09.02.2025 Seit 40 Tagen "ePA für alle"

Widersprüche liegen unter 5% Hürde

Für die elf AOKs wurden bereits knapp 26,4 Millionen ePAs angelegt, meldet der Bundesverband der AOK. Ähnlich hohe Zahlen sind bei den anderen Krankenkassen zu erwarten. Insgesamt wurden 69.895.552 elektronische Patientenakten (ePA) für alle gesetzlich Versicherten mit Stand 7. Februar 2025 angelegt. Die Widersprüche gegen eine ePA liegen im Durchschnitt bei 3,8 Prozent.

Also alles paletti?

• Da in den meisten ePAs nichts drin steht, gab es dort auch keine Probleme 😉
• Das Deutsche Ärzteblatt berichtet von Problemen beim ePA-Aktensystem von IBM.
• An der Schnittstelle zwischen Praxisverwaltungssystem und dem ePA-System sieht der AOK-Bundesverband Probleme.
• Die beiden Aktensysteme von IBM und RISE scheinen nicht interoperabel zu sein und würden sich sehr unterschiedlich verhalten.
• Die bundesweite Inbetriebnahme soll im April starten, wenn bis dahin die bekannt gewordenen Sicherheitslücken geschlossen sind.
• In den Modellregionen Hamburg und Franken ist das Berechtigungskonzept zur Zeit durch eine "Whitelist" ersetzt. Damit können alle Ärzte dort auf alle ePAs in dieser Region (? oder alle 69 Millionen?) zugreifen.
• Versicherte, die auf ihre ePA schauen wollen, benötigen die App, eine PIN für ihren elektronischen Personalausweis oder für ihre elektronische Gesundheitskarte sowie ein Kartenlesegerät, welches auch ein NFC-fähiges Smartphone sein kann.
• Dann müssen sie sich eine GesundheitsID erstellen lassen, was bisher von den 69 Millionen nur 2,2 Millionen Versicherte gemacht haben.

"Endlich kostenloser Speicher für alle"

Also 2,2 Millionen können schon in ihre noch leere ePA schauen. Die muss aber nicht leer bleiben, denn in die ePA-Cloud kann jede/r Versicherte beliebig viele Dokumente hochladen. Dabei darf jede Datei maximal 25 MByte groß sein. Das hat "@TheDoctor512" ausprobiert und insgesamt 1 TByte an Daten in seiner elektronischen Patientenakte gespeichert, wie er auf Mastodon schrieb.

Ob seine Daten auf diesem nur scheinbar "kostenlosen" Speicher sicher sind, muss Jede/r selbst einschätzen, denn neben den Ärzten können die Daten in der ePA pseudonymisiert auch von der Forschung und den Pharma-Konzernen genutzt werden ...

Mehr dazu bei https://www.heise.de/news/Elektronische-Patientenakte-Fast-alle-gesetzlich-Versicherten-haben-eine-10272717.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3Fo
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/9055-20250209-seit-40-tagen-epa-fuer-alle.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/9055-20250209-seit-40-tagen-epa-fuer-alle.html
Tags: #Sicherheitslücken #Zugriff #eGK #ePA #elektronischePatientenakte #Gematik #PIN #Verbraucherdatenschutz #Trainingsdaten #Datensicherheit #Ergonomie #Privatsphäre #sensibel #Datenklau #Verkauf #RFIDChips #Zwangsdigitalisierung #elektronischeGesundheitskarte #eHealth #IntegratedCircuitCardSerialNumber

03.01.2025 ePA mit schweren Sicherheitslücken

Unberechtigter Zugriff in 10-20 Minuten

74 Millionen gesetzlich Versicherte sollen in den nächsten Wochen eine "elektronische Patientenakte" (ePA) bekommen, wenn sie nicht bis zum 1. Februar diesem Ansinnen widersprochen haben. Wir von Aktion Freiheit statt Angst e.V. warnen schon seit Jahren vor dieser Datenkrake. Die weniger als 10 Millionen Privatversicherten dürfen, privilegiert wie immer, zunächst noch von außen zuschauen, bevor auch ihnen eine ePA übergeholfen werden soll.

Auch wir würden einen sinnvollen Datenaustausch zwischen verschiedenen Ärzten begrüßen und gern Doppeluntersuchungen vermeiden helfen. Doch wir sehen in diesem Datenmoloch unter dem Management der Gematik nicht die Lösung unserer Probleme in der Gesundheitsversorgung.

Nun zeigt sich, dass auch die Gematik mit den Schwierigkeiten nicht zurecht kommt. Die ePA wird deshalb (glücklicherweise) nicht zum Jahresanfang für alle angelegt, da diese zunächst nur in den "Modellregionen" Hamburg und Franken gestartet wird.

"Der Datenschutz und die Datensicherheit waren uns zu jedem Zeitpunkt der Einführung das wichtigste Anliegen" betonte Gesundheitsminister Lauterbach immer wieder. Doch nun zeigt sich, dass es damit - wie bei jeder zentralen Datensammlung mit Zehntausenden von Zugangsberechtigten - nicht weit her sein kann.

Die Sicherheitsexpert:innen Bianca Kastl und Martin Tschirsich zeigten nun auf dem 38. Chaos Communication Congress in Hamburg, dass sich Dritte mit geringem Aufwand (10-20 Minuten) und gleich auf mehreren Wegen Zugang zu den in jeder beliebigen ePA hinterlegten Gesundheitsdaten verschaffen können, wie Netzpolitik.org schreibt.

Den Beiden war es gelungen, an gültige Heilberufs- und Praxisausweise sowie an Gesundheitskarten von dritten Personen zu gelangen. So etwas ist bei Zehntausenden von Zugangsberechtigten jederzeit durch Mängel in den Ausgabeprozessen, bei den Kartenherausgeberportalen sowie in der praktischen Kartenhandhabung im Alltag möglich. Wir alle kennen von Arztbesuchen oder Krankenhausaufenthalten den Zeitdruck für die dort Beschäftigten, der immer wieder dazu führt, dass rechtlich Befugte ihre Arbeit "mal schnell" durch andere erledigen lassen.
Zugriff auf 1000 Akten

In der Praxis führt das dazu, dass durch einen einzelnen kompromittierten Praxiszugang der Zugriff auf durchschnittlich rund 1.000 Patient:innen-Akten möglich wird. Bei einer Zahl von 74 Millionen Akten sollte man eigentlich annehmen, dass die Sicherheitsvorkehrungen bei der flächendeckenden ePA erhöht werden. Doch das Gegenteil ist der Fall, um die Arbeit mit der ePA für Ärzte und Gesundheitspersonal überhaupt durchführbar zu machen.

Während bisher alle Versicherten, die bisher freiwillig eine ePA nutzten, eine PIN - ähnlich wie bei einer Bankkarte - benötigten, fällt diese Sicherheitsvorkehrung bei der kommenden ePA-Version 3.0 weg. Auch eine bisherige Beschränkung des Fernzugriffs auf die ePA wird aufgeweicht. Netzpolitik.org berichtet von den Vorträgen beim 38C3, dass "der Angriff über den Versichertenstammdatendienst (VSDD) leichter wird, weil die Ausweisnummer der elektronischen Gesundheitskarte – die Integrated Circuit Card Serial Number (ICCSN) – unsigniert und ohne Sicherheitsschlüssel an den VSDD übermittelt wird. Die ICCSN reiche aus, um die Gesundheitsdaten beliebiger Versicherter einzusehen. Die Zahlenfolge lässt sich zudem beliebig manipulieren, weil sie fortlaufend vergeben wird."

Noch einmal ein Zitat von Netzpolitik.org: "Noch im Juni hatte der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber davor gewarnt, dass bei der ePA die Sicherheitsstandards gesenkt worden waren." Dem ist nichts mehr hinzuzufügen ... außer die weiteren Sicherheitslücken, die bisher vielleicht nicht so offensichtlich ins Auge gefallen sind.

Mehr dazu bei https://netzpolitik.org/2024/chaos-communication-congress-das-narrativ-der-sicheren-elektronischen-patientenakte-ist-nicht-mehr-zu-halten/
und https://www.rnd.de/wirtschaft/elektronische-patientenakte-offenbart-schwere-sicherheitsluecken-doch-besser-widersprechen-KCCWIEJDOBGFVPCCHMWI5SNPB4.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3EJ
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/9017-20250103-epa-mit-schweren-sicherheitsluecken.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/9017-20250103-epa-mit-schweren-sicherheitsluecken.html
Tags: #38C3 #Sicherheitslücken #Zugriff #eGK #ePA #elektronischePatientenakte #Gematik #PIN #Verbraucherdatenschutz #Trainingsdaten #Datensicherheit #Ergonomie #Privatsphäre #sensibel #Datenklau #Verkauf #RFIDChips #elektronischeGesundheitskarte #eHealth #IntegratedCircuitCardSerialNumber #ICSNN #VSDD