Nach Einführung
Hacker umgehen neue Maßnahmen: Lauterbach gibt Sicherheitsprobleme bei elektronischer Patientenakte zu
Nach der bundesweiten Einführung der elektronischen Patientenakte konnten Hacker auch die neu eingeführten Sicherheitsmaßnahmen umgehen. Lauterbach gab nun Sicherheitsprobleme zu.
Der Spiegel deckte zusammen mit Hackern des Chaos Computer Clubs (CCC) auf, dass auch bei neu eingeführten Sicherheitsmaßnahmen der elektronischen Patientenakte Mängel bestehen. Der noch amtierende Gesundheitsminister Lauterbach bestätigte, dass nach dem bundesweiten Start der elektronischen Patientenakte (ePA) am Dienstag eine Sicherheitslücke entdeckt wurde.
„In der Frühphase des ePA-Starts war mit solchen Angriffsszenarien zu rechnen“, schrieb Lauterbach am Mittwochabend auf X. „Ich bin der gematik dankbar, dass sie auf die ersten Hinweise sofort reagiert und auch diese Sicherheitslücke noch geschlossen hat.“ Dazu verlinkte er die Spiegel-Recherche.
Bereits im Dezember waren Sicherheitslücken bei der ePA festgestellt worden, sodass die ursprünglich für Februar geplante bundesweite Einführung verschoben wurde (Apollo News berichtete). Lauterbach hatte angekündigt, die elektronische Patientenakte erst dann einführen zu wollen, wenn „alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind“.
Doch wie die Hacker des CCC zeigten, ließen sich auch die neuen Sicherheitsmaßnahmen überwinden und ein Zugriff auf Patientendaten wäre möglich. Bevor der Artikel beim Spiegel am Mittwochabend veröffentlicht wurde, informierten die Hacker die zuständige Stelle Cert Bund beim Bundesamt für Sicherheit in der Informationstechnik über die Ergebnisse. Die Gematik, die für die ePA zuständig ist, führte daraufhin am Mittwochnachmittag eine „erste Sofortmaßnahme“ durch.
Werbung
„Die Gematik hat die Sicherheitslücke, die für einzelne Versicherte weniger Krankenkassen bestehen könnte, geschlossen. Die potenziell betroffenen Versicherten werden identifiziert und geschützt“, heißt es auf der Webseite der Agentur, die zu 51 Prozent dem Gesundheitsministerium gehört.
Lesen Sie auch:
Die historische Lücke in der Krankenversicherung – es droht eine beispiellose Belastung der Bürger
Die GKV steuert auf den Kollaps zu: Rekorddefizit, Beitragsexplosion, Kostenlawine durch Alterung, Bürokratie und Reformstau. Die Politik sieht tatenlos zu, während Beitragszahler bluten. Was fehlt, ist der Mut zur echten Systemreform.
Finanzierungsloch
Krankenkassen: Grüne warnen vor „empfindlichen Beitragserhöhungen“ im Herbst
Die Lage der gesetzlichen Krankenkassen ist so ernst, dass der Bund seine Zuschüsse früher als geplant auszahlen muss. Grünen-Gesundheitspolitiker Dahmen rechnet mit „empfindlichen Beitragserhöhungen“ im Herbst.
Die CCC-Hacker Bianca Kastl und Martin Tschirsich überwanden die neu eingeführte Sicherheitsmaßnahme und demonstrierten dies dem Spiegel. Um auf Daten der ePA zugreifen zu können, braucht es die Gesundheitskartennummer des Patienten sowie dessen Krankenversichertennummer. Außerdem braucht man Zugang zu dem gesicherten Netzwerk und einen Prüfwert, den sogenannten hash check value (hcv).
Jedoch kann auf die Daten auch zugegriffen werden, wenn der hcv nicht vorliegt, wie die Hacker herausfanden. Der hcv wird aus Straße und Hausnummer des Versicherten sowie aus dem Datum des Versicherungsbeginns errechnet. Jede Gesundheitseinrichtung, die ein Zugriffsrecht auf die ePA hat, soll monatlich nur eine begrenzte Anzahl an Zugriffsbefugnissen erhalten.
Werbung
So sollen Krankenhäuser beispielsweise 200.000 Zugriffsbefugnisse monatlich erhalten. Um den hcv zu umgehen, muss man sich nur eine elektronische Ersatzbescheinigung ausstellen lassen. Die elektronische Ersatzbescheinigung soll dazu dienen, dass bei Patienten abgerechnet werden kann, die ihre Gesundheitskarte vergessen haben. Mit den Daten aus der Ersatzbescheinigung lässt sich der hcv errechnen.
Die Hacker entwickelten innerhalb von zwei Stunden ein rudimentäres Programm, um elektronische Ersatzbescheinigungen von Versicherten der Barmer, der Techniker Krankenkasse und der hkk automatisiert abzufragen. „Man hat ein zusätzliches Vorhängeschloss an die Tür gemacht, doch der Schlüssel liegt weiterhin unter der Fußmatte“, sagt der CCC-Hacker Tschirsich. Die neue Sicherheitsmaßnahme sei „nachgewiesen wirkungslos“.
Sie haben brisante Insider-Informationen oder Leaks? Hier können Sie uns anonyme Hinweise schicken.
Lieber Staat, Datenschutz in Sachen Gesundheit sieht so aus:
Wenn jemand ein Lesegerät für die Gesundheitskarte bekommt, also Apotheker, Zahnärzte, Neurologen etc., dann geht jede Anfrage zunächst an den Patienten. Er bekommt die Anfrage „Apotheker XY fragt nach Deinen Neurologie-Daten“. Der Patient klickt auf NEIN, damit wird u.a. gespeichert, dass Apotheker XY eine Absage wegen… bekam. Und der Patient ist beruhig.t
So lange es dies nicht gibt sollte jeder in DE der Gesundheitskarte widersprechen.
Übrigens, nach diesem System ist in Litauen, ausgehend von Vilnius alles digitalisiert – somit ist die Bevölkerung begeistert.
Die gleiche Software sollte z.B. dem Kanzleramt jede Geldbewegung seiner Ministerien melden. Wetten, dass wir dann mit den Steuereinnahmen auskommen?
Es geht wie bei dem unheilbar gesunden Schnupfen nicht um Wissenschaft, Gesundheit oder Ethik. Es ist eher Profitmaximierung durch digitale Unfreiheit im „Gesundheitsbereich“.
Tja diese Personen haben nur aus „Langeweile“ und Etwas zu beweisen den Hack gemacht.
Was wenn aber finanzielle oder andere Gründe von anderen „Könnern des Fachs“ es machen?
Vor allem wenn sie so gut sind das es keiner merkt!!!
Es ist und bleibt ein typisches Beispiel wie kompetent mancher ist/war im Berliner Zirkus.
Das ist genau so ein „faules Ei“ wie die Schlumpfung.
Aktuell kann man noch widersprechen. In der TK App geht dies mit drei Klicks. Bisher habe ich noch nicht erkennen können, welchen Vorteil ich von der ePA habe. Die Risiken sind mir allerdings bewusst.
Politiker & Entscheider sollten grundsätzlich verpflichtet werden, ihre Gesundheitsdaten vor einer Vereidigung selbst zu veröffentlichen! Es ist der beste Schutz gegen einen Missbrauch der elektronischen elektronischen Patientenakte (ePA).
Jeder, der nicht inzwischen längst der Anlage ’seiner‘ elektronischen Patientenakte widersprochen hat, dem ist nicht mehr zu helfen: Seine Gesundheitsdaten sind jetzt praktisch ‚public domain‘ – also mehr oder weniger frei zugänglich. Genauso gut hätte man seine Patientenakte auch bei Facebook veröffentlichen können! In ihrer jetzigen Form ist diese ePA praktisch die Abschaffung der ärztlichen Schweigepflicht: Selbst Google und Meta dürfen mit den Daten ihre nervigen Wortmühlen (Neusprech: ‚KI‘) füttern. Vom Missbrauchspotential ganz zu schweigen: Wie lange noch, bis der Abschluss z.B. einer Autoversicherung an die Erlaubnis zum ‚freiwilligen‘ Zugriff auf die ePA gekoppelt wird? Wie, sie sind trockener Alkoholiker? Sie hatten mal einen epileptischen Anfall? Sie sind Herzkrank? Keine Versicherungspolice bei uns! Mit der ‚freiwilligen‘ Telemetrie für bessere Tarife hat man schon mal angefangen. Principiis obsta!
Das Problem ist zunächst nicht, dass Unbefugte auf die Daten der elektronischen Patientenakte zugreifen, sondern dass Befugte vor allem die dort hinterlegten Arztberichte nicht lesen. Insbesondere die Fakultät für Ingenieurwissenschaften, Informatik und Psychologie der Universität Ulm kritisiert schon seit einiger Zeit die dadurch fehlende Rezeption längst unabweisbar vorliegender Erkenntnisse. Der Aufwand für einen Patienten steht damit in keinem Verhältnis zu dem Nutzen.
Wenn die ePA 100% Hacker-sicher wäre, dann wäre alles gut? Das ist euer primäres Problem?
Ist genau wie mit der Impfung.
Solange die EP für den Patienten nicht verpflichtend ist, geht mit die Qualität der Digitalstoffe am Allerwertesten vorbei. Wer will der darf! Alle weiteren Beschwerden werden automatisch abgelehnt.
Selbst Apotheker können während des Zugriffs zu Versorgungszwecken auf einen Großteil der ePA Daten zugreifen, was ich definitiv nicht gut finde.
Warum kriegen wir nichts mehr auf die Reihe?
Es dauert nicht mehr lange und man muß die ePA überall vorzeigen. Nicht geimpft; sie kommen hier nicht rein; sie bekommen leider kein Geld bei der Bank; sie können leider nicht tanken u.s.w.
Laßt doch mal richtige Hacker ran und nicht diesen ccc Kindergarten um herauszufinden was der Staat alles speichert über die Untertanen ähm Souveraen.
Zusammenfassung der übermittelten Daten aus unserem Online-Service
„Sie haben der Einrichtung einer ePA widersprochen.”
Die Daten wurden übermittelt für
xxxxxxxx,Versichertennummer: xxxxxxxx
Zeitpunkt der Übermittlung
19.09.2024 – xxxxxxxxx
Erteilung des Widerspruchs
Ab Januar 2025 erhält jede versicherte Person eine ePA von uns. Sie können der Einrichtung einer ePA widersprechen. Sollten Sie zu einem späteren Zeitpunkt doch eine Aktenanlage wünschen, so ist dies jederzeit möglich.
Hiermit widerspreche ich der Einrichtung einer ePA für:
xxxxxxxxx
Eines der „Traumjob“-Projekte.
Soweit ich weiß, kann die Dorf-Apotheke drei Tage in der Akte stöbern. Die Daten sind auf dem Schwarzmarkt Gold wert.
Zur Hölle mit der „elektronischen Patientenakte ❗️
Jeder Speicherbereich hat eine Adresse, die adressierbar ist. Und, ähh, die Zugriffe, Protokolle und Semantiken sind alle standardisiert und demnach deterministisch. Was deterministisch verläuft, ist hackable. Man kann’s den Hackern schwer(er)machen, aber das war’s dann auch.
Also man könnte die Patientenkarte mit einem Quantenverschlüsselungssatelliten und Iris-Scan verdongeln, aber der aktuelle Bundeswehrsatellit, der noch seiner Bestimmung harrt, ist nichma dafür gerüstet.
Normal oder? Raushauen, und dann Hacker und externe Experten als Beta-Tester mißbrauchen. Danach ist dann alles sicher, das sagen die „Tester“ dann ja auch. Ach ja….
Betrifft nur die die wollen, oder zu dumm für Widerspruch sind. Geht ja oft genug durch die Presse, kann jeder wissen wenn er will.
Lauti ist das Zugpferd der Spd, neben Saskia.