Search
Items tagged with: Privatsphäre
03.01.2025 ePA mit schweren Sicherheitslücken
Unberechtigter Zugriff in 10-20 Minuten
74 Millionen gesetzlich Versicherte sollen in den nächsten Wochen eine "elektronische Patientenakte" (ePA) bekommen, wenn sie nicht bis zum 1. Februar diesem Ansinnen widersprochen haben. Wir von Aktion Freiheit statt Angst e.V. warnen schon seit Jahren vor dieser Datenkrake. Die weniger als 10 Millionen Privatversicherten dürfen, privilegiert wie immer, zunächst noch von außen zuschauen, bevor auch ihnen eine ePA übergeholfen werden soll.
Auch wir würden einen sinnvollen Datenaustausch zwischen verschiedenen Ärzten begrüßen und gern Doppeluntersuchungen vermeiden helfen. Doch wir sehen in diesem Datenmoloch unter dem Management der Gematik nicht die Lösung unserer Probleme in der Gesundheitsversorgung.
Nun zeigt sich, dass auch die Gematik mit den Schwierigkeiten nicht zurecht kommt. Die ePA wird deshalb (glücklicherweise) nicht zum Jahresanfang für alle angelegt, da diese zunächst nur in den "Modellregionen" Hamburg und Franken gestartet wird.
"Der Datenschutz und die Datensicherheit waren uns zu jedem Zeitpunkt der Einführung das wichtigste Anliegen" betonte Gesundheitsminister Lauterbach immer wieder. Doch nun zeigt sich, dass es damit - wie bei jeder zentralen Datensammlung mit Zehntausenden von Zugangsberechtigten - nicht weit her sein kann.
Die Sicherheitsexpert:innen Bianca Kastl und Martin Tschirsich zeigten nun auf dem 38. Chaos Communication Congress in Hamburg, dass sich Dritte mit geringem Aufwand (10-20 Minuten) und gleich auf mehreren Wegen Zugang zu den in jeder beliebigen ePA hinterlegten Gesundheitsdaten verschaffen können, wie Netzpolitik.org schreibt.
Den Beiden war es gelungen, an gültige Heilberufs- und Praxisausweise sowie an Gesundheitskarten von dritten Personen zu gelangen. So etwas ist bei Zehntausenden von Zugangsberechtigten jederzeit durch Mängel in den Ausgabeprozessen, bei den Kartenherausgeberportalen sowie in der praktischen Kartenhandhabung im Alltag möglich. Wir alle kennen von Arztbesuchen oder Krankenhausaufenthalten den Zeitdruck für die dort Beschäftigten, der immer wieder dazu führt, dass rechtlich Befugte ihre Arbeit "mal schnell" durch andere erledigen lassen.
Zugriff auf 1000 Akten
In der Praxis führt das dazu, dass durch einen einzelnen kompromittierten Praxiszugang der Zugriff auf durchschnittlich rund 1.000 Patient:innen-Akten möglich wird. Bei einer Zahl von 74 Millionen Akten sollte man eigentlich annehmen, dass die Sicherheitsvorkehrungen bei der flächendeckenden ePA erhöht werden. Doch das Gegenteil ist der Fall, um die Arbeit mit der ePA für Ärzte und Gesundheitspersonal überhaupt durchführbar zu machen.
Während bisher alle Versicherten, die bisher freiwillig eine ePA nutzten, eine PIN - ähnlich wie bei einer Bankkarte - benötigten, fällt diese Sicherheitsvorkehrung bei der kommenden ePA-Version 3.0 weg. Auch eine bisherige Beschränkung des Fernzugriffs auf die ePA wird aufgeweicht. Netzpolitik.org berichtet von den Vorträgen beim 38C3, dass "der Angriff über den Versichertenstammdatendienst (VSDD) leichter wird, weil die Ausweisnummer der elektronischen Gesundheitskarte – die Integrated Circuit Card Serial Number (ICCSN) – unsigniert und ohne Sicherheitsschlüssel an den VSDD übermittelt wird. Die ICCSN reiche aus, um die Gesundheitsdaten beliebiger Versicherter einzusehen. Die Zahlenfolge lässt sich zudem beliebig manipulieren, weil sie fortlaufend vergeben wird."
Noch einmal ein Zitat von Netzpolitik.org: "Noch im Juni hatte der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber davor gewarnt, dass bei der ePA die Sicherheitsstandards gesenkt worden waren." Dem ist nichts mehr hinzuzufügen ... außer die weiteren Sicherheitslücken, die bisher vielleicht nicht so offensichtlich ins Auge gefallen sind.
Mehr dazu bei netzpolitik.org/2024/chaos-com…
und rnd.de/wirtschaft/elektronisch…
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3EJ
Link zu dieser Seite: aktion-freiheitstattangst.org/…
Link im Tor-Netzwerk: a6pdp5vmmw4zm5tifrc3qo2pyz7mvn…
Tags: #38C3 #Sicherheitslücken #Zugriff #eGK #ePA #elektronischePatientenakte #Gematik #PIN #Verbraucherdatenschutz #Trainingsdaten #Datensicherheit #Ergonomie #Privatsphäre #sensibel #Datenklau #Verkauf #RFIDChips #elektronischeGesundheitskarte #eHealth #IntegratedCircuitCardSerialNumber #ICSNN #VSDD
Elektronische Patientenakte offenbart schwere Sicherheitslücken – Doch besser widersprechen?
Am 15. Januar bekommen alle, die nicht ausdrücklich widersprechen, die neue elektronische Patientenakte (ePA). Doch kurz vor der Einführung warnt der Chaos Computer Club: Das digitale Dokument ist hackbar. Sollte man jetzt noch schnell widersprechen?Matthias Schwarzer (RedaktionsNetzwerk Deutschland)