Nach Einführung
Hacker umgehen neue Maßnahmen: Lauterbach gibt Sicherheitsprobleme bei elektronischer Patientenakte zu
Nach der bundesweiten Einführung der elektronischen Patientenakte konnten Hacker auch die neu eingeführten Sicherheitsmaßnahmen umgehen. Lauterbach gab nun Sicherheitsprobleme zu.
Der Spiegel deckte zusammen mit Hackern des Chaos Computer Clubs (CCC) auf, dass auch bei neu eingeführten Sicherheitsmaßnahmen der elektronischen Patientenakte Mängel bestehen. Der noch amtierende Gesundheitsminister Lauterbach bestätigte, dass nach dem bundesweiten Start der elektronischen Patientenakte (ePA) am Dienstag eine Sicherheitslücke entdeckt wurde.
„In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen“, schrieb Lauterbach am Mittwochabend auf X. „Ich bin der gematik dankbar, dass sie auf die ersten Hinweise sofort reagiert und auch diese Sicherheitslücke noch geschlossen hat.“ Dazu verlinkte er die Spiegel-Recherche.
Werbung
Bereits im Dezember waren Sicherheitslücken bei der ePA festgestellt worden, sodass die ursprünglich für Februar geplante bundesweite Einführung verschoben wurde (Apollo News berichtete). Lauterbach hatte angekündigt, die elektronische Patientenakte erst dann einführen zu wollen, wenn „alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind“.
Doch wie die Hacker des CCC zeigten, ließen sich auch die neuen Sicherheitsmaßnahmen überwinden und ein Zugriff auf Patientendaten wäre möglich. Bevor der Artikel beim Spiegel am Mittwochabend veröffentlicht wurde, informierten die Hacker die zuständige Stelle Cert Bund beim Bundesamt für Sicherheit in der Informationstechnik über die Ergebnisse. Die Gematik, die für die ePA zuständig ist, führte daraufhin am Mittwochnachmittag eine „erste Sofortmaßnahme“ durch.
„Die Gematik hat die Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestehen könnte, geschlossen. Die potenziell betroffenen Versicherten werden identifiziert und geschützt“, heißt es auf der Webseite der Agentur, die zu 51 Prozent dem Gesundheitsministerium gehört.
Lesen Sie auch:
Ex-Gesundheitsminister
Lauterbach sollte ursprünglich nicht an Sitzungen des Corona-Expertenrats teilnehmen – tat es aber dennoch
Lauterbach saß oft im Corona-Expertenrat, doch dies war nicht so vorgesehen. „Im Sinne der gewünschten unabhängigen Beratungsfunktion“ sollte der Gesundheitsminister außen vor bleiben, da er „Adressat der Expertise“ ist, geht aus einem jetzt öffentlich gewordenen Dokument hervor.
ÖRR-Sendung
„Habe viel mehr positiven Zuspruch erfahren“: Buyx zieht positives Fazit zur Corona-Zeit
„Ich habe viel mehr positiven Zuspruch erfahren“, meint Alena Buyx, wenn es um ihre Positionen zur Corona-Zeit geht. Sie war zu Gast in ihrer bald eigenen ÖRR-Sendung, Science Date von Nano.Die CCC-Hacker Bianca Kastl und Martin Tschirsich überwanden die neu eingeführte Sicherheitsmaßnahme und demonstrierten dies dem Spiegel. Um auf Daten der ePA zugreifen zu können, braucht es die Gesundheitskartennummer des Patienten sowie dessen Krankenversichertennummer. Außerdem braucht man Zugang zu dem gesicherten Netzwerk und einen Prüfwert, den sogenannten hash check value (hcv).
Jedoch kann auf die Daten auch zugegriffen werden, wenn der hcv nicht vorliegt, wie die Hacker herausfanden. Der hcv wird aus Straße und Hausnummer des Versicherten sowie aus dem Datum des Versicherungsbeginns errechnet. Jede Gesundheitseinrichtung, die ein Zugriffsrecht auf die ePA hat, soll monatlich nur eine begrenzte Anzahl an Zugriffsbefugnissen erhalten.
Werbung
So sollen Krankenhäuser beispielsweise 200.000 Zugriffsbefugnisse monatlich erhalten. Um den hcv zu umgehen, muss man sich nur eine elektronische Ersatzbescheinigung ausstellen lassen. Die elektronische Ersatzbescheinigung soll dazu dienen, dass bei Patienten abgerechnet werden kann, die ihre Gesundheitskarte vergessen haben. Mit den Daten aus der Ersatzbescheinigung lässt sich der hcv errechnen.
Die Hacker entwickelten innerhalb von zwei Stunden ein rudimentäres Programm, um elektronische Ersatzbescheinigungen von Versicherten der Barmer, der Techniker Krankenkasse und der hkk automatisiert abzufragen. „Man hat ein zusätzliches Vorhängeschloss an die Tür gemacht, doch der Schlüssel liegt weiterhin unter der Fußmatte“, sagt der CCC-Hacker Tschirsich. Die neue Sicherheitsmaßnahme sei „nachgewiesen wirkungslos“.
Lieber Staat, Datenschutz in Sachen Gesundheit sieht so aus:
Wenn jemand ein Lesegerät für die Gesundheitskarte bekommt, also Apotheker, Zahnärzte, Neurologen etc., dann geht jede Anfrage zunächst an den Patienten. Er bekommt die Anfrage „Apotheker XY fragt nach Deinen Neurologie-Daten“. Der Patient klickt auf NEIN, damit wird u.a. gespeichert, dass Apotheker XY eine Absage wegen… bekam. Und der Patient ist beruhig.t
So lange es dies nicht gibt sollte jeder in DE der Gesundheitskarte widersprechen.
Übrigens, nach diesem System ist in Litauen, ausgehend von Vilnius alles digitalisiert – somit ist die Bevölkerung begeistert.
Die gleiche Software sollte z.B. dem Kanzleramt jede Geldbewegung seiner Ministerien melden. Wetten, dass wir dann mit den Steuereinnahmen auskommen?
Herr Markmann, das verstehen die nicht. Das können Sie auch ihrem alten Ofen erzählen. Wo es verstanden wird, ist bei den Menschen mit „normalem“ Bildungsgrad. Den übergebildeten fehlt Lebenserfahrung.
Ich gehe schon davon aus, dass sie das verstehen. Sie wollen es einfach nicht, dass der unmündige Bürger das selbst in der Hand hat.
Ist wie mit der Impfung. Wer will der darf. Beschwerden unzulässig!
Aktuell kann man noch widersprechen. In der TK App geht dies mit drei Klicks. Bisher habe ich noch nicht erkennen können, welchen Vorteil ich von der ePA habe. Die Risiken sind mir allerdings bewusst.
Es stellt sich die Frage, ob die Akte dann auch wirklich nicht angelegt wird, oder nur nicht freigeschaltet, aber trotzdem angelegt wird. Das wäre schon ein Unterschied.
Es geht wie bei dem unheilbar gesunden Schnupfen nicht um Wissenschaft, Gesundheit oder Ethik. Es ist eher Profitmaximierung durch digitale Unfreiheit im „Gesundheitsbereich“.
Zusammenfassung der übermittelten Daten aus unserem Online-Service
„Sie haben der Einrichtung einer ePA widersprochen.”
Die Daten wurden übermittelt für
xxxxxxxx,Versichertennummer: xxxxxxxx
Zeitpunkt der Übermittlung
19.09.2024 – xxxxxxxxx
Erteilung des Widerspruchs
Ab Januar 2025 erhält jede versicherte Person eine ePA von uns. Sie können der Einrichtung einer ePA widersprechen. Sollten Sie zu einem späteren Zeitpunkt doch eine Aktenanlage wünschen, so ist dies jederzeit möglich.
Hiermit widerspreche ich der Einrichtung einer ePA für:
xxxxxxxxx
Tja diese Personen haben nur aus „Langeweile“ und Etwas zu beweisen den Hack gemacht.
Was wenn aber finanzielle oder andere Gründe von anderen „Könnern des Fachs“ es machen?
Vor allem wenn sie so gut sind das es keiner merkt!!!
Es ist und bleibt ein typisches Beispiel wie kompetent mancher ist/war im Berliner Zirkus.
„Was wenn aber finanzielle oder andere Gründe von anderen „Könnern des Fachs“ es machen?“
Die brauchen teils keine Hackermethoden. Dubiose Organisationen wie z.B. Pfizer bekommen die Daten auf dem Silbertablett geliefert für ihre „Forschungen“.
So lassen sich dan beispielsweise neue „Impf“-Strategien optimieren.
Die üblichen Diskutanten wie bei der Ompfung.
Wer nicht will, der muss auch nicht.
Wer nicht will muss aktiv widersprechen!
Freiwilligkeit sieht anders aus, zumal privat Versicherte, wie eben der Karl, den Zinnober mit dem Widerspruch nicht durchspielen müssen…
Also mal vorher denken und dann schreiben, aber vermutlich sind sie ein bezahlter Troll;)
Demnächst ist es auch mit dem Widerspruch vorbei. Dann gibt es das Ding eben übergeholfen. Die komplette Überwachung muss doch gesichert werden. Bis 2030 ist es nicht mehr so lange hin.
Behaupten es gäbe mündige Bürger aber erneut BEVORMUNDUNG von Politikern.
Nicht der Bürger muss ein Widerspruch einlegen, sondern der Politiker muss um ERLAUBNIS fragen! Ansonsten nennt man es ERNEUT Zwang.
Ja, ein einfacher Widerspruch ist zu viel verlangt. Diktatur!
Dem volljährigen deutschen Kleinkind muss man alles vor den Koffer tragen, oder?
Hoffentlich hat denen Mutti wenigstens beigebracht, wie man sich untenrum zu waschen hat. Mehr ist offensichtlich nicht mehr vom Michel zu erwarten, zumindest wenn man deine Ansichten zum Thema toll findet.
Wow, aktiver Widerspruch. Das geht natürlich nicht für den deutschen Bildungsbürger.
Hoffentlich kriegen die wenigstens den Toilettengang ohne sozialpädagogische Betreuung hin.
Und richtig, alles was klüger ist als DU muss ein Troll sein.
(Bei mir wars übrigens nur ein einziger Klick!) Ansonsten 2zeiler an die Kasse faxen.
@“Freigeist“ mit der großen Denkhaube
Die Möglichkeit zum Widerspruch ist Zwang?
@Karl
Widersprich doch einfach nicht, wenn dir das zu viel Aufwand ist.
Troll ist der, der trolliges tut!
Schon lustig, was die KI einkassiert.
Darf wohl niemand wissen, dass jemand der zu dumm, blöd, faul, bequem,… für einen Widerspruch ist, tatsächlich dumm, faul und bequem sein könnte?
Ich glaube diesem Typus Mensch hätte es auch bei Honecker gut gefallen. Der Staat regelt absolut alles für seine Staatsbürger, Eigeninitiative und Gehirn benutzen nicht mehr erforderlich.
Jeden Tag 20 Kommentare schreiben, aber keinen Zweizeiler für die zuständige Krankenkasse hinbekommen. Schilda lässt schön grüßen, Kopfschüttel. Mit euch jedenfalls ist keine Krieg zu gewinnen.
Ich sags lieber dazu, dass das metaphorisch gemeint war.🤣
Und schon wieder weg. Jetzt sogar handisch weggelöscht. 🤣
Jetzt darf man noch widersprechen. Demnächst wird diese Option auch abgeschafft, sonst lässt sich ja ein neuer Impfzwang nicht durchsetzen.
Das Problem ist zunächst nicht, dass Unbefugte auf die Daten der elektronischen Patientenakte zugreifen, sondern dass Befugte vor allem die dort hinterlegten Arztberichte nicht lesen. Insbesondere die Fakultät für Ingenieurwissenschaften, Informatik und Psychologie der Universität Ulm kritisiert schon seit einiger Zeit die dadurch fehlende Rezeption längst unabweisbar vorliegender Erkenntnisse. Der Aufwand für einen Patienten steht damit in keinem Verhältnis zu dem Nutzen.
„Das Problem“
..betrifft nur die, die dabei mitmachen.
Ist also überhaupt keins!
Selbst Gutachter der Medizinischen Dienste lesen die Aspekte einer ärztlich gestellten Diagnose bestenfalls nur in Ausschnitten. Die für einen Patienten besonders belastenden Folgen eines Krankheitsbildes werden dabei einfach ausgeblendet. Der daraufhin gezogene Schluss, etwa einer insofern nicht beeinträchtigten Arbeitsfähigkeit, könnte dann fehlgehender nicht sein. Nicht zuletzt eine elektronische Patientenakte bietet damit keine Abhilfe. Ihrer Anlage zu widersprechen, löst das mitunter zutiefst existenzielle Problem ebenfalls nicht. Angesichts dessen sollte die Kritik erlaubt sein, dass sich die Not sogar vergrößert, egal wie man die Sache dreht und wendet.
Wenn die ePA 100% Hacker-sicher wäre, dann wäre alles gut? Das ist euer primäres Problem?
Nö. Keine ePA wäre gut. Eine ePA wäre niemals „Hacker-sicher“.
Und auch nicht ReGIERungs-sicher.
Warum beschäftigt ihr euch dann mit Nebensächlichkeiten?
Jede Wette, dass das Hackerproblem kurzfristig beseitigt werden kann und wird. Sicher wie nie.
Hastes nicht verstanden. Ist aber nicht schlimm, weiter so, da gehts Dir gut.
„ihr euch“
nicht
„du dich“
Politiker & Entscheider sollten grundsätzlich verpflichtet werden, ihre Gesundheitsdaten vor einer Vereidigung selbst zu veröffentlichen! Es ist der beste Schutz gegen einen Missbrauch der elektronischen elektronischen Patientenakte (ePA).
Selbst Apotheker können während des Zugriffs zu Versorgungszwecken auf einen Großteil der ePA Daten zugreifen, was ich definitiv nicht gut finde.
Jeder Speicherbereich hat eine Adresse, die adressierbar ist. Und, ähh, die Zugriffe, Protokolle und Semantiken sind alle standardisiert und demnach deterministisch. Was deterministisch verläuft, ist hackable. Man kann’s den Hackern schwer(er)machen, aber das war’s dann auch.
Also man könnte die Patientenkarte mit einem Quantenverschlüsselungssatelliten und Iris-Scan verdongeln, aber der aktuelle Bundeswehrsatellit, der noch seiner Bestimmung harrt, ist nichma dafür gerüstet.
Das ist genau so ein „faules Ei“ wie die Schlumpfung.
Ist genau wie mit der Impfung.
Solange die EP für den Patienten nicht verpflichtend ist, geht mit die Qualität der Digitalstoffe am Allerwertesten vorbei. Wer will der darf! Alle weiteren Beschwerden werden automatisch abgelehnt.
Jeder, der nicht inzwischen längst der Anlage ’seiner‘ elektronischen Patientenakte widersprochen hat, dem ist nicht mehr zu helfen: Seine Gesundheitsdaten sind jetzt praktisch ‚public domain‘ – also mehr oder weniger frei zugänglich. Genauso gut hätte man seine Patientenakte auch bei Facebook veröffentlichen können! In ihrer jetzigen Form ist diese ePA praktisch die Abschaffung der ärztlichen Schweigepflicht: Selbst Google und Meta dürfen mit den Daten ihre nervigen Wortmühlen (Neusprech: ‚KI‘) füttern. Vom Missbrauchspotential ganz zu schweigen: Wie lange noch, bis der Abschluss z.B. einer Autoversicherung an die Erlaubnis zum ‚freiwilligen‘ Zugriff auf die ePA gekoppelt wird? Wie, sie sind trockener Alkoholiker? Sie hatten mal einen epileptischen Anfall? Sie sind Herzkrank? Keine Versicherungspolice bei uns! Mit der ‚freiwilligen‘ Telemetrie für bessere Tarife hat man schon mal angefangen. Principiis obsta!
Problem wäre, was ich jedenfalls glaube, die Akte ist in jedem Fall erstellt, sie wird nur nicht „freigeschaltet“ bei Widerspruch. Ich vermute, die Akte wird erstellt und dann vielleicht nicht freigeschaltet, und nicht, daß die Akte bei Widerspruch nicht erstellt wird. Ich vermute, die Akte ist in jedem Fall da.
Warum kriegen wir nichts mehr auf die Reihe?
Gute Frage. Aber schauen Sie genau: Finden Sie einen Minister, der von seinem Ressort etwas versteht? Ich nicht.
Bessere Digitalisierung? Mehr?
Kein Problem, kriegst du!!!
Lauti ist das Zugpferd der Spd, neben Saskia.
Es dauert nicht mehr lange und man muß die ePA überall vorzeigen. Nicht geimpft; sie kommen hier nicht rein; sie bekommen leider kein Geld bei der Bank; sie können leider nicht tanken u.s.w.
Eines der „Traumjob“-Projekte.
Normal oder? Raushauen, und dann Hacker und externe Experten als Beta-Tester mißbrauchen. Danach ist dann alles sicher, das sagen die „Tester“ dann ja auch. Ach ja….
Soweit ich weiß, kann die Dorf-Apotheke drei Tage in der Akte stöbern. Die Daten sind auf dem Schwarzmarkt Gold wert.
Die implementieren jetzt nur offiziell, was vorher schon Gang und Gäbe war. Nicht veräppeln lassen.
Betrifft nur die die wollen, oder zu dumm für Widerspruch sind. Geht ja oft genug durch die Presse, kann jeder wissen wenn er will.
Und Du glaubst, daß der Widerspruch hilft, und wirklich keine Akte angelegt wird? Oder daß sie nur nicht freigegeben wird, sozusagen?
Die Akte ist da, nur die Freigabe ist noch optional, so würde ich das sehen.
nein wird nicht. auch biometrische passfotos und fingerabdrücke werden nicht zentral zusammengeführt, genau auch nicht steuernummer, kfz daten, smartphone-ortung, etc.
ICH bin es nicht der irgendwas glaubt, sondern die Kollegen lamentieren über hackersicherheit. angst vor goldfinger, muss ja.
Komisch, bei einem Anruf bei dem für die Grundsteuer zuständigen Finanzamt wegen eines Formulars konnten die direkt ins Grundbuch schauen: „Ach ja, ich seh schon…“ Wie gesagt: Finanzamt – Grundbuchamt, das sollte schon getrennt sein, und angeblich wissen die auch nix voneinander, weswegen man da ja alles immer wieder separat einreichen muss. Schon komisch…
Laßt doch mal richtige Hacker ran und nicht diesen ccc Kindergarten um herauszufinden was der Staat alles speichert über die Untertanen ähm Souveraen.
Zur Hölle mit der „elektronischen Patientenakte ❗️