietet Elefant das Zusatzmodul Security-Mode an, der die Elefant Datenbank verschlüsselt und auch bei Diebstahl oder Verlust sicheren Schutz der sensiblen Informationen bietet.

Darüber hinaus gibt es jedoch klare Erwartungen, welche Maßnahmen von medizinischen Einrichtungen (Kliniken, MVZ, ambulante Praxen, …) für eine sichere IT umgesetzt werden müssen.

Diese Erwartungen beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in dem “IT-Grundschutz-Kompendium – Edition 2019” und die dazugehörigen “Umsetzungshinweisen zum IT-Grundschutz-Kompendium 2019“. Leider umfasst diese Lektüre zusammen 1.880 Seiten.

Aufgrund der hohen Komplexität des IT-Grundschutzes haben die Bundesärztekammer und die Kassenärztliche Bundesvereinigung im Juni 2018 die “Technische Anlage: Hinweise und Empfehlungen zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis” herausgegeben. Der Vorteil: 12 Seiten!

Für eine psychotherapeutische Praxis empfehlen wir die Anforderung dieser technischen Anlage mit Ihrem IT-Partner zu prüfen und entsprechende Maßnahmen umzusetzen.

Unter anderem sollte Ihre Praxis folgende Anforderungen erfüllen:

  1. Router mit NAT-Firewall
  2. wenn WLAN, dann mit WPA2-Verschlüsselung und MAC-Filter
  3. Praxis-PC mit
    • Windows 10
    • guten Passwörtern
    • automatische Bildschirmsperre
    • aktueller Antivirus
    • aktivierte Personal Firewall (z.B. die von Windows)
    • verschlüsselte Elefant Datenbank (Zusatzmodul Security-Mode)
    • Festplattenverschlüsselung

Wenn Sie von einem unserer Elefant Service-Partner betreut werden, kontaktieren Sie diesen bitte zur Prüfung Ihrer Praxis-Sicherheit.

Sollten Sie keine IT-Betreuung haben, empfehlen wir das deutschlandweit geltende Angebot von www.sichere-praxis-it.de. Um den für Elefant Kunden vergünstigten Preis zu erhalten, geben Sie bitte den Code “HASOMED99” in das Bestellformular ein.

Weitere regionale Angebote bieten Ihnen die Service-Partner:

  • Tecont GmbH (Leipzig),
  • Softbyte ITK & Healthcare (Gönnheim) und
  • Datenstrom (Remscheid)

Die Kontaktdaten finden Sie auf unserer Webseite.