News Elektronischen Patientenakten (ePA): Angreifer können Zugang zu allen Patientenakten erhalten

[Sam Miles]

Zum einen, selbst bei Widerspruch ist nicht sicher gestellt, daß die Daten über Gesundheit nicht zentral erfaßt und gespeichert werden. Vermutlich wird lediglich ein Haken gesetzt womit diese "Akte" nicht bei Zugriff abgefragt wird. Geführt wird diese sicherlich dennoch digital. Zum anderen kann ja durch was auch immer später das ganze zum Zwang werden und damit das Häkchen entfernt werden und Zack alles da.

Nun, was kann damit wohl alles passieren... sagen wir, die Polizei hält dich wegen einer Verkehrskontrolle an, fragt deine Daten ab und oh, also mit diesem Eintrag hier haben wir ja einen hinreichenden Verdacht, da müssen wir ja mal testen. Oder, die Allianz fragt diese Datenbank ab, natürlich nur in eine Richtung und Zack, nee diese Diagnose da ist uns zu viel Risiko. Wie, sie wollen sich bei uns bewerben? Hmm, aber das Scoring ihrer Gesundheit läßt dies aus unserer Sicht nicht zu. Wir wissen nicht was sie haben aber das Scoring reicht uns für ein nein.

Oh warte, sie wollen in den Flieger sind aber ungeimpft? Na wir haben da ein nettes Zimmer für sie, bitte sehr. Und wenn der Abflug damit noch geht, keine Angst, in den USA, welche ja durch was auch immer "Abkommen" Zugriff drauf haben, nehmen dich gleich mal hops am Flieger.

Wenn wir jetzt noch ein soziales Punkte System ala China in der EU einrichten, darfst du mit diesem Scoring mal so gar nicht deine Bude verlassen. Du bist schließlich krank und könntest andere anstecken. Oh warte, du warst draußen und in deinem Umfeld wo du unterwegs warst stieg die Diagnose auf das was du hattest? Zack ab in den Knast mit Dir!

Ganz geil wird es, wenn du eine geile Frau oder geilen Typen am Start hast aber dir aus Gesundheitsdaten "empfohlen" wird mit diesem oder dieser Person keinen Sex zu haben.

Alles zum Wohle der Gesellschaft und zum Schutz der "Mehrheit". Joa... geile Welt.

 

[MC´s]

Datenschutz in DE, auf dem Niveau von vor 30 Jahren, wenn überhaupt.

 

[ThomasK_7]

die ePA ist absolut sinnvoll und begrüßenswert, aber welcher Hirni hat sich das Konzept so ausgedacht?!

Das Ganze ergibt nur Sinn wenn man als Patient aktiv für jeden einzelnen Arzt auf Bedarf den Zugriff gestattet, keine Generalvollmacht erteilt. Wieso müssen 200000 Ärzte und Lauterbach was von meiner ePA wissen?! Das geht nur die was an, die ich da aktiv dazu berechtige.

Der Hirni hat im Gegenzug zu Dir begriffen, dass es in der Praxis eher unwahrscheinlich ist, dass der Patient X sich zum Zeitpunkt Y manipulationssicher ausweisen kann, um dem Arzt Z die einmalige Freigabe zur Ansicht seiner persönlichen Krankheitsgeschichte der letzten 90 Tage zu erlauben.
Also wozu Sicherheitsaufwand betreiben, der ohnehin leicht auszuhebeln ist?

Aber Ihr seid ja auch alle angeblich so wichtig, das euer Arbeitsgeber einen Kriminellen beauftragt, sich für Euren (Haus-)Arzt eine fingierte Zugangsberechtigung zum ePA System zu verschaffen und sich für angeblich euch (Identitätsklau) eine Zweitkarte inkl. PIN zu besorgen, um dann die letzten 90 Tage eurer Krankheitsgeschichte einzusehen.
Mit jedem einfachen Einbruch mit Fotoapparat in die Arztpraxis hätte er auch schneller und billiger die komplette Krankheitsakte des Betreffendem erbeuten können und das schon meist am selben Tag der Auftragserteilung.

Also ich persönlich habe viel mehr Angst vor dem Abräumen meiner Bankkonten mittels Onlinebanking und anschließender Beweislast meinerseits, das nicht ich die Schwachstelle gewesen wäre.

 

[Zanza]

Zu Hans: Ich hab geschrieben "wenn er es drauf hat" - du willst mir doch nicht erzählen das die ganzen anderen Kollegen Arbeitstiere sind. Real Life: Wenn Hans eine Woche krank ist, passiert genau gar nichts, bis Hand wieder da ist.

Selbst wenn man eine größere Urlaubsübergabe macht. passiert wesentlich weniger als erwartet.

Hans bekommt seine Sachen locker flockig erledigt. Nur zu viele Stümper sind handlungsunfähig wenn Hans krank ist.

Was passiert, wenn nicht nur Hans im Jahr 10 Wochen Krank meldet. Ich glaube kaum, dass jemand mehr arbeitet, weil Hans krank ist und freiwillig seine mit erledigt.

 

[Timo Lock]

Die Gematik ist ja lustig drauf.

"Unberechtigte Zugriffe auf die ePA sind strafbar und können nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen."

Glück gehabt. Man muss sich keine Sorgen machen!

 

[Whitehorse1979]

Einfach widersprechen und die Sache ist erledigt. Vielleicht ist es in fünf Jahren ja etwas sicherer.

 

[Restart001]

"NEULAND" , pah, loll

Ergänzung (Samstag um 21:06)

Glück gehabt. Man muss sich keine Sorgen machen!

Die z.B. Chinesen juckt das nicht.

 

[FaDam]

was macht so ein Hacker dann mit meinen Patientendaten?

Er verkauft dir viag…

 

[raychan]

War ja zu erwarten, bzw. ich habe das vorhergesehen und hatte damals sofort widerrufen. Ich warte mindestens 5-10 Jahre bis das System ausgereift ist.

Warum habe ich das erwartet? Japan hat ein ähnliches System vor ein paar Jahren eingeführt und es ging auch vollig nachhinten los, wo sogar Patienten Akten usw vertauscht waren.

https://sumikai.com/nachrichten-aus-japan/immer-mehr-pannen-bei-japans-my-number-system-330902/

Einfach mal nach Japan und "My Number" googlen. Die Japaner sind uns schon 2-3 Jahre im voraus, inkl. der Probleme.

Die Datenpanne wird nur das erste der vielen Probleme sein. Sage schon mal falsch verknüpfte Daten vorher.

"NEULAND" , pah, loll

Hat nicht viel mit Neuland zutun. Japan ist es ähnlich in die Hose gegangen und es wäre bei fast allen Ländern sicher nicht anders. Das ist einfach der Allgemeine Umgang mit Software, Hardware, tests, qualifiziertes Personal usw.

 

[II n II d II]

Der Witz ist ja auch, dass jetzt aktuell alle Patienten ihre Daten für alle Behandler freigeben sollen. Und im Juli wird dann die dsgvo greifen und der Zugriff wieder eingeschränkt werden. Zugriff dürfen nämlich nur aktuell behandelnde Ärzte haben und dann auch nicht auf alle Daten, sondern nur denen der Patient zustimmt.

Aktuell ist die elektronische patientenakte nicht Datenschutzkonform.

 

[lWllMl]

• kann der kunde sehen, welcher arzt die akte aufgerufen hat? wie oft die akte gescannt wurde...
• sensible daten kann man effektiv mit fake_einträgen schützen, dann weiß der angreifer nicht, welche infos echt sind
• wo kann kunde seine files downloaden und editieren kann er wohl nicht 😂
• eine blacklist für bad_fake_ärzte sollte der kunde wohl wenigstens in der akte installieren können um den zugriff zu verweigern😂,
• ich bin nur in paar praxen, wüsste nicht wieso die akte dauerhaft einsehbar sein sollte, gibts da keine session die abläuft
• geschlossenes netz ist wohl zu cyber_artig xD

 

[RaptorTP]

Was passiert, wenn nicht nur Hans im Jahr 10 Wochen Krank meldet.

Du meinst also es nutzen ohne Angriffe nicht schon genug Leute dreister Weise das System aus ? (jetzt mal abgesehen von den frisch zugezogenen)

Ich will gar nicht wissen wer alles ohne schlechtes Gewissen "Home Office" macht und eben nix schafft und trotzdem kassiert.

Mit den Daten kannste kaum mehr anfangen.

Wenn Hans immer derjenige ist, der oft krank macht, fliegt er sowieso.

Hatte auch einen Kollegen in der alten Firma der sehr oft "krank" war.
Ihm wurde auch geraten sich mal umzuschauen.

Ist dann in die Nachbarabteilung gewechselt 😅👍

Also ich sehe eher als benefit.
Für eine einfachere Kommunikation zwischen den Ärzten oder wenn man eben einen neuen aufsucht usw.

 

[raychan]

• kann der kunde sehen, welcher arzt die akte aufgerufen hat? wie oft die akte gescannt wurde...
• sensible daten kann man effektiv mit fake_einträgen schützen, dann weiß der angreifer nicht, welche infos echt sind
• wo kann kunde seine files downloaden und editieren kann er wohl nicht 😂
• eine blacklist für bad_fake_ärzte sollte der kunde wohl wenigstens in der akte installieren können um den zugriff zu verweigern😂,
• ich bin nur in paar praxen, wüsste nicht wieso die akte dauerhaft einsehbar sein sollte, gibts da keine session die abläuft
• geschlossenes netz ist wohl zu cyber_artig xD

Viel zu kompliziert. Wieso ist die digitale Krankenakte nicht auf der KrankenKassenkarte gespeichert. Es bekommen nur Ärzte und Personen an die Daten der diese Karte von den Patienten bekommt. Als Zusatz gibt es ein Backup System, welches beim lesen der Karte Automatisch an die Krankenkrasse übermittelt wird. (Natürlich verschlüsselt.) Beim verlieren der Karte wird eine neue Karte erstellt mit den zuletzt gespeicherten Daten. Und niemand hat zugriff auf dieser Backup Daten außer beim erstellen einer neuen Krankenkassenkarte die nur ausgeliefert wird gegen Perso.

Dazu ist die Karte mit ein Pin gesichert.

 

[iGameKudan]

@KurzGedacht Meine Praxis (also mein Hausarzt…) ist da recht modern und mit Dienstleister aufgestellt.

Ich bezweifle nicht mal dass man bei der ePA auf Sicherheit bedacht ist, nur ist eine entsprechend zentralisierte Datenbank ein viel lukrativeres Ziel, wo sich auch Aufwand lohnt.

Wenn bei einer Praxis meine Daten weg sind: Scheiße. Sind dann einem Datenleck der ePA alle Daten auf einmal weg: Dünnschiss.

Oder ums kurz auszudrücken: Ich habe mit der zentralen Speicherung meiner Gesundheits- und Befunddaten ein Problem.

Und wie oben erwähnt: Dem fehlenden Opt-In/Opt-Out für die pseudonymisierte Datenweitergabe.

 

[scootiewolff22]

Verkaufen, Junge die wären Millionenwert wenn man ein ganzen Satz von Leuten mal eben hätte.

und wie schadet es mir?

 

[Tombstone]

Vielleicht sind sich hier einige der Tragweite solcher Sicherheitslöcher nicht bewusst. Aber nicht jeder Mensch besitzt Einträge in dieser akte die er bedenkenlos mit anderen teilen würde. Aus denen ggf. sogar im Worst Case Szenario ein Ruin Life Paket geschnürt werden könnte, usw.

Also bitte auch mal an andere denken oder an die eigene mögliche Zukunft. Nicht nur das hier und jetzt! Wie bei den Bewegungsdaten auch, da parkt halt nicht jeder nur regelmäßig vor dem Rewe.

Hier Vergleiche zu ziehen bezüglich Fortschrittsverweigerung mit der Kanalisation o.ä. finde ich schon ein starkes Stück.

ePA direkt widersprochen... Gott sei Dank kam der leak noch vor der Veröffentlichung ans Licht !

 

[GR Supra]

Ich bin zufällig in der Branche als ITler tätig.

Grundsätzlich könnte bei der EPA einiges besser laufen und es wird verbessert.

Was stehr außer Blick gerät ist, dass die EPA dennoch in Summe das Sicherste ist.
Es wäre reiner Zufall, dass eine Praxis die digitale Akten führt sicherer ist. Selbst große Krankenhäuser sind das nachweislich nicht.

Die EPA nicht einzuführen, auch unter dem aktuellen Thema, ist ein Fehler. Diese Fehler machen wir seit mindestens 15 Jahren.

Die Frage sollte sein, wie schnell Lücken geschlossen werden können und werden und wie man zukünftig, auch den CCC, einbeziehen kann.

 

[Dende236]

Die AOK möchte allen ernstes, dass ich eine PDF ausdrucke um sie dann per Post zu verschicken?!
Aber Hauptsache die ePA ist Opt-Out.

Digital kann Deutschland

 

[Restart001]

Die werden schon reagiert haben, ist doch top.

 

[Blumentopf1989]

Ich erwarte zumindest, das wenn ich nach zb einem Verkehrsunfall ohnmächtig ins Krankenhaus eingeliefert werde, die Ärzte dank meiner digitalen Akte einsehen können, ob ich Erkrankungen habe, die abseits von dem Unfall beachtet werden müssen.

Ich habe ja auch nichts gegen die E Akte an sich, ganz im Gegenteil. In der aktuellen Form ist sie aber einfach untragbar.