Ergebnis 1 bis 7 von 7

Thema: Elektronische Gesundheitskarte (eGK), elektronische Patientenakte (ePA) und deren Sicherheit

  1. #1
    in Schwarz

    Moderator

    Avatar von LadyRavenous
    Registriert seit
    Dec 2016
    Ort
    hello world
    Beiträge
    2.907
    ngb:news Artikel
    81

    Elektronische Gesundheitskarte (eGK), elektronische Patientenakte (ePA) und deren Sicherheit

    Klicke auf die Grafik für eine größere Ansicht 

Name:	sick-card-491714_960_720.jpg 
Hits:	6 
Größe:	150,8 KB 
ID:	55884

    Nach Problemen mit - teils unterstützten - Gesundheits-Apps, wie Vivy, gibt es nun Berichte über die Unsicherheit der elektronischen Gesundheitskarte (eGK) und der elektronischen Patientenakte.

    Begonnen hat das Projekt der elektronischen Vernetzung von Leistungserbringern und Patienten eigentlich vor fast zwanzig Jahren. Die Idee damals war, Daten auf der damals neuen elektronischen Gesundheitskarte zu speichern. Die Idee wurde durch die Planung einer umfassenden IT-Infrastruktur abgelöst, durch die Arztpraxen, Apotheken, Krankenhäuser, Krankenkassen und weitere Beteiligte vernetzt werden sollten. Die Telematik-Infrastruktur wurde in den 2000er-Jahren als VPN (Virtuelles privates Netzwerk) konzipiert, in dem die Patientendaten verschlüsselt auf zentralen Servern weniger Anbieter gespeichert werden. Die Gesundheitskarte dient zur Authentifizierung. Folglich benötigen alle Teilnehmer einen speziellen VPN-Router, der u.a. einen Sicherheitschip mit Zertifikatsinformationen enthält. Nicht vorgesehen war ohne die spezielle Hardware - beispielsweise über mobile Endgeräte - auf die Infrastruktur zuzugreifen. Man sieht hier schon deutlich, dass das Konzept inzwischen überholt ist. Trotzdem wurde die Infrastruktur 2015 verbindlich eingeführt. Hackern des CCC ist es gelungen, sich Zugangsberechtigungen für das Telematik-Netzwerk zu verschaffen [1] und grobe Mängel in den Zugangsprozessen feststellen. Damit wurden wiederholt Schwachstellen der eGK entdeckt und teils auf Congressen vorgestellt [2]. Aktuell sind über 115.000 Praxen angeschlossen.

    Bei der Umsetzung in den Praxen kam es zu etlichen Problemen: bestehende Schutzmechanismen, wie Firewalls und Virenscanner, wurden abgeschalten und Praxen ohne Schutzmaßnahmen erstmals ans Internet angeschlossen. Eigentlich sollte beim Konnektor eine eingebaute Firewall die Praxen schützen, jedoch ist dies nur mit einem zusätzlichen kostenpflichtigen Secure-Internet-Service möglich, der natürlich nur in den wenigsten Praxen eingesetzt wird. Besonders kritisch ist dies, nachdem zuletzt auch einige Krankenhäuser offline gehen mussten. In der Zwischenzeit kamen zertifizierte Konnektoren in Rechenzentren auf, wodurch sich die Frage stellt, wieso eine dezentrale Lösung in den Praxen überhaupt benötigt wird. Ferner besteht das Problem, dass das Zertifikat auf dem Konnektor spätestens alle fünf Jahre abläuft und nicht verlängert werden kann. Folglich muss die Hardware ausgetauscht werden.

    Die patientengeführte elektronische Patientenakte (ePA) soll ab Anfang 2021 sensible Gesundheitsdaten enthalten. Die Akte selbst ist (noch) freiwillig, wodurch es von Relevanz ist, wo sie denn gespeichert wird. Laut Bundesdruckerei und iRights.Lab sollen die Daten am besten auf einer neutralen Treuhänder-Plattform gespeichert werden. Der Treuhänder soll zusätzlich die Aufgabe übernehmen, pseudonymisierte Daten für die Forschung bereitzustellen. Forscher sollen zukünftig die Gesundheitsdaten nutzen können, ohne um Erlaubnis fragen zu müssen. Ärzte, die nicht gewillt sind, sich zu vernetzen, sollen weniger Honorar bekommen.

    Insgesamt zeigt sich, dass die Lösungen - inklusive der Sicherheitsmaßnahmen - veraltet sind.


    [1] https://www.ccc.de/en/updates/2019/n...dheitsnetzwerk
    [2] https://media.ccc.de/search/?q=gesundheit
    Für diesen Beitrag bedanken sich nachtmasse, Chegwidden
    "Das Internet? Gibts diesen Blödsinn immer noch?"
    Homer Simpson, Sicherheitsinspektor im Kernkraftwerk Springfield

    Hasenbraten-Rezepte

  2. #2
    Hat sich hochgeschlafen-

    Moderator

    Avatar von Chegwidden
    Registriert seit
    Jul 2013
    Ort
    Dortmund
    Beiträge
    7.054
    ngb:news Artikel
    6

    Re: Elektronische Gesundheitskarte (eGK), elektronische Patientenakte (ePA) und deren Sicherheit

    Für mein Empfinden ist das das absolute Grauen.

    Es gibt in den letzten Jahren viele IT-Dinge, die die Regierungsfuzzis nicht verstehen und/oder beherrschen.
    Dazu gehört auch die Geschichte, dass Neuwagen verfolgbar sein müssen. Mit der faulen Ausrede, im Falle eines Unfalls den Wagen zu finden. Bullshit!

    Das mit der ungesicherten Krankenkassenkarte und der unausgegorenen Datenübermittlung ist für mich ein Eingriff in mein Leben und mein Vertrauen.
    Der dämliche Spahn will Sachen durchdrücken, bei denen selbst der Verkehrs-Scheuer blass vor Neid wird.
    Welche Pharma-Firmen werden mir demnächst schreiben und mir Werbung schicken?
    Welche unterbezahlten IT-ler in kleinen Firmen werden meine Daten verkaufen oder mich sogar erpressen, damit die Daten nicht noch freier verfügbar werden?

    Ich habe schon von einigen, noch weniger mit der IT-Materie vertrauten Menschen als ich, Sätze gehört wie:
    ach, was soll so schlimm sein an einem Schnupfen? Kann doch jeder wissen...
    Sagen die das auch noch, wenn sie sich Genitalwarzen auf der Autobahnraststätte eingefangen haben?

    Ich bin im Februar 2019 fast über die Klinge gesprungen.
    Die Arztberichte auf Papier aus dem Krankenhaus waren schon sehr fehlerhaft und lückenhaft.
    Da waren Daten (Blutwerte, Medikamentenverabreichungen und Behandlungen) von einem oder mehreren anderen Patienten eingeflossen.
    Und so ein Scheiß soll jetzt noch ungehindert ins Netz laufen?

    Ich frage wohl besser nicht, ob ich mich dagegen wehren kann, das verhindern kann.
    In Stückchen dürfen sie kommen?
    Im Ganzen nicht?

  3. #3
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    6.157
    ngb:news Artikel
    17

    Re: Elektronische Gesundheitskarte (eGK), elektronische Patientenakte (ePA) und deren Sicherheit

    Wie in dem Artikel / Beim CCC / In der Presse zu lesen ist das ganze anfangs zum Glück freiwillig.
    Das Grundlegende Konzept der ePA finde ich durchaus gut und wie im Talk ausgeführt wurde Konzeptionell einiges Vergleichsweise echt gut gemacht (Wenn man das ganze mal mit der unsäglichen Vivi App Div. Krankenkassen vergleicht).
    Das ganze wird ja eben auch gerade extra nicht ins "Internet" geblasen sondern über ein eigenes Netzwerk verschlüsselt auf einer Zentralen Plattform abgelegt.

    Aktuell gehen nicht nur Zeit und Geld sondern auch Nerven in die div. Papierberge die man von Arzt zu Arzt tragen darf oder die in Briefen oder auf selber gebrannten CDs quer durch Deutschland geschickt werden (im Prinzip ja auch mit quasie keinem Schutz, wer prüft schon als Absender ob der Brief auch wirklich beim richtigen Arzt ankommt bzw. ob er ankommt).

    Daher begrüße ich den Vorstoß einer solchen ePA. Auch um mehrfach-Untersuchungen zu vermeiden oder alles 100% zu erklären.

    Umso ärgerlicher ist es das dann durch die immer beliebter werdende Verantwortungs-Diffusion (Alle großen neuen Firmen sind ja meist nur noch "Dienstleiter und Vermittler" die Beschwerden oder Probleme "Weitergeben" - am Ende kann keiner etwas für dein Problem) auch hier im Prozess so arge Fehler gemacht wurden das nun mit einem riesen Aufwand und Kosten nachgebessert werden muss.
    Im Prinzip muss man zum einen alle Karten neu ausstellen, sich für den Verbraucher noch ein vernünftiges System überlegen und vermutlich an einigen anderen Schnittstellen genauer hinsehen (Bei solchen Aufträgen wird ja immer mal schön "etwas" vom Tüv geprüft damit das Logo auf den Flyer darf aber vernünftige Pen-Tests werden irgendwie nie Beauftragt).

    Die IT in Arztpraxen im Allgemeinen ist ein anderes (wichtiges) Thema. Hier gibt es aber auch jetzt schon ohne ePA Probleme und diese sind nicht nur in den Arztpraxen zu suchen.
    Es gibt viel zu viele IT-Dienstleister die besser im Verkaufen als im Umsetzen sind. Auch gab es letzes Jahr den Vorfall (vor allem in den USA) das die Daten von Arztpraxen Massenhaft verschlüsselt wurden da beim Cloud-Dienst, der extra mit Sicherheit gegenüber von Angriffen geworben hat, da schlicht der Anbieter gehackt wurde und die Daten + deren Bearbeitung in einer "Geschützten" Umgebung beim Anbieter stattgefunden hat. Hier hätte die Arztpraxis in der Tat angegriffen werden können und die Daten wären sicher gewesen - im Prinzip keine blöde Idee und man kann verstehen das Ärzte so eine Lösung wählen. So eine Plattform (genauso wie alle großen Cloud-Dienste) sind aber auch das genialste Ziel für Hacker das es geben kann da man wenn man eine Lücke findet viel viel mehr an "Schaden" oder "Gewinn" einfahren kann als bei einzelnen Firmen oder hier Praxen - also wo steckt man seine Energie rein?
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  4. #4
    in Schwarz

    Moderator

    (Threadstarter)

    Avatar von LadyRavenous
    Registriert seit
    Dec 2016
    Ort
    hello world
    Beiträge
    2.907
    ngb:news Artikel
    81

    Re: Elektronische Gesundheitskarte (eGK), elektronische Patientenakte (ePA) und deren Sicherheit

    https://media.ccc.de/v/36c3-10595-ha...ntenakte_kommt

    Sooo, jetzt bin ich endlich beim passenden 36c3 Talk
    Für diesen Beitrag bedankt sich pspzockerscene
    "Das Internet? Gibts diesen Blödsinn immer noch?"
    Homer Simpson, Sicherheitsinspektor im Kernkraftwerk Springfield

    Hasenbraten-Rezepte

  5. #5

    Re: Elektronische Gesundheitskarte (eGK), elektronische Patientenakte (ePA) und deren Sicherheit

    Zitat Zitat von drfuture Beitrag anzeigen
    Daher begrüße ich den Vorstoß einer solchen ePA. Auch um mehrfach-Untersuchungen zu vermeiden oder alles 100% zu erklären.
    Mehrfachuntersuchungen können durchaus sinnvoll sein und sind mitunter auch explizit bei Zweit- oder Drittmeinungen erwünscht - der Arzt soll und darf von den Diagnosen/Ergebnissen der Kollegen dann allerdings keine Kenntnis haben.

  6. #6
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    6.157
    ngb:news Artikel
    17

    Re: Elektronische Gesundheitskarte (eGK), elektronische Patientenakte (ePA) und deren Sicherheit

    Ja mit Sicherheit - Wenn sie erwünscht sind dann kann man sie auch nach wie vor machen. Die Option verliert man ja nicht. Der Arzt hat auch nicht automatisch zugriff.
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  7. #7
    Mitglied Avatar von mr_transistor
    Registriert seit
    Oct 2018
    Ort
    Berlin
    Beiträge
    66
    ngb:news Artikel
    1

    Re: Elektronische Gesundheitskarte (eGK), elektronische Patientenakte (ePA) und deren Sicherheit

    Wie war es denn bei der elektronischen Gesundheitskarte der Gematik?
    Man hat Milliarden verbrannt, weil man höchste Sicherheitsstandards erfüllen wollte,
    um dann am Ende alle "Sicherheitsfeatures" über Bord zu werfen. Jeder Arzt sieht alle Einträge der Karte.

    Und schon jetzt wird man als Patient zu allerlei "freiwilligen" Handlungen gezwungen, die man akzeptieren muss,
    um überhaupt behandelt zu werden. Die Verhandlungsposition gesetzlich Versicherter ist nicht die beste,
    wenn man ohnehin schon monatelang auf einen Facharzttermin warten muss.
    Wer unterschreibt da keine entsprechende Datenschutzerklärung, wenn man unter Gesundheitsproblemen eben leidet.
    Dazu wird man dann noch in Terminplanungsapps wie Doctolib oder CGMLife eingebunden, was auch vorgegeben ist.
    Ich kann mir nicht vorstellen, dass das bei den Einträgen auf der Akte anders wird. Natürlich wollen die alles haben.
    Die ärztliche Schweigepflicht ist total aufgeweicht worden. Und bei einem Leak kann niemand mehr feststellen,
    wo bei den zig Beteiligten, der Datenabfluss passiert.

    Hat sich dadurch was in den letzten 30 Jahren verbessert? Einen Termin kriegt man dadurch jedenfalls nicht schneller.
    Wird die Behandlung individueller und abgestimmter? Mitnichten. Je mehr Forschungsprojekte und Studien, desto weniger geht
    es um die Belange des konkreten Patienten. Das sind dann zusätzliche Nebenschauplätze für den Arzt als Einkünfte oder Kompromat für das
    Praxisteam, um die "Compliance" zu verbessern.

    Sind Gesundheitsdaten unkritischer als vor 30 Jahren? Jetzt in Zeiten, wo Wohnungssuche wieder ein Problem ist und so langsam auch die an den Unis geparkten Abi-Schwämme auf den Arbeitsmarkt drängen.
    Diese postprivacy Politik schadet konkret Menschen. Der Staat exponiert seine Bürger (zumindest die gesetzlich Versicherten) zusätzlichen Risiken.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •