• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

[Sonstiges] Elektronische Gesundheitskarte (eGK), elektronische Patientenakte (ePA) und deren Sicherheit

sick-card-491714_960_720.jpg

Nach Problemen mit - teils unterstützten - Gesundheits-Apps, wie Vivy, gibt es nun Berichte über die Unsicherheit der elektronischen Gesundheitskarte (eGK) und der elektronischen Patientenakte.

Begonnen hat das Projekt der elektronischen Vernetzung von Leistungserbringern und Patienten eigentlich vor fast zwanzig Jahren. Die Idee damals war, Daten auf der damals neuen elektronischen Gesundheitskarte zu speichern. Die Idee wurde durch die Planung einer umfassenden IT-Infrastruktur abgelöst, durch die Arztpraxen, Apotheken, Krankenhäuser, Krankenkassen und weitere Beteiligte vernetzt werden sollten. Die Telematik-Infrastruktur wurde in den 2000er-Jahren als VPN (Virtuelles privates Netzwerk) konzipiert, in dem die Patientendaten verschlüsselt auf zentralen Servern weniger Anbieter gespeichert werden. Die Gesundheitskarte dient zur Authentifizierung. Folglich benötigen alle Teilnehmer einen speziellen VPN-Router, der u.a. einen Sicherheitschip mit Zertifikatsinformationen enthält. Nicht vorgesehen war ohne die spezielle Hardware - beispielsweise über mobile Endgeräte - auf die Infrastruktur zuzugreifen. Man sieht hier schon deutlich, dass das Konzept inzwischen überholt ist. Trotzdem wurde die Infrastruktur 2015 verbindlich eingeführt. Hackern des CCC ist es gelungen, sich Zugangsberechtigungen für das Telematik-Netzwerk zu verschaffen [1] und grobe Mängel in den Zugangsprozessen feststellen. Damit wurden wiederholt Schwachstellen der eGK entdeckt und teils auf Congressen vorgestellt [2]. Aktuell sind über 115.000 Praxen angeschlossen.

Bei der Umsetzung in den Praxen kam es zu etlichen Problemen: bestehende Schutzmechanismen, wie Firewalls und Virenscanner, wurden abgeschalten und Praxen ohne Schutzmaßnahmen erstmals ans Internet angeschlossen. Eigentlich sollte beim Konnektor eine eingebaute Firewall die Praxen schützen, jedoch ist dies nur mit einem zusätzlichen kostenpflichtigen Secure-Internet-Service möglich, der natürlich nur in den wenigsten Praxen eingesetzt wird. Besonders kritisch ist dies, nachdem zuletzt auch einige Krankenhäuser offline gehen mussten. In der Zwischenzeit kamen zertifizierte Konnektoren in Rechenzentren auf, wodurch sich die Frage stellt, wieso eine dezentrale Lösung in den Praxen überhaupt benötigt wird. Ferner besteht das Problem, dass das Zertifikat auf dem Konnektor spätestens alle fünf Jahre abläuft und nicht verlängert werden kann. Folglich muss die Hardware ausgetauscht werden.

Die patientengeführte elektronische Patientenakte (ePA) soll ab Anfang 2021 sensible Gesundheitsdaten enthalten. Die Akte selbst ist (noch) freiwillig, wodurch es von Relevanz ist, wo sie denn gespeichert wird. Laut Bundesdruckerei und iRights.Lab sollen die Daten am besten auf einer neutralen Treuhänder-Plattform gespeichert werden. Der Treuhänder soll zusätzlich die Aufgabe übernehmen, pseudonymisierte Daten für die Forschung bereitzustellen. Forscher sollen zukünftig die Gesundheitsdaten nutzen können, ohne um Erlaubnis fragen zu müssen. Ärzte, die nicht gewillt sind, sich zu vernetzen, sollen weniger Honorar bekommen.

Insgesamt zeigt sich, dass die Lösungen - inklusive der Sicherheitsmaßnahmen - veraltet sind.


[1] https://www.ccc.de/en/updates/2019/neue-schwachstellen-gesundheitsnetzwerk
[2] https://media.ccc.de/search/?q=gesundheit
 

Chegwidden

Hat sich hochgeschlafen-
Teammitglied

Registriert
14 Juli 2013
Beiträge
20.994
Ort
Dortmund
Für mein Empfinden ist das das absolute Grauen.

Es gibt in den letzten Jahren viele IT-Dinge, die die Regierungsfuzzis nicht verstehen und/oder beherrschen.
Dazu gehört auch die Geschichte, dass Neuwagen verfolgbar sein müssen. Mit der faulen Ausrede, im Falle eines Unfalls den Wagen zu finden. Bullshit!

Das mit der ungesicherten Krankenkassenkarte und der unausgegorenen Datenübermittlung ist für mich ein Eingriff in mein Leben und mein Vertrauen.
Der dämliche Spahn will Sachen durchdrücken, bei denen selbst der Verkehrs-Scheuer blass vor Neid wird.
Welche Pharma-Firmen werden mir demnächst schreiben und mir Werbung schicken?
Welche unterbezahlten IT-ler in kleinen Firmen werden meine Daten verkaufen oder mich sogar erpressen, damit die Daten nicht noch freier verfügbar werden?

Ich habe schon von einigen, noch weniger mit der IT-Materie vertrauten Menschen als ich, Sätze gehört wie:
ach, was soll so schlimm sein an einem Schnupfen? Kann doch jeder wissen...
Sagen die das auch noch, wenn sie sich Genitalwarzen auf der Autobahnraststätte eingefangen haben?

Ich bin im Februar 2019 fast über die Klinge gesprungen.
Die Arztberichte auf Papier aus dem Krankenhaus waren schon sehr fehlerhaft und lückenhaft.
Da waren Daten (Blutwerte, Medikamentenverabreichungen und Behandlungen) von einem oder mehreren anderen Patienten eingeflossen.
Und so ein Scheiß soll jetzt noch ungehindert ins Netz laufen?

Ich frage wohl besser nicht, ob ich mich dagegen wehren kann, das verhindern kann.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
Wie in dem Artikel / Beim CCC / In der Presse zu lesen ist das ganze anfangs zum Glück freiwillig.
Das Grundlegende Konzept der ePA finde ich durchaus gut und wie im Talk ausgeführt wurde Konzeptionell einiges Vergleichsweise echt gut gemacht (Wenn man das ganze mal mit der unsäglichen Vivi App Div. Krankenkassen vergleicht).
Das ganze wird ja eben auch gerade extra nicht ins "Internet" geblasen sondern über ein eigenes Netzwerk verschlüsselt auf einer Zentralen Plattform abgelegt.

Aktuell gehen nicht nur Zeit und Geld sondern auch Nerven in die div. Papierberge die man von Arzt zu Arzt tragen darf oder die in Briefen oder auf selber gebrannten CDs quer durch Deutschland geschickt werden (im Prinzip ja auch mit quasie keinem Schutz, wer prüft schon als Absender ob der Brief auch wirklich beim richtigen Arzt ankommt bzw. ob er ankommt).

Daher begrüße ich den Vorstoß einer solchen ePA. Auch um mehrfach-Untersuchungen zu vermeiden oder alles 100% zu erklären.

Umso ärgerlicher ist es das dann durch die immer beliebter werdende Verantwortungs-Diffusion (Alle großen neuen Firmen sind ja meist nur noch "Dienstleiter und Vermittler" die Beschwerden oder Probleme "Weitergeben" - am Ende kann keiner etwas für dein Problem) auch hier im Prozess so arge Fehler gemacht wurden das nun mit einem riesen Aufwand und Kosten nachgebessert werden muss.
Im Prinzip muss man zum einen alle Karten neu ausstellen, sich für den Verbraucher noch ein vernünftiges System überlegen und vermutlich an einigen anderen Schnittstellen genauer hinsehen (Bei solchen Aufträgen wird ja immer mal schön "etwas" vom Tüv geprüft damit das Logo auf den Flyer darf aber vernünftige Pen-Tests werden irgendwie nie Beauftragt).

Die IT in Arztpraxen im Allgemeinen ist ein anderes (wichtiges) Thema. Hier gibt es aber auch jetzt schon ohne ePA Probleme und diese sind nicht nur in den Arztpraxen zu suchen.
Es gibt viel zu viele IT-Dienstleister die besser im Verkaufen als im Umsetzen sind. Auch gab es letzes Jahr den Vorfall (vor allem in den USA) das die Daten von Arztpraxen Massenhaft verschlüsselt wurden da beim Cloud-Dienst, der extra mit Sicherheit gegenüber von Angriffen geworben hat, da schlicht der Anbieter gehackt wurde und die Daten + deren Bearbeitung in einer "Geschützten" Umgebung beim Anbieter stattgefunden hat. Hier hätte die Arztpraxis in der Tat angegriffen werden können und die Daten wären sicher gewesen - im Prinzip keine blöde Idee und man kann verstehen das Ärzte so eine Lösung wählen. So eine Plattform (genauso wie alle großen Cloud-Dienste) sind aber auch das genialste Ziel für Hacker das es geben kann da man wenn man eine Lücke findet viel viel mehr an "Schaden" oder "Gewinn" einfahren kann als bei einzelnen Firmen oder hier Praxen - also wo steckt man seine Energie rein?
 

Carsten

Neu angemeldet

Registriert
20 Nov. 2017
Beiträge
439
Daher begrüße ich den Vorstoß einer solchen ePA. Auch um mehrfach-Untersuchungen zu vermeiden oder alles 100% zu erklären.
Mehrfachuntersuchungen können durchaus sinnvoll sein und sind mitunter auch explizit bei Zweit- oder Drittmeinungen erwünscht - der Arzt soll und darf von den Diagnosen/Ergebnissen der Kollegen dann allerdings keine Kenntnis haben.
 

drfuture

Zeitreisender
Teammitglied

Registriert
14 Juli 2013
Beiträge
8.730
Ort
in der Zukunft
Ja mit Sicherheit - Wenn sie erwünscht sind dann kann man sie auch nach wie vor machen. Die Option verliert man ja nicht. Der Arzt hat auch nicht automatisch zugriff.
 

mr_transistor

NGBler

Registriert
18 Okt. 2018
Beiträge
94
Ort
Berlin
Wie war es denn bei der elektronischen Gesundheitskarte der Gematik?
Man hat Milliarden verbrannt, weil man höchste Sicherheitsstandards erfüllen wollte,
um dann am Ende alle "Sicherheitsfeatures" über Bord zu werfen. Jeder Arzt sieht alle Einträge der Karte.

Und schon jetzt wird man als Patient zu allerlei "freiwilligen" Handlungen gezwungen, die man akzeptieren muss,
um überhaupt behandelt zu werden. Die Verhandlungsposition gesetzlich Versicherter ist nicht die beste,
wenn man ohnehin schon monatelang auf einen Facharzttermin warten muss.
Wer unterschreibt da keine entsprechende Datenschutzerklärung, wenn man unter Gesundheitsproblemen eben leidet.
Dazu wird man dann noch in Terminplanungsapps wie Doctolib oder CGMLife eingebunden, was auch vorgegeben ist.
Ich kann mir nicht vorstellen, dass das bei den Einträgen auf der Akte anders wird. Natürlich wollen die alles haben.
Die ärztliche Schweigepflicht ist total aufgeweicht worden. Und bei einem Leak kann niemand mehr feststellen,
wo bei den zig Beteiligten, der Datenabfluss passiert.

Hat sich dadurch was in den letzten 30 Jahren verbessert? Einen Termin kriegt man dadurch jedenfalls nicht schneller.
Wird die Behandlung individueller und abgestimmter? Mitnichten. Je mehr Forschungsprojekte und Studien, desto weniger geht
es um die Belange des konkreten Patienten. Das sind dann zusätzliche Nebenschauplätze für den Arzt als Einkünfte oder Kompromat für das
Praxisteam, um die "Compliance" zu verbessern.

Sind Gesundheitsdaten unkritischer als vor 30 Jahren? Jetzt in Zeiten, wo Wohnungssuche wieder ein Problem ist und so langsam auch die an den Unis geparkten Abi-Schwämme auf den Arbeitsmarkt drängen.
Diese postprivacy Politik schadet konkret Menschen. Der Staat exponiert seine Bürger (zumindest die gesetzlich Versicherten) zusätzlichen Risiken.
 
Oben