20250103 ePA mit schweren Sicherheitslücken

03.01.2025 ePA mit schweren Sicherheitslücken
Sorry, most articles are not available in English yet

Unberechtigter Zugriff in 10-20 Minuten

74 Millionen gesetzlich Versicherte sollen in den nächsten Wochen eine "elektronische Patientenakte" (ePA) bekommen, wenn sie nicht bis zum 1. Februar diesem Ansinnen widersprochen haben. Wir von Aktion Freiheit statt Angst e.V. warnen schon seit Jahren vor dieser Datenkrake. Die weniger als 10 Millionen Privatversicherten dürfen, privilegiert wie immer, zunächst noch von außen zuschauen, bevor auch ihnen eine ePA übergeholfen werden soll.

Auch wir würden einen sinnvollen Datenaustausch zwischen verschiedenen Ärzten begrüßen und gern Doppeluntersuchungen vermeiden helfen. Doch wir sehen in diesem Datenmoloch unter dem Management der Gematik nicht die Lösung unserer Probleme in der Gesundheitsversorgung.

Nun zeigt sich, dass auch die Gematik mit den Schwierigkeiten nicht zurecht kommt. Die ePA wird deshalb (glücklicherweise) nicht zum Jahresanfang für alle angelegt, da diese zunächst nur in den "Modellregionen" Hamburg und Franken gestartet wird.

"Der Datenschutz und die Datensicherheit waren uns zu jedem Zeitpunkt der Einführung das wichtigste Anliegen" betonte Gesundheitsminister Lauterbach immer wieder. Doch nun zeigt sich, dass es damit - wie bei jeder zentralen Datensammlung mit Zehntausenden von Zugangsberechtigten - nicht weit her sein kann.

Die Sicherheitsexpert:innen Bianca Kastl und Martin Tschirsich zeigten nun auf dem 38. Chaos Communication Congress in Hamburg, dass sich Dritte mit geringem Aufwand (10-20 Minuten) und gleich auf mehreren Wegen Zugang zu den in jeder beliebigen ePA hinterlegten Gesundheitsdaten verschaffen können, wie Netzpolitik.org schreibt.

Den Beiden war es gelungen, an gültige Heilberufs- und Praxisausweise sowie an Gesundheitskarten von dritten Personen zu gelangen. So etwas ist bei Zehntausenden von Zugangsberechtigten jederzeit durch Mängel in den Ausgabeprozessen, bei den Kartenherausgeberportalen sowie in der praktischen Kartenhandhabung im Alltag möglich. Wir alle kennen von Arztbesuchen oder Krankenhausaufenthalten den Zeitdruck für die dort Beschäftigten, der immer wieder dazu führt, dass rechtlich Befugte ihre Arbeit "mal schnell" durch andere erledigen lassen.

Zugriff auf 1000 Akten

In der Praxis führt das dazu, dass durch einen einzelnen kompromittierten Praxiszugang der Zugriff auf durchschnittlich rund 1.000 Patient:innen-Akten möglich wird. Bei einer Zahl von 74 Millionen Akten sollte man eigentlich annehmen, dass die Sicherheitsvorkehrungen bei der flächendeckenden ePA erhöht werden. Doch das Gegenteil ist der Fall, um die Arbeit mit der ePA für Ärzte und Gesundheitspersonal überhaupt durchführbar zu machen.

Während bisher alle Versicherten, die bisher freiwillig eine ePA nutzten, eine PIN - ähnlich wie bei einer Bankkarte - benötigten, fällt diese Sicherheitsvorkehrung bei der kommenden ePA-Version 3.0 weg. Auch eine bisherige Beschränkung des Fernzugriffs auf die ePA wird aufgeweicht. Netzpolitik.org berichtet von den Vorträgen beim 38C3, dass "der Angriff über den Versichertenstammdatendienst (VSDD) leichter wird, weil die Ausweisnummer der elektronischen Gesundheitskarte – die Integrated Circuit Card Serial Number (ICCSN) – unsigniert und ohne Sicherheitsschlüssel an den VSDD übermittelt wird. Die ICCSN reiche aus, um die Gesundheitsdaten beliebiger Versicherter einzusehen. Die Zahlenfolge lässt sich zudem beliebig manipulieren, weil sie fortlaufend vergeben wird."

Noch einmal ein Zitat von Netzpolitik.org: "Noch im Juni hatte der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber davor gewarnt, dass bei der ePA die Sicherheitsstandards gesenkt worden waren." Dem ist nichts mehr hinzuzufügen ... außer die weiteren Sicherheitslücken, die bisher vielleicht nicht so offensichtlich ins Auge gefallen sind.

Mehr dazu bei https://netzpolitik.org/2024/chaos-communication-congress-das-narrativ-der-sicheren-elektronischen-patientenakte-ist-nicht-mehr-zu-halten/
und https://www.rnd.de/wirtschaft/elektronische-patientenakte-offenbart-schwere-sicherheitsluecken-doch-besser-widersprechen-KCCWIEJDOBGFVPCCHMWI5SNPB4.html

Kommentar: RE: 20250103 ePA mit schweren Sicherheitslücken

Also ich habe schon länger die ePA, und mein größtes Problem ist nicht, dass die Daten nicht sicher seien, sondern dass die Daten darin zu sicher sind. Arztpraxen können nicht an die Daten ran, oder es ist ihnen zu kompliziert, Daten in die ePA zu speichern oder dort heraus zu ziehen. Dann machen die doch lieber ein weiteres Röntgenbild - wird ja immerhin auch von den Krankenkassen bezahlt. Die Krankenkasse hat auch keine Handhabe, meine ePA einfacher zu gestalten, auch wenn ich betone, dass meinetwegen jeder Mensch auf der Welt das Röntgenbild meiner Zähne sehen dürfe.

Fu., 03.01.25 11:17

Kommentar: RE: 20250103 ePA mit schweren Sicherheitslücken

Wer bei der AOK ist und schnell der ePA widersprechen will kann das hier
aok.de/pk/versichertenservice/
https://www.aok.de/pk/versichertenservice/epa-widerspruch/
Nach aktuellen Kenntnisstand ist ein Widerspruch aus Sicherheits- und Datenschutzgründen dringend angeraten.

Be., 03.01.25 11:19

Kommentar: RE: 20250103 ePA mit schweren Sicherheitslücken

Derzeit droht die (unmittelbar bevorstehende) Einführung der elektronischen Patientenakte (ePA) für alle; aber auch durch die in Kürze zu erwartenden Entscheidungen auf EU-Ebene zu EHDS (European Health Data Space - Europäischer Gesundheitsdatenraum).
Schau auf unsere Website als Sprungbrett: https://patientenrechte-datenschutz.de/
Melde dich bei uns, unter kontakt@patientenrechte-datenschutz.de

Die bisher schon Aktiven im Verein Patientenrechte und Datenschutz e. V., 03.01.25 11:59