News Elektronischen Patientenakten (ePA): Angreifer können Zugang zu allen Patientenakten erhalten

[Schmarall]

...

Nein, sie erfährt eben NICHT die Diagnosen! Das ist nur für den Arzt und Patienten bestimmt. Die KK erfährt nur die Behandlung für einen Krankheitsverdacht, denn die darf sie bezahlen.

 

[Subcommander]

Ich erwarte zumindest, das wenn ich nach zb einem Verkehrsunfall ohnmächtig ins Krankenhaus eingeliefert werde, die Ärzte dank meiner digitalen Akte einsehen können, ob ich Erkrankungen habe, die abseits von dem Unfall beachtet werden müssen.
Das geht ja runter bis zu ganz banalen Sachen, dass ein Spezialist sieht, ob man vom Hausarzt etwas verschrieben bekommen hat und er daher einschätzen kann, ob es mit dem Medikament, was er gerade verschreiben will nicht zu Komplikationen kommt.

In meiner Welt sollte das eine Selbstverständlichkeit sein.

Eine digitale Krankenakte hätte es eigentlich schon seit 10 Jahren geben sollen. Das das Opt Out ist, ist auch die einzige sinnvolle Entscheidung in dem Bezug.

Was an der News das eigentlich lächerliche ist, dass der CCC schon in der Vergangenheit gewarnt hat und man es nicht einsieht, daran zu arbeiten.

In einer Notsituation hat niemand Zeit erst die Patienten-Akte, egal ob digital oder nicht, zu recherchieren.

Der Spezialist muss trotzdem (zumindest) mit dir sprechen, Verschreiben heißt schließlich nicht einnehmen. Also muss er doch wieder ganz klassisch selber eine Anamnese machen.

Auch die Untersuchungsergebnisse von vor zwei Wochen können ja schon obsolet sein. Also lieber eine neue Untersuchung.

Zudem weiß kein Arzt, ob du auch alle Unterlagen für ihn freigegeben hast, also wird im Zweifel lieber alles nochmal selbst gemacht oder beauftragt.

Über Einträge in die ePA sollen die Ärzte aufklären. Das könnte eine gute Gelegenheit sein mit dem Patienten grundlegende Fragen zu besprechen, tatsächlich fehlt dazu aber im Alltag wohl jedem Behandler die Zeit.

Abseits der Probleme die im Artikel beschrieben werden: Jeder im Gesundheitswesen, dem die Gesundheitskarte vorliegt, kann alle (freigegebenen) Einträge der ePA lesen, nicht nur Ärzte und Zahnärzte, auch Apotheker, Physiotherapeuten, Psychotherapeuten, usw.

Wenn die Karte angeblich so viele tolle Vorteile bringt, wäre Opt-In doch gar kein Problem gewesen.

 

[Vigilant]

@Schmarall
Nope, natürlich kennt die Krankenversicherung alle Diagnosen (egal ob Verdacht oder bestätigt, ob Haupt- oder Nebendiagnose). Diese sind relevant für eine ganze Reihe von Abrechnungsprozessen mit Kassenärztlichen Vereinigungen und Krankenhäusern, und sind auch u.a. (pseudonymisiert) Basis für die Zuweisungen aus dem Gesundheitsfonds. Bei der Berechnung der Höchstbezugsdauer von Krankengeld werden diese ebenfalls herangezogen.

Die komplette, anlassbezogene Datenverarbeitung ist u.a. in den entsprechenden Vorschriften des Sozialgesetzbuches geregelt.

 

[Spiczek]

Nein, sie erfährt eben NICHT die Diagnosen!

Erfährt sie eben doch. Habe eben meinen Hausarzt angerufen, kenn ihn privat, und er hat es bestätigt.

 

[ThomasK_7]

Lebensnotwendige Organspenden abgreifen z.B. , weit hergeholt aber denkbar, es geht um Kopf und Kragen.

So so, aus z. Bsp. 2000 ergaunerten zufälligen ePA kann man also mit welcher Wahrscheinlichkeit einen treffenden Organspender grob herausfiltern? Dann muss der Betreffende auch noch körperlich entführt werden und intensiv getestet werden.
Gibt es das Ganze nicht billiger und halblegal in Moldawien u.ä.?

Man stelle sich vor, die eigene DNA wird da per Standard hinterlegt.

Dann gibt es bestimmt immer noch die Möglichkeit, seine persönliche Zustimmung zur ePA zurück zu ziehen oder die Zugriffsrechte einzuschränken.

Sollten daten im großen Still abgeflossen sein werden Zb. BU Versicherer sich listen erstellen wer keine Chance auf eine Versicherung hat...
und ja das sie das nicht dürfen ist mir klar würde aber passieren...

Erkläre mir doch bitte einmal, wie das praktisch von statten gehen soll und wo da die Rentabilität für die Versicherung bleibt!
Das Daten in großem Stil abfließen können, wurde so vom CCC laut Artikel gar nicht vorhergesagt.
Inserieren dann die Versicherer im darknet, das sie solche Daten in Datensätzen von rd . Zufälligen 2000 Leuten suchen und was sie dafür bezahlen würden?
Was denkst Du droht einem deutschen Versicherer, wenn er straffällige Methoden zur Informationsgewinnung in großem Stil anwendet und dabei ertappt wird (Zufall, whistleblower, Kriminalpolizei o.ä.)?

 

[Restart001]

Gibt es das Ganze nicht billiger und halblegal in Moldawien u.ä.?

Ich bin nicht aus dem Miljö, habe keine Erfahrungswerte dazu.

 

[Supie]

Warum habe ich mir sowas schon gedacht....?

 

[Gnageseil]

Lügeeee!
"...Deshalb sind alle in der Telematikinfrastruktur (TI) verarbeiteten Daten durch eine mehrstufige Sicherheitsarchitektur geschützt, die zu den besten in Europa und der Welt zählt."
Sagt die Gematik.

 

[ThomasK_7]

Das beste in Europa und in der Welt genügt eben einigen nicht!
Alternativvorschläge sind ja bislang hier auch nicht gekommen.

 

[Restart001]

Vielleicht nur eine LIVE Abfrage der Daten möglich machen, Zeitfenster und so, ohne Möglichkeit der Kopie oder Screenshot durch M$ Copilot Recall. (wer hält schon einen Fotografen auf?)

Ne, ist Unsinn. Die Datenserver laufen ja eh 24/7. Schlechte Idee...

 

[Piktogramm]

Ich befürchte, viele von diesen CCC-Hackern wollen zwar auf Schwachstellen hinweisen, aber gleichzeitig nicht mit den Behörden zusammenarbeiten. Das passt nicht in ihr "Anarcho-Weltbild". Ich denke mal, viele Behörden würden gerne mit ihnen zusammenarbeiten (gegen Entgelt), aber der CCC will mehrheitlich nicht.

Anarchie ist im Großen und Ganzen nix was im Club angestrebt wird. Die Notwendigkeit Gesellschaften zu organisieren und das als demokratischen Rechtsstaat ist erkannt und Vereinszweck (weswegen der Club auch nicht gemeinnützig ist, weil politische Ziele bei Vereinen nicht gemeinnützig sind..).
Und Vertreter·innen vom Club haben reichlich Stellungsnahmen und Vorschläge unterbreitet. Nörgeln ohne Konstruktive Vorschläge zu machen ist ja nicht gern gesehen. Grundlegend wurde vorgeschlagen, dass es Haftung durch Betreibern/Anbietern der TI geben muss. Dass die Datenformate standardisiert gehören (das aktuelle Konzept sieht den Austausch von PDFs vor, die man im Zweifelsfall abtippen muss um Daten ins eigene System zu übernehmen und andere Grusligkeiten). Ebenso gehören die Prozesse besser gestaltet und die Verantwortungsdiffusion abgeschafft.

Wäre doch schön, wenn die Daten allesamt auf der Kassenkarte gespeichert würden. Dann müsste das Sys in den Krankenhäusern und in den Praxen nicht mal großartig im Netz hängen. Und jeder Pat. nimmt seine Daten immer mit zu allen Ärzten.
Aber was soll's...

Daten auf der Karte bedingt das Verlust/Beschädigung problematisch ist und die Karte immer irgendwohin getragen werden müsste, was viele Probleme der analogen Welt nur replizieren würde.

was denkst Du, was da alles rein soll? Da soll nicht eine komplette Fotogalerie rein. Bildbefunde können beim jeweiligen Facharzt bleiben. Aber zu jedem Bild, etc. gibt es schriftliche Befunde und da bewegen wir uns dann doch eher im kb oder max. MB- Bereich

Ja eine der größten Probleme. Schickt dich Arzt zum Radiologen müssen immernoch Speichermedien transportiert werden weil der Gematikpfusch einfach mal Datenaustausch plant als wäre es 1995..

Verstehe, das das so wie es bisher vorgesehen ist, nicht sicher ist...nur vom ccc z fordern das ganz einzustellen, ohne eine Alternative vorzuschlagen/Hilfe anzubieten, ist doch auch nicht besser.

Gibt genug Stellungsnahmen vom Club wo gefordert wird, dass da eine zentrale Infra aufgebaut gehört, die Standardisierung erzwungen werden muss, Prozesse vorrangig auf die Erfüllung von medizinischer Prävention, Diagnose und Behandlung hin gestaltet gehören.

Es ist aber nicht möglich in 45..60min Vorträge eine Zusammenfassung über 20Jahre Vorschläge zu bringen.

 

[Schmarall]

...

Ja und dein Vorschlag lautet "scheiß drauf, wir machen einfach. Bedenken second"

 

[Randnotiz]

Ich gönne mir jetzt das Hacker Jeopardy erstmal.
Ist nach so manchen anstrengenden Beiträgen, egal aus welcher Kategorie, doch immer wieder lustig.

Immerhin weiß ich jetzt, dass Fax-Geräte mit Linux betrieben werden und Doom drauf läuft.

 

[dr. lele]

Was mir im Vortrag und kurioserweise auch im Statement der Gematik fehlt: was ist mit dem eHBA? Der wird aber für den Zugriff auf die ePA auch benötigt und sollte ja nicht so einfach verteilt werden.

Insgesamt aber schade, dass da nicht mit mehr Tempo Lücken geschlossen werden.

 

[ThomasK_7]

Wie kommst Du zu der Aussage, der eHBA würde einfach verteilt werden?

Warum ist die eHBA-Beantragung so komplex?

Die eHBA-Antragstellung ist den strengen Anforderungen der EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS), dem Gesetz zur Durchführung der eIDAS-Verordnung (Vertrauensdienstegesetz) sowie hinsichtlich des Zugriffs auf die Daten der elektronischen Gesundheitskarte (eGK) dem § 291a des SGB V untergeordnet. Die Ausgabe solcher Signaturkarten ist daher mit hohen Sicherheitsmaßnahmen verbunden.

Eine ordnungsgemäßes Antragsverfahren setzt ein reibungsloses Zusammenwirken aller Beteiligten Akteure (Arzt/Ärztin, Identifizierungsstelle, Ärztekammer Nordrhein (ÄkNo), eHBA-Anbieter) voraus. Um die Möglichkeiten des Zugriffs auf medizinische Patientendaten für unberechtigte Dritte zu verhindern, ist es wichtig, dass alle Prozessschritte korrekt abgearbeitet werden. Ein weniger striktes Verfahren hätte auch für die betroffenen Antragsteller Nachteile, da ihr eHBA missbräuchlich verwendet werden könnte.

Die eHBA-Anbieter (Vertrauensdiensteanbieter) und die Identifizierungsstellen arbeiten unter den vorgenannten gesetzlichen Anforderungen. Die Einhaltung dieser Vorgaben wird kontrolliert (zum Beispiel durch die Bundesnetzagentur).

Gemäß § 291a SGB V ist für den eHBA die Funktion einer qualifizierten elektronischen Signatur vorgesehen. Für die ÄkNo liegen damit diese formalen Prozesse weitestgehend außerhalb ihrer Gestaltungs- und Änderungsmöglichkeiten.

Nimmt man ihn als Zugangsvoraussetzung für die ePA mit auf, wäre schon ein dreifacher Identitätsdiebstahl von Nöten, um an die Patientendaten eines (!) Arztes zu kommen.

 

[A.Ljevar]

Man stelle sich vor, die eigene DNA wird da per Standard hinterlegt. Gezielte Tötungen oder Entführungen um das passende Organ zu bekommen sind dann nicht mehr weit weg. Zumal ja auch geklärt ist ob der "Spender" gesundheitlich auch in Frage käme.

Klingt ziemlich nach Verschwörungstheorie und unglaubwürdig.
Aber Aluhutträger kann man bestimmt mit dieser Theorie überzeugen

 

[Fakechaser]

Statt sich darüber aufzuregen kann man der Anlegung einer ePA bei der KK auch einfach widersprechen.
Die ePA ist weder lebensnotwendig noch entscheidet sie über Leben und Tod.
Wer den Trubel nicht nachvollziehen kann, sollte sich mal folgenden Wiki-Artikel genau durchlesen. Die Analogien sind bemerkenswert:
https://de.m.wikipedia.org/wiki/Elektronische_Gesundheitskarte

 

[dominiczeth]

Also eine elektronische Patientenakte hat doch quasi jeder, die wird, wenn ich die epa nicht habe, eben beim Arzt auf dem Server gespeichert. Da ich schon hin und wieder Mal den Arzt gewechselt habe, ist diese auch mit gewandert, und ich möchte gar nicht wissen wie. Ein Angriff auf diese Systeme würde die Daten genau so offen legen.
Ich finde es gut wenn der CCC solche Dinge offen legt. Aber man sollte nun auch keine Panik bekommen. Seit Jahren wird sich darüber lustig gemacht wie wenig digital Deutschland ist, und komplett hinterher hängt. Und nun geht es vorwärts aber die Leute bekommen direkt Panik. Ich hab die EPA bereits, und die Hürde an meine eigenen Daten zu kommen, war immens.
Wie das über den Praxis Zugang aussieht weiß ich nicht, aber da sind meine Daten auch schon gespeichert. Und ohne meine Gesundheitskarte kommt man nicht an die Daten, und die hab ich bei mir.
Ich finde diese Lücken auch nicht gut, aber Lücken gibt's überall.

 

[Mensch_lein]

@dominiczeth

Dann sieh dir doch bitte mal den ersten Link des Beitrages hier an(vom CCC von 2020!). Da zeigen sie gut auf, wie einfach man sich eine Gesundheitskarte beschaffen kann von dir. Ich weiss nicht wie es dir ergeht, wenn du das siehst, mir wurde ziemlich mulmig dabei.

 

[chaotium]

Man kann der EPA auch widersprechen… das würde Ich machen.