Nach Einführung
Hacker umgehen neue Maßnahmen: Lauterbach gibt Sicherheitsprobleme bei elektronischer Patientenakte zu
Nach der bundesweiten Einführung der elektronischen Patientenakte konnten Hacker auch die neu eingeführten Sicherheitsmaßnahmen umgehen. Lauterbach gab nun Sicherheitsprobleme zu.
Der Spiegel deckte zusammen mit Hackern des Chaos Computer Clubs (CCC) auf, dass auch bei neu eingeführten Sicherheitsmaßnahmen der elektronischen Patientenakte Mängel bestehen. Der noch amtierende Gesundheitsminister Lauterbach bestätigte, dass nach dem bundesweiten Start der elektronischen Patientenakte (ePA) am Dienstag eine Sicherheitslücke entdeckt wurde.
„In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen“, schrieb Lauterbach am Mittwochabend auf X. „Ich bin der gematik dankbar, dass sie auf die ersten Hinweise sofort reagiert und auch diese Sicherheitslücke noch geschlossen hat.“ Dazu verlinkte er die Spiegel-Recherche.
Werbung
Bereits im Dezember waren Sicherheitslücken bei der ePA festgestellt worden, sodass die ursprünglich für Februar geplante bundesweite Einführung verschoben wurde (Apollo News berichtete). Lauterbach hatte angekündigt, die elektronische Patientenakte erst dann einführen zu wollen, wenn „alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind“.
Doch wie die Hacker des CCC zeigten, ließen sich auch die neuen Sicherheitsmaßnahmen überwinden und ein Zugriff auf Patientendaten wäre möglich. Bevor der Artikel beim Spiegel am Mittwochabend veröffentlicht wurde, informierten die Hacker die zuständige Stelle Cert Bund beim Bundesamt für Sicherheit in der Informationstechnik über die Ergebnisse. Die Gematik, die für die ePA zuständig ist, führte daraufhin am Mittwochnachmittag eine „erste Sofortmaßnahme“ durch.
Werbung
„Die Gematik hat die Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestehen könnte, geschlossen. Die potenziell betroffenen Versicherten werden identifiziert und geschützt“, heißt es auf der Webseite der Agentur, die zu 51 Prozent dem Gesundheitsministerium gehört.
Lesen Sie auch:
Datenschutz
„Datenschutz darf kein Täterschutz sein“: Koalition startet neuen Anlauf zur Vorratsdatenspeicherung
Weil deutsche Nachrichtendienste und Behörden immer wieder versagen, startet die Bundesregierung einen neuen Anlauf zur Einführung der Vorratsdatenspeicherung. „Datenschutz darf kein Täterschutz sein“, kritisiert der SPD-Politiker Ingo Vogel.
Aktionswoche
„Hate Speech ist kein Kavaliersdelikt“: Landespolizeien rufen zum Melden von Hass und Desinformation auf
Zur Aktionswoche „No Hate Speech Week“ ruft die Polizei Sachsen dazu auf, vermeintlichen Hass und Desinformation zur Anzeige zu bringen. Das LKA Baden-Württemberg sichert zum gleichen Anlass unter dem Motto „Bass statt Hass“ ein Musikfestival ab.
Die CCC-Hacker Bianca Kastl und Martin Tschirsich überwanden die neu eingeführte Sicherheitsmaßnahme und demonstrierten dies dem Spiegel. Um auf Daten der ePA zugreifen zu können, braucht es die Gesundheitskartennummer des Patienten sowie dessen Krankenversichertennummer. Außerdem braucht man Zugang zu dem gesicherten Netzwerk und einen Prüfwert, den sogenannten hash check value (hcv).
Jedoch kann auf die Daten auch zugegriffen werden, wenn der hcv nicht vorliegt, wie die Hacker herausfanden. Der hcv wird aus Straße und Hausnummer des Versicherten sowie aus dem Datum des Versicherungsbeginns errechnet. Jede Gesundheitseinrichtung, die ein Zugriffsrecht auf die ePA hat, soll monatlich nur eine begrenzte Anzahl an Zugriffsbefugnissen erhalten.
Werbung
So sollen Krankenhäuser beispielsweise 200.000 Zugriffsbefugnisse monatlich erhalten. Um den hcv zu umgehen, muss man sich nur eine elektronische Ersatzbescheinigung ausstellen lassen. Die elektronische Ersatzbescheinigung soll dazu dienen, dass bei Patienten abgerechnet werden kann, die ihre Gesundheitskarte vergessen haben. Mit den Daten aus der Ersatzbescheinigung lässt sich der hcv errechnen.
Die Hacker entwickelten innerhalb von zwei Stunden ein rudimentäres Programm, um elektronische Ersatzbescheinigungen von Versicherten der Barmer, der Techniker Krankenkasse und der hkk automatisiert abzufragen. „Man hat ein zusätzliches Vorhängeschloss an die Tür gemacht, doch der Schlüssel liegt weiterhin unter der Fußmatte“, sagt der CCC-Hacker Tschirsich. Die neue Sicherheitsmaßnahme sei „nachgewiesen wirkungslos“.
Lieber Staat, Datenschutz in Sachen Gesundheit sieht so aus:
Wenn jemand ein Lesegerät für die Gesundheitskarte bekommt, also Apotheker, Zahnärzte, Neurologen etc., dann geht jede Anfrage zunächst an den Patienten. Er bekommt die Anfrage „Apotheker XY fragt nach Deinen Neurologie-Daten“. Der Patient klickt auf NEIN, damit wird u.a. gespeichert, dass Apotheker XY eine Absage wegen… bekam. Und der Patient ist beruhig.t
So lange es dies nicht gibt sollte jeder in DE der Gesundheitskarte widersprechen.
Übrigens, nach diesem System ist in Litauen, ausgehend von Vilnius alles digitalisiert – somit ist die Bevölkerung begeistert.
Die gleiche Software sollte z.B. dem Kanzleramt jede Geldbewegung seiner Ministerien melden. Wetten, dass wir dann mit den Steuereinnahmen auskommen?
Aktuell kann man noch widersprechen. In der TK App geht dies mit drei Klicks. Bisher habe ich noch nicht erkennen können, welchen Vorteil ich von der ePA habe. Die Risiken sind mir allerdings bewusst.
Es geht wie bei dem unheilbar gesunden Schnupfen nicht um Wissenschaft, Gesundheit oder Ethik. Es ist eher Profitmaximierung durch digitale Unfreiheit im „Gesundheitsbereich“.
Zusammenfassung der übermittelten Daten aus unserem Online-Service
„Sie haben der Einrichtung einer ePA widersprochen.”
Die Daten wurden übermittelt für
xxxxxxxx,Versichertennummer: xxxxxxxx
Zeitpunkt der Übermittlung
19.09.2024 – xxxxxxxxx
Erteilung des Widerspruchs
Ab Januar 2025 erhält jede versicherte Person eine ePA von uns. Sie können der Einrichtung einer ePA widersprechen. Sollten Sie zu einem späteren Zeitpunkt doch eine Aktenanlage wünschen, so ist dies jederzeit möglich.
Hiermit widerspreche ich der Einrichtung einer ePA für:
xxxxxxxxx
Tja diese Personen haben nur aus „Langeweile“ und Etwas zu beweisen den Hack gemacht.
Was wenn aber finanzielle oder andere Gründe von anderen „Könnern des Fachs“ es machen?
Vor allem wenn sie so gut sind das es keiner merkt!!!
Es ist und bleibt ein typisches Beispiel wie kompetent mancher ist/war im Berliner Zirkus.
Das Problem ist zunächst nicht, dass Unbefugte auf die Daten der elektronischen Patientenakte zugreifen, sondern dass Befugte vor allem die dort hinterlegten Arztberichte nicht lesen. Insbesondere die Fakultät für Ingenieurwissenschaften, Informatik und Psychologie der Universität Ulm kritisiert schon seit einiger Zeit die dadurch fehlende Rezeption längst unabweisbar vorliegender Erkenntnisse. Der Aufwand für einen Patienten steht damit in keinem Verhältnis zu dem Nutzen.
Wenn die ePA 100% Hacker-sicher wäre, dann wäre alles gut? Das ist euer primäres Problem?
Politiker & Entscheider sollten grundsätzlich verpflichtet werden, ihre Gesundheitsdaten vor einer Vereidigung selbst zu veröffentlichen! Es ist der beste Schutz gegen einen Missbrauch der elektronischen elektronischen Patientenakte (ePA).
Selbst Apotheker können während des Zugriffs zu Versorgungszwecken auf einen Großteil der ePA Daten zugreifen, was ich definitiv nicht gut finde.
Jeder Speicherbereich hat eine Adresse, die adressierbar ist. Und, ähh, die Zugriffe, Protokolle und Semantiken sind alle standardisiert und demnach deterministisch. Was deterministisch verläuft, ist hackable. Man kann’s den Hackern schwer(er)machen, aber das war’s dann auch.
Also man könnte die Patientenkarte mit einem Quantenverschlüsselungssatelliten und Iris-Scan verdongeln, aber der aktuelle Bundeswehrsatellit, der noch seiner Bestimmung harrt, ist nichma dafür gerüstet.
Das ist genau so ein „faules Ei“ wie die Schlumpfung.
Ist genau wie mit der Impfung.
Solange die EP für den Patienten nicht verpflichtend ist, geht mit die Qualität der Digitalstoffe am Allerwertesten vorbei. Wer will der darf! Alle weiteren Beschwerden werden automatisch abgelehnt.
Jeder, der nicht inzwischen längst der Anlage ’seiner‘ elektronischen Patientenakte widersprochen hat, dem ist nicht mehr zu helfen: Seine Gesundheitsdaten sind jetzt praktisch ‚public domain‘ – also mehr oder weniger frei zugänglich. Genauso gut hätte man seine Patientenakte auch bei Facebook veröffentlichen können! In ihrer jetzigen Form ist diese ePA praktisch die Abschaffung der ärztlichen Schweigepflicht: Selbst Google und Meta dürfen mit den Daten ihre nervigen Wortmühlen (Neusprech: ‚KI‘) füttern. Vom Missbrauchspotential ganz zu schweigen: Wie lange noch, bis der Abschluss z.B. einer Autoversicherung an die Erlaubnis zum ‚freiwilligen‘ Zugriff auf die ePA gekoppelt wird? Wie, sie sind trockener Alkoholiker? Sie hatten mal einen epileptischen Anfall? Sie sind Herzkrank? Keine Versicherungspolice bei uns! Mit der ‚freiwilligen‘ Telemetrie für bessere Tarife hat man schon mal angefangen. Principiis obsta!
Warum kriegen wir nichts mehr auf die Reihe?
Lauti ist das Zugpferd der Spd, neben Saskia.
Es dauert nicht mehr lange und man muß die ePA überall vorzeigen. Nicht geimpft; sie kommen hier nicht rein; sie bekommen leider kein Geld bei der Bank; sie können leider nicht tanken u.s.w.
Eines der „Traumjob“-Projekte.
Normal oder? Raushauen, und dann Hacker und externe Experten als Beta-Tester mißbrauchen. Danach ist dann alles sicher, das sagen die „Tester“ dann ja auch. Ach ja….
Soweit ich weiß, kann die Dorf-Apotheke drei Tage in der Akte stöbern. Die Daten sind auf dem Schwarzmarkt Gold wert.
Betrifft nur die die wollen, oder zu dumm für Widerspruch sind. Geht ja oft genug durch die Presse, kann jeder wissen wenn er will.
Laßt doch mal richtige Hacker ran und nicht diesen ccc Kindergarten um herauszufinden was der Staat alles speichert über die Untertanen ähm Souveraen.
Zur Hölle mit der „elektronischen Patientenakte ❗️