Lauterbach-Projekt
Extreme Sicherheitslücke bei digitaler Patientenakte – hunderttausende Datensätze ungeschützt einsehbar
Ab 2025 wird die elektronische Patientenakte automatisch für alle gesetzlich Versicherten angelegt – es sei denn, sie widersprechen. Es zeigt sich jetzt jedoch, wie leicht durch Designfehler auf Akten zugegriffen werden kann.
Von
Mit dem Wechsel zum sogenannten Opt-out-Verfahren ab Januar 2025 wird es in Zukunft deutlich schwerer, sich der elektronischen Patientenakte (ePA) zu entziehen. Bürger mussten in der Vergangenheit aktiv einer ePA-Anlage zustimmen. Erst 2021 eingeführt, wird die ePA hier bislang kaum genutzt. Im Sommer 2024 zeigte eine Abfrage des MDR, dass lediglich 0,1 Prozent der AOK-Versicherten eine ePA hatten, bei der Barmer Ersatzkasse waren es 1,7 Prozent – ein Spitzenwert unter den gesetzlichen Krankenkassen.
Mit dem Digital-Gesetz hat die ehemalige Ampelkoalition nun einen Systemwechsel eingeleitet: Ab Januar 2025 wird die ePA automatisch für alle gesetzlich Versicherten angelegt, es sei denn, sie widersprechen ausdrücklich. Dieser Wechsel soll die Nutzung deutlich steigern. Ab dem 15. Januar 2025 startet das System in Modellregionen wie Hamburg, Franken und Teilen Nordrhein-Westfalens. Einen Monat später soll die ePA allen gesetzlich Versicherten zur Verfügung stehen. Allerdings bleibt die Akte zunächst leer. Ärzte sind dann verpflichtet, aktuelle Behandlungsunterlagen dort einzustellen. Ältere Dokumente können Versicherte bei Bedarf selbst hochladen.
Trotz der ständigen Betonung der Sicherheit der elektronischen Patientenakte präsentierten die Sicherheitsexperten Martin Tschirsich und Bianca Kastl auf dem 38. Chaos Communication Congress in Hamburg gravierende Schwachstellen in der neuen „ePA für alle“. Es gelang ihnen, Zugriff auf beliebige Patientenakten zu erhalten – ohne die elektronische Gesundheitskarte nutzen zu müssen. Ursache seien Mängel in den Spezifikationen. So konnten Tschirsich und Kastl Zugriffstoken für die ePA generieren und Sicherheitsmechanismen umgehen. Auch ohne physische Gesundheitskarte oder PIN lässt sich auf die neue Version ePA 3.0 zugreifen.
Die Sicherheitslücken beschränken sich nicht nur auf die Software. Die Forscher demonstrierten, wie einfach sich elektronische Gesundheitskarten durch falsche Angaben bei Krankenkassen bestellen lassen – innerhalb weniger Minuten. Überdies eröffneten gekaufte Kartenterminals und SQL-Injection-Angriffe weitere Angriffswege. Durch einen kompromittierten Praxiszugang sei der Zugriff auf bis zu 1.500 Patientenakten möglich. Viele der Schwachstellen sind nicht neu. Bereits vor Jahren hatte der Sicherheitsforscher André Zilch gezeigt, wie leicht sich elektronische Heilberufsausweise beschaffen lassen. „Es handelt sich um Designfehler, die längst hätten behoben werden müssen“, kritisiert der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber.
Werbung
Die Experten fordern mehr Transparenz und eine unabhängige Bewertung der Sicherheitsrisiken. Versicherten müsse klar kommuniziert werden, welche Gefahren die ePA birgt. „Es braucht sinnvolle, digitale Lösungen, die als öffentliche Infrastruktur funktionieren“, so Kastl. Bislang reagiere die Gematik, die Firma, die für die ePA verantwortlich ist, nur unzureichend auf die Kritik.
Sie haben brisante Insider-Informationen oder Leaks? Hier können Sie uns anonyme Hinweise schicken.
Wenn Lauterbach betont, WIE sicher etwas ist, müßten heute bei Allen ALLE Alarmglocken schrillen!
Merkt denn keiner das hier alle verApple ´t werden, und die legitimen Bedenken werden, wie heute modern, einfach „weggewischt“.
Am Ende steht der gläserne Bürger, mit dem totalitären Überwachungsstaat.
Ich habe jeden, der es hören wollte, vor GENAU DIESEM Szenario gewarnt, auch hier: Dass diese Datenbank Hacker magisch anziehen und geknackt werden wird.
Ich bin fest davon ausgegangen, dass dieser Schrott-Staat bei allem, was er tut, Schrott abliefert – auch bei der IT-Sicherheit. Dass diese Annahme zweifelsfrei bestätigt wird, noch BEVOR die Datenbank offiziell startet, überrascht mich trotzdem …
Wer hätte denn ernsthaft etwas anderes erwartet. Avanti Dilettanti.
Nichts funktioniert mehr in Deutschland!
Allein schon, dass es mitunter lange Jahre braucht, um eine richtige Diagnose gestellt zu bekommen, ergibt es keinen Sinn, die Historie der zuvor falsch erhobenen Befunde mit all ihren Irrungen und Wirrungen in einer ePA zu dokumentieren. Aber auch selbst dann, wenn endlich klar ist, mit welchem Krankheitsbild es ein Patient zu tun hat, harrt die alles entscheidende Frage des Therapieansatzes dann immer noch einer Antwort. Offen bleibt daher auch weiterhin, worin die von den Krankenkassen vielgepriesenen Vorteile einer digitalen Erfassung liegen sollen. Ein wirklicher Nutzen angesichts solcher Anforderungen ist jedenfalls kaum zu erkennen.
Die Fachkompetenz in vielen Bereichen der Wirtschaft harmoniert optimal mit der Fachkompetenz der Politiker. So passt doch alles bestens zusammen und die Ergebnisse werden auch wieder sichtbar.
Gut das ich dem Quatsch widersprochen habe.
Die zweitgrösste Lüge, die seit Jahren 365/24 vorsätzlich verbreitet, womit der Steuerzahler 24/7 drangsaliert wird, besteht in dem fortwährenden Geschwätz zu „Datenschutz“ und „Datensicherheit“. Völlig gleichgültig, um welchen Bereich es sich handelt.
Wieso habe ich mehr Vertrauen in regierungsunabhängige Organisationen als zu unseren Volksvertretern. Wahrscheinlich liegt mein Misstrauen darin, daß ich in 60 Jahren mehrfach von Regierungsvertretern egal welcher Partei belogen und um mein Geld betrogen wurde. Ich mich auf Zusagen verlassen habe, welche anschließend nach einigen Jahren wieder für ungültig erklärt wurden. Bestes Beispiel, meine Führerschein habe ich damals auf Lebenszeit erworben, war auch in diesem Vermerkt. Jetzt bin ich gezwungen, diesen durch eine Plastikkarte ersetzen zu lassen.
Musste man Hellseher sein? Nein. daher habe ich für meine ganze Familie widersprochen. Das Sicherheitskonzept hat mich bisher nicht überzeugt. Wenn es erprobt ist, können wir wieder darüber reden
Diese Patientendaten sind Milliarden Euro wert.
Für Versicherungen, Arbeitgeber, Pharma, Werbung usw.
Wer glaubt, daß diese sicher vor unbefugten Zugriff sind, der ist wirklich naiv.
Soviele Menschen haben Zugang, da werden sich genügend finden, die gegen ein „Taschengeld“ bereit sind den Datenschutz etwas aufzuweichen.
Dem deutschen Michel kann man vieles erzählen, er glaubt auch wirklich jeden Schwachsinn, insbesondere dann wenn dieser von gewählten Politikern kommt. Dies ist deutsche Gehorsamkeit!
Cui bono?
Bisher mussten Bürger der Anlage einer „epa“ zustimmen – das Ergebnis: mickrige 0,1 bis 1,7% der Versicherten wollten eine.
Nun macht man es anders herum:
Wer keine will, muss widersprechen, was für viele wohl an der Bequemlichkeit scheitern wird, denn man muss es schriftlich machen und (sofern nicht per e-mail) auch noch zur Post oder in die Filiale bringen.
Also wird die Zahl der „epas“ wohl doch ab 2025 in die Höhe schnellen, einfach weil man mit der Faulheit und Gutgläubigkeit der Versicherten rechnet.
Fraglich ist auch , ob der ÖRR seiner Informationspflicht nachkommen und auf die Datenlücken hinweisen wird. Auf der Seite von „ARD aktuell“ gibt es zwar einen langen Artikel zum Thema, was sich 2025 in der GKV alles ändert – von der „epa“ aber kein einziges Wort!
Von Dr. Seltsam ist eben nichts Gutes zu erwarten. Alles, was man vergeigen kann, wird von dieser lächerlichen Figur vergeigt.
Wir wissen, sie lügen. Sie wissen, sie lügen. Sie wissen, dass wir wissen, sie lügen. Wir wissen, dass sie wissen, dass wir wissen, sie lügen. Und trotzdem lügen sie weiter.“
Alexander Solschenizyn
Trau, schau, wem!
Hundert Prozentige Sicherheit der Daten, das wissen aufmerksame Zeitgenossen, ist Wunschdenken. Entweder man ist ein Zeitgenosse, der „nichts zu verbergen“ hat, oder man nutzt die sichere Seite, nämlich eine Freigabe der Daten verhindern. Wie? In diesem Falle hilft der Widerspruch bei den Krankenkassen. Will man auch eine Datenspur via Netz hin zur KK vermeiden, dann hilft der persönliche Kontakt. Vorbei gehen, Widerspruch unterschreiben, Kopie geben lassen, fertig. Tage später dann Post erhalten mit Bestätigung und Ausführung des Widerspruchs. Keine elektronische Patientenakte, keine Furcht vor Datenleck und Netzveröffentlichung, keine Daten in kriminellen Händen. Alles bleibt beim Alten.
Soviel Sicherheit sollte sich jeder wert sein. Man hat sehr viel vor neugierigen und mitunter kriminellen Augen zu verbergen.
Wer sich vor aller Augen nackt macht, macht sich angreifbar.
PDF-Widerspruchsformular eben runtergeladen. Online-Formular muss ich mir noch angucken.
Was dann geschieht, werde ich abwarten (müssen).
Vielen Dank für den Beitrag! … Auf die eigene „Schlamperei“ vielmehr Versäumnisse hat dieser Beitrag aufmerksam gemacht.
Nebenbei, ich gehöre zu den Personen, die grundsätzlich keine Auskunft geben. Auch nicht bei sog. Umfragen. Ggfls. Falschinformationen. … Doch perfekten Schutz gibt es nicht. Alleine schon durch die Nutzung des Netzes. Darüber sollten man sich im Klaren sein. Hoffe ich.
Es gibt einige Apps die da helfen können, aber … !?
Das passiert doch weltweit im Minutentakt, und zeigt nur das Daten nirgendwo sicher sind. Was viel schlimmer ist, das die Daten in die Hände krimineller Regierungen und deren Hintermänner gelangen und diese zum Nachteil der Gesellschaft mißbraucht werden.
Digitalisierung ist kein Fortschritt für die Menschheit.
Digitalisierung wähnt den Nutzer in Anonymität, eigenartigerweise. Was wird nicht alles im Internet verbreitet und kommuniziert, was man niemals in einer persönlichen Kommunikation von sich (preis-) geben würde.
Daß genau das Gegenteil der Fall ist, ist trotz der vielen deutlichen Hinweise hierauf den Meisten nicht bewußt. Ich finde das wirklich sehr komisch, aber vlt hat es auch damit zu tun, daß die Wahrnehmung von Gefahr abhanden gekommen ist. Weil man keine direkte, persönliche Resonanz auf seine „Aktionen“ mehr erfährt, eben weil man vorwiegend digital unterwegs ist. Eigentlich beängstigend, wie leicht Menschen sich täuschen lassen (wollen) und dem realen Leben entfliehen. Vermeintliche Sicherheit ist die größte Gefahr.
Ich bin felsenfest davon überzeugt, das was hier geschildert wird, gilt auch zukünftig für den Digtal-Euro! Man könnte also hinter den Schwachstellen gezielte Absicht vermuten!
Wäre es vermessen zu sagen, dass diese Ampel das Versagen und Scheitern perfektioniert hat ?
Lügen, Manipulieren, betrügen…diese Ampel und deren Laienschauspieler sind wirklich auf allen ebenen als Vollkatastrophe zu bezeichnen.
war ja klar.. hab nicht umsonst wiedersprochen.. geht niemand was an dass ich mal depressiv, drogensüchtig und ein Mann war
Coronaspritze war doch auch am Anfang 100% sicher. Je läger es dauerte desto kleiner wurde der Prozentsatz. Wer glaubt dem noch