Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsElektronischen Patientenakten: Hacker finden erneut Sicherheitslücken in der ePA
Im Dezember präsentierten Sicherheitsforschende auf dem 38C3, dass Angreifer auf die in der elektronischen Patientenakte (ePA) gespeicherten Gesundheitsdaten zugreifen können. Der Betreiber Gematik versprach Besserung, Teile der Lösungen bezeichnen Sicherheitsforschende als „Sicherheitstheater“ – und knackten das System erneut.
Ich nenn es zynisch Fortschritt, bin mir nur nicht sicher warum die Gruppe nicht vorab involviert wurde.
Ich bin mir auch nicht sicher, ob dass durch viele Berater nicht hatte verhindert werden können.
Sicherheitslücken mit „unwahrscheinlich“ abzustempeln ist immer total praktisch wenn man sein Produkt verteidigen muss. Geht ja schließlich nur um die intimsten Daten die man so speichern kann. Auf die Idee den CCC während der Entwicklungsphase in Form von Beratungsleistung oder Audits zu akkreditieren kommt keiner und dann ist immer alles halb so wild weil „realitätsfern“. Machen die das aufgrund von Fördergeldern so oder warum immer das heruntergespiele?
Für einen Opt-out ist es jetzt auch zu spät. Zumindest hinsichtlich der Übertragung der Informationen von der Krankenkasse in die Zentrale Datenverwaltung, die bereits ohne rechtzeitigen Einspruch erfolgt ist.
Warum nicht einfach die Daten auf einem lokalen Datenträger für Patienten, die dem ganzen widersprochen haben, rausgeben? Es muss nicht immer alles mit dem Internet verbunden sein. Damit könnte man das Dateisystem dahinter verwenden, ohne dass man von einem Datenleak betroffen sein wird.
Kurz vor ihrem Start sorgt die elektronische Patientenakte abermals für Kritik. Patientenschützer sehen keine Möglichkeiten, einzelne Dokumente nur bestimmten Ärzten zur Verfügung zu stellen und fühlen sich getäuscht.
Das ist auch ein anderes Thema. Jeder Arzt kann stand jetzt alle Daten einsehen oder das Dokument ist für alle gesperrt. Das Thema ePA ist einfach nur ein Witz.
Das hat jetzt ja sicher keiner erwartet, nach der professionellen und vertrauenerweckenden Art, wie auf die erste Analyse des CCC reagiert wurde
Ich weiss schon, warum kein Opt-Out keine Option war...
Es ist ja auch bezeichnend, dass im Koalitonsvertrag Schwachsinn wie
"Zur besseren Datennutzung setzen wir ein Registergesetz auf und verbessern die Datennutzung beim Forschungsdatenzentrum Gesundheit. Gleichzeitig ist der Schutz von sensiblen Gesundheitsdaten unabdingbar. Deshalb wirken wir auf eine konsequente Ahndung von Verstößen hin."
steht. Zeigt ja deutlich, dass man nicht an einer technisch sauberen Absicherung interessiert ist, sondern primär daran, die Daten für die Pharmaindustrie nutzbar zu machen und gleichzeitig der Gematik einen einträglichen Broterwerb mittels faktisch völlig nutzlosen Zertifizierungen zu ermöglichen.
Was an der "offiziellen Antwort" à la "Aber es können ja nicht alle Gesundheitsdaten gleichzeitig gestohlen werden!" beruhigend sein soll, weiß wohl die zuständige Stelle selbst nicht.
Und natürlich, dass die selben Probleme - wie schon vor mehr als einem Jahr gezeigt - weiterhin bestehen und quasi den selben Hack erlauben ist ein Armutszeugnis.
Aber das wurde ja quasi schon mit design des Systems erkannt: Es ist schlicht nicht möglich, ein Zentralisiertes (!) Online (!) System zu sichern auf das gleichzeitig Hunderte Stellen/Organisationen auf unterschiedlichen Ebenen zugreifen können müssen um überhaupt einen Nutzen zu haben.
Das zitierte Bild vom Schlüssel unter der Fussmatte ist nämlich das Grundproblem des Gesamtsystems ePA, und wurde von vorneherein als dieses gezeichnet. Wie immer wurde dieser Einwand mit "IT-Magie regelt schon" weggewischt.
Was an der "offiziellen Antwort" à la "Aber es können ja nicht alle Gesundheitsdaten gleichzeitig gestohlen werden!" beruhigend sein soll, weiß wohl die zuständige Stelle selbst nicht.
Reine rhetorische (versuchte) Schadensbegrenzung. Mehr nicht. Die werden recht genau wissen, was nicht so ist, wie es eigentlich sein sollte und den Anforderungen entspräche.
Finde es traurig, dass die ePA nicht temporär ausgesetzt wird und Konsequenzen gegen die Verantwortlichen erhoben wird. Das ganze ist schlicht und ergreifend nicht nur fahrlässig, sonder reiner Vorsatz.
Für Arbeitgeber, ob öffentlich oder privat, ist die elektronische Patientenakte zweifellos ein wertvolles Werkzeug. Sollten diese Daten regelmäßig im Netz landen, könnten sie einfach genutzt werden, um die gesundheitlichen Probleme von Bewerbern oder Angestellten nachzuvollziehen. Sei es, um sie gar nicht erst einzustellen oder um sich von ihnen lieber schnell zu trennen. Das ein Land, in dem IT noch als "Neuland" gilt, nicht erkennt, welche verheerenden Folgen solche Entwicklungen für die Bevölkerung haben könnten, besonders wenn Ideen von Personen wie Lauterbach umgesetzt werden, ist wirklich erschreckend.
Das war ja nun wirklich mit Ansage. Also wer da auf Sicherheit vertraut, dem ist es schlicht egal. Was ok ist, wenn man das selber bei seinen eigenen Daten so sieht. Aber dann halt auch nicht wundern, wenn es irgendwann zu einer missbräuchlichen Nutzung kommt.
Finde es traurig, dass die ePA nicht temporär ausgesetzt wird und Konsequenzen gegen die Verantwortlichen erhoben wird. Das ganze ist schlicht und ergreifend nicht nur fahrlässig, sonder reiner Vorsatz.
Das Problem ist aber auch das die Regierung unter Zugzwang ist weil der ganze Schlamassel dauert nun schon 20 Jahre seit Ankündigung.
Ich frag mich aber auch warum gerade Lauterbach, der als einer der wenigen Fachlkundigen so ein Quatsch unterstützt.
