Warum klassischer Endpoint-Virenschutz beim TI-Messenger zu kurz greift

Die Ende-zu-Ende-Verschlüsselung neutralisiert jede serverseitige Prüfung: Inhalte bleiben bis zum Endgerät unlesbar. Endpoint-Antivirus erkennt Schadsoftware deshalb erst, nachdem der Stationsrechner die Datei heruntergeladen und entschlüsselt hat. Genau dieser Rechner ist in Maximalversorgern direkt an KIS und PACS angebunden, jeder Anhang aus einer externen Quelle wird damit zum potenziellen Einfallstor ins Krankenhausnetzwerk.

‍

Der Downloadprozess ohne Content Scanning

Ohne serverseitige Prüfung läuft der Download in vier Schritten ab:

1. Der Nutzer klickt im TI-Messenger auf „Datei herunterladen".
2. Der Client fragt die verschlüsselte Datei am Matrix-Homeserver ab.
3. Der Server übergibt die verschlüsselte Datei an den Client.
4. Der Client entschlüsselt die Datei mit dem lokalen Schlüsselmaterial und speichert sie im Dateisystem des Endgeräts.

‍

Mit dem Download befindet sich potenziell schädliche Software auf dem Endgerät, das Zugriff auf die IT-Infrastruktur der Einrichtung hat und diese infizieren kann.

‍

Entscheidungskriterien für eine Antivirenlösung im TI-Messenger-Betrieb

Für IT-Sicherheitsbeauftragte und CISOs entscheiden drei Achsen über die Eignung einer Antivirenlösung im TI-Messenger-Betrieb: die Architekturentscheidung zwischen serverseitigem Content Scan und Endpoint-Antivirus, die Auditfähigkeit als Pflichtkriterium für BSI-Grundschutz und ISO 27001 sowie die Workflow-Verträglichkeit in Notaufnahme und ZNA. Die folgenden Abschnitte vertiefen diese drei Dimensionen mit Blick auf KRITIS-Anforderungen und die gematik-Spezifikation A_25519.

‍

Serverseitiger Content Scan vs. Endpoint-Antivirus

Für KRITIS-Einrichtungen bestimmt die Architekturentscheidung das tatsächliche Restrisiko: Wo geprüft wird, entscheidet, ob ein infizierter Anhang den Stationsrechner überhaupt erreicht oder bereits an der Serverumgebung gestoppt wird.

‍

Die wichtigsten Unterschiede beider Ansätze auf einen Blick, entlang der vier für KRITIS-Einrichtungen relevanten Bewertungsdimensionen.

‍

‍

So läuft der Scan Schritt für Schritt ab

Der angepasste Downloadprozess mit Content Scanning gewährleistet maximale Sicherheit bei minimaler Verzögerung. Beim Download aus einem verschlüsselten Raum wird der Nutzer im Client darauf hingewiesen, dass die Datei zunächst serverseitig entschlüsselt und gescannt wird. Anschließend laufen sechs Schritte automatisiert ab:

1. Schlüsselübergabe und Link an den Content Scanner.
2. Abruf der verschlüsselten Datei am Matrix-Homeserver.
3. Dateiempfang in der isolierten, temporären Scan-Umgebung.
4. Virenprüfung durch das angebundene Antiviren-Modul.
5. Ergebnisübermittlung „Sauber" oder „Infiziert" an den Proxy.
6. Dateifreigabe an den Client oder Fehlerrückmeldung bei Infektion.

‍

In beiden Fällen wird die Datei unmittelbar nach dem Scan unwiderruflich aus dem temporären Speicher gelöscht.

‍

gematik A_25519 und Compliance-Nachweis

Die gematik-Spezifikation A_25519 definiert eine optionale Schnittstelle für Virenscanner im TI-Messenger. Famedly implementiert diese Schnittstelle und schafft damit einen auditierbaren Nachweis, den klassischer Endpoint-Schutz nicht liefern kann. 

‍

Dateien müssen serverseitig in einer isolierten Umgebung geprüft werden, bevor sie das Endgerät erreichen. Dafür wird die Ende-zu-Ende-Verschlüsselung ausschließlich für den Scanvorgang temporär unterbrochen. Das Datensparsamkeitsprinzip sichert diesen Übergabepunkt ab und ist über vier verbindliche Compliance-Prinzipien operationalisiert:

• Keine permanente Speicherung der Datei außerhalb des Scanvorgangs.
• Sofortige, unwiderrufliche Löschung nach Abschluss des Scans.
• Need-to-know: Klartextzugriff nur auf die zu prüfende Datei, nicht auf andere Inhalte.
• Transparenz für den Nutzer durch expliziten Hinweis im Client.

‍

Für BSI-Grundschutz- und ISO-27001-Audits benötigen IT-Sicherheitsbeauftragte die Leistungsbeschreibung der Antivirenlösung, den A_25519-Konformitätsnachweis sowie die zentralen Scan-Protokolle als dokumentierte Schutzmaßnahme. Der DSGVO-konforme TI-Messenger liefert diese Nachweise als integralen Bestandteil des Betriebs.

‍

Vier Szenarien, in denen der Content Scan im TI-Messenger entscheidet

Externe Dateianhänge sind im klinischen Alltag die größte Angriffsfläche: Sie stammen aus IT-Umgebungen, deren Sicherheitsstatus die Klinik nicht kontrolliert, und landen direkt auf Stationsrechnern mit KIS- und PACS-Anbindung.

‍

Die folgenden vier Szenarien zeigen die praxisrelevantesten Risikomomente: das externe Konsil in der Neurochirurgie, die Laborbefund-Übermittlung beim KIS-Ausfall, eingehende Fremdbefunde in der ZNA und die QM-Dokumentenverteilung in Stationsgruppenräumen.

‍

Externes Konsilmaterial in der Neurochirurgie

Ein zuweisender Oberarzt eines Grundversorgers schickt PACS-Bildausschnitte und einen Arztbrief als PDF über den TI-Messenger an den diensthabenden Neurochirurgen des Maximalversorgers. Dieser öffnet die Anhänge am Stationsrechner, der direkt in KIS und PACS eingebunden ist. 

‍

Der serverseitige Content Scan prüft jede Datei in einer isolierten Umgebung, bevor sie das Endgerät erreicht. Der Ladeindikator erscheint kurz, dann sind Befund und Brief freigegeben. Externe Zuweiser arbeiten mit heterogenen IT-Sicherheitsstandards. Der Scan neutralisiert dieses Risiko ohne klinische Verzögerung. Für den IT-Sicherheitsbeauftragten bleibt jeder geprüfte Anhang im Audit lückenlos nachvollziehbar.

‍

Kurz gesagt: Als diensthabender Neurochirurg kann ich Konsilmaterial aus externen Häusern direkt im TI-Messenger öffnen, ohne das eigene PACS- und KIS-Netzwerk zu gefährden oder IT-Rückfragen zu benötigen.

‍

Laborbefund-Übermittlung beim KIS-Ausfall

Während einer Notfallwartung ist das KIS für mehrere Stunden nicht erreichbar, das Zentrallabor übermittelt kritische Befund-PDFs deshalb direkt über den TI-Messenger an Notaufnahme und Intensivstation. Mehrere Ärzte laden ihre jeweiligen Befunde gleichzeitig herunter, der serverseitige Content Scan prüft jeden Download automatisch und parallel und skaliert mit der Nutzerzahl, ohne Wartezeit für den Einzelnen. 

‍

Nach jeder Prüfung wird die Datei unwiderruflich aus dem temporären Serverspeicher gelöscht. Gerade im Ausnahmebetrieb, in dem Sicherheitsroutinen unter Zeitdruck leiden, greift der Schutz zuverlässig, ohne dass jemand aktiv daran denken muss.

‍

Kurz gesagt: Als Notaufnahmearzt kann ich auch beim KIS-Ausfall Laborbefunde sicher als Anhang empfangen und kritische Behandlungsentscheidungen ohne Zeitverzug und ohne IT-Sicherheitsrisiko treffen.

‍

Fremdbefunde in der Zentralen Notaufnahme

Ein Rettungsteam meldet einen Patienten mit Schädel-Hirn-Trauma an und übermittelt vorab das DIVI-Notfallprotokoll als PDF sowie ein Foto des Medikamentenpasses vom Rettungstablet an den ZNA-Stationsrechner. Der Sicherheitsstatus dieses Geräts liegt vollständig außerhalb der Klinik-IT, Patch-Stand und Schadsoftware-Risiko sind unbekannt. 

‍

Der serverseitige Content Scan prüft beide Anhänge automatisch beim Download, im Infektionsfall verhindert eine klare Warnmeldung im Client jeden Kontakt mit dem Stationsnetzwerk. Rettungsmittel und Notfalltablets sind ein blinder Fleck der Krankenhaus-IT-Sicherheit, den der Scan ohne Mehraufwand für das Notaufnahmeteam schließt.

‍

Kurz gesagt: Als ZNA-Pflegefachkraft kann ich vorangemeldete Patienteninformationen vom Rettungsdienst sicher herunterladen und die Aufnahme vorbereiten, ohne dass Dateien von Rettungstablets unkontrolliert ins Stationsnetzwerk gelangen.

‍

QM-Dokumente in Stationsgruppenräumen

Die QM-Beauftragte verteilt einen aktualisierten Hygieneplan und ein überarbeitetes SOP-Dokument über einen TI-Messenger-Gruppenraum an 18 Stationsleitungen gleichzeitig. Beide PDFs stammen von einem externen Hygieneberater und damit aus einer vollständig unkontrollierten Außenquelle. Der serverseitige Content Scan prüft jeden der 18 Downloads automatisch, unabhängig und parallel, ohne dass eine Stationsleitung aktiv werden muss. 

‍

Massenverteilungen in Gruppenräumen sind ein typischer Angriffsvektor, weil Angreifer nur einen einzigen Empfänger treffen müssen. Für die IT-Abteilung entsteht ein lückenloses, auditierbares Sicherheitsnetz, das im nächsten BSI-Grundschutz- und ISO-27001-Audit als dokumentierte Schutzmaßnahme für eingehende Dateianhänge dient.

‍

Kurz gesagt: Als IT-Sicherheitsbeauftragter kann ich nachweisen, dass alle über den TI-Messenger empfangenen Dateianhänge automatisch auf Schadsoftware geprüft wurden und kann BSI-Grundschutz- sowie ISO-27001-Anforderungen im nächsten Audit lückenlos belegen.

‍

Wie groß ist die Angriffsfläche Ihrer Einrichtung wirklich?

Ungescannte Dateianhänge externer Zuweiser, Rettungsdienste oder Berater landen täglich auf Stationsrechnern mit direktem KIS- und PACS-Zugang. Im kostenlosen TI-Check analysieren Famedly-Experten gemeinsam mit Ihnen, an welchen Stellen Ihre Endgeräte aktuell ungeschützt sind. Unverbindlich, in 30 Minuten und ohne Vorbereitungsaufwand auf Ihrer Seite.

‍

{{cta}}

‍

Famedly TI-Messenger: integrierte Sicherheitslösung für KRITIS-Kliniken

Der Famedly TI-Messenger ermöglicht sichere, Ende-zu-Ende-verschlüsselte Kommunikation und läuft unabhängig von der Kundeninfrastruktur – ein entscheidender Vorteil für die Ausfall- und Notfallkommunikation im Krankenhausbetrieb. Für Entscheider bedeutet das messbaren Schutz und einen auditierbaren Compliance-Baustein für BSI-Grundschutz und ISO 27001.

‍

Das UKE setzt Famedly als KRITIS-Einrichtung bereits im On-Premise-Betrieb ein. Als einziger Anbieter mit Produkt- und Anbieterzulassung der gematik liefert Famedly in Ausschreibungen ein belastbares Vertrauenssignal.

‍

Funktionsumfang im Vergleich: Bronze vs. Silber

Famedly TI-Messenger Pro bietet die Antivirenlösung in zwei Paketen an: mit ClamAV (Bronze) oder der kommerziellen Ikarus-Engine der IKARUS Security GmbH (Silber).

‍

Beide Pakete decken alle Kernfunktionen des serverseitigen Content Scans ab, der Unterschied liegt in der eingesetzten Antiviren-Engine.

‍

‍

Antivirenlösung TI-Messenger im KRITIS-Betrieb sicher einführen

Der serverseitige Content Scan schließt die Lücke zwischen Endpoint-Schutzpflicht und realer Angriffsfläche genau dort, wo klassische Lösungen am TI-Messenger scheitern: Ende-zu-Ende-Verschlüsselung neutralisiert serverseitige Prüfung, Endpoint-Antivirus greift erst nach der Entschlüsselung auf dem Stationsrechner. Für KRITIS-Einrichtungen entscheidet damit die Architekturwahl darüber, ob ein infizierter Anhang den Sprung ins KIS- und PACS-Netzwerk schafft oder bereits vor dem Endgerät gestoppt wird.

‍

Im nächsten Schritt empfiehlt sich ein gemeinsamer TI-Check mit Famedly: Dabei werden die konkrete Angriffsfläche der eigenen Einrichtung, die Auditanforderungen nach BSI-Grundschutz und ISO 27001 sowie der Integrationspfad in KIS und PACS strukturiert bewertet. So lässt sich die Antivirenlösung im TI-Messenger-Betrieb passgenau auf die bestehende Infrastruktur, vorhandene Sicherheitsrichtlinien und die Workflows in Notaufnahme, Stationen und Funktionsbereichen abstimmen, bevor ein Rollout entschieden wird.

‍

BSI-Grundschutz und ISO 27001: Compliance-Nachweis jetzt planen

Bleibt der Integrationspfad in KIS und PACS ungeklärt, geraten offene Auditanforderungen schnell unter Zeitdruck. In einem 30-minütigen Beratungsgespräch bewerten Famedly-Experten gemeinsam mit Ihnen den konkreten Integrationspfad, Ihre offenen BSI- und ISO-Auditpunkte sowie die passende Antivirus-Architektur für Ihre Einrichtung. Unverbindlich und mit klaren nächsten Schritten am Ende des Termins.

‍

{{cta}}

‍

FAQ

Reicht Endpoint-Antivirus auf den Stationsrechnern nicht aus?

Endpoint-Schutz greift erst nach der Entschlüsselung auf dem Stationsrechner, der dann bereits Kontakt zum KIS- und PACS-Netzwerk hat. Das Restrisiko bleibt bestehen. Der serverseitige Scan prüft die Datei, bevor sie das Endgerät überhaupt erreicht.

‍

Funktioniert serverseitiger Scan trotz Ende-zu-Ende-Verschlüsselung?

Ja. Die Prüfung erfolgt im definierten Übergabepunkt der gematik-Spezifikation A_25519 in einer isolierten Serverumgebung. Die Ende-zu-Ende-Verschlüsselung wird nur temporär und ausschließlich für die Dauer des Scans unterbrochen, bevor die Datei das Endgerät erreicht.

‍

Wie weisen wir den Scan im BSI- und ISO-27001-Audit nach?

Über die lückenlose zentrale Protokollierung jedes geprüften Anhangs als dokumentierte Schutzmaßnahme für eingehende Dateien. Diese Protokolle fließen direkt in Auditberichte ein und erfüllen die Nachweispflichten nach BSI-Grundschutz und ISO 27001.

‍

Verlangsamt der Scan den Workflow in Notaufnahme und Intensivstation?

Nein. Die Prüfung läuft parallel und skaliert mit der Nutzerzahl. Der Ladeindikator erscheint nur kurz für wenige Sekunden vor der Freigabe, ohne spürbare Verzögerung im klinischen Alltag.

‍

Was passiert mit gescannten Dateien nach der Freigabe?

Saubere Dateien werden freigegeben und sofort unwiderruflich aus dem temporären Serverspeicher gelöscht. Infizierte Anhänge werden blockiert und erreichen das Stationsnetzwerk nie. In beiden Fällen verbleibt keine Kopie auf dem Scan-Server.