News Elektronischen Patientenakten: Hacker finden erneut Sicherheitslücken in der ePA

[Opa Hermie]

Der Bevölkerung ist es einfach egal. Konversation mit nem Kumpel von grade:

Anhang anzeigen 1613157

Einfach gruselig. Solche Demokratie-feindlichlichen "Argumente" bekommt man oft zu hören/lesen, ich bin mir leider ziemlich sicher, dass eine Diktatur hier leichtes Gedeihen hätte.

 

[Muffknutscher]

Ich habe bei meiner KK der EPA widersprochen. Hab so gar keine Lust auf den Kram.

 

[Allan A7X]

Das belegt mal wieder, dass die Bevölkerung nur an der Nase herumgeführt wird […]

Hier wird mit allen Anstrengungen etwas durchgedrückt, obwohl Mängel bekannt sind. […]

Jedes System ist hackbar. Dein Windows PC kann hackt und deine Festplatte ausgelesen werden, deine Schmuddelbilder können von deinem IPhone oder der Cloud entwendet werden etc.

Wenn Microsoft bis heute abgewartet hätte, bis es eine 100% einbruchssicheres Build von Windows gibt um es zu veröffentlichen würden wir immernoch alle mit dem Rechenschieber arbeiten. Auf der einen Seite beschweren sich alle, dass in Deutschland nichts voran geht, auf der anderen Seite wird wo es nur geht gemeckert und blockiert, weil die Lösung nicht von Tag 1 an perfekt ist. Ich ertrage dieses Land nicht mehr.

Was ist daran schwurbeln? Es wird darüber gesprochen, was eigentlich abs

Es ist schwurbel, von wahlweise davon geredet wird, dass die Politik unter einem Vorwand an deine Daten kommen möchte oder Angst vor einem Datenzugriff durch die AfD bzw. deinem Arbeitgeber gemacht wird.

Ich könnte ja sogar noch Einwände verstehen, wenn wir aktuell ein sicheres und effizientes System hätten, aber @alle die hier in die Fundamentalopposition gegenüber der notwendigen Digitalisierung gehen:

Habt ihr eigentlich eine Ahnung, wie lächerlich im aktuellen System der Datenschutz funktioniert und wie gnadenlos einfach aktuell Gesundheitsdaten entwendet werden können?

Unser Gesundheitssystem ist eine knappe Resource, und wenn wir nicht endlich anfangen effizienter zu werden (und dazu gehört eine digitale Akte über alle Gesundheitseinrichtungen hinweg) wird das System zusammenbrechen.

 

[Surtur]

Kann jedem nur nahelegen da auszutreten. Wenn in 4 oder 8 Jahren die AFD an die Macht kommt möchte ich nicht, dass die Zugriff auf alle Gesundheitsdaten von mir und meiner Familie haben.

Warum? Meines Wissens war es nicht die Pöse AfD die Daten für die gute Pharma sammeln wollte. Oder?

 

[Pestplatte]

Ich finde es sooo schade!
ich hatte große Hoffnung in die epa. auch für mich selbst, dass ich berichte selbst erhalte und kontrollieren kann wer was sehen darf.
genau das funktioniert nicht, die sicherheitslücken sind für mich da nur das zweitschlimmste.
werde dann doch wohl erstmal widersprechen und hoffe dann doch noch auf ein happy-end. (obwohl ich es dem neuen gesundheitsminister nicht zutraue)

 

[Restart001]

AfD die Daten für die gute Pharma sammeln

Im Zweifelsfall wird eben an die verkauft.

 

[Krausetablette]

Natürlich, nur sollte sich jeder Arbeitgeber bewusst sein, wenn er für diverse Infos von Verbrechern - sage ich mal, bezahlt, er automatisch erpressbar sein wird.

Das stimmt natürlich. Aber was passiert, wenn für diese Daten gar kein Geld verlangt wird oder die Bundesregierung selbst erpresst wird? Was passiert, wenn bei unkooperativem Verhalten die Daten einfach veröffentlicht werden?

 

[Opa Hermie]

Jedes System ist hackbar. Dein Windows PC kann hackt und deine Festplatte ausgelesen werden, deine Schmuddelbilder können von deinem IPhone oder der Cloud entwendet werden etc.

Wenn Microsoft bis heute abgewartet hätte, bis es eine 100% einbruchssicheres Build von Windows gibt um es zu veröffentlichen würden wir immernoch alle mit dem Rechenschieber arbeiten. Auf der einen Seite beschweren sich alle, dass in Deutschland nichts voran geht, auf der anderen Seite wird wo es nur geht gemeckert und blockiert, weil die Lösung nicht von Tag 1 an perfekt ist. Ich ertrage dieses Land nicht mehr.

Dann wander' halt aus.

Wenn Mängel unter den Teppich gekehrt werden müssen, um die ePA auf Biegen und Brechen durchzudrücken, ist das etwas völlig anderes.

 

[TeaShirt]

Das Ding war doch von Anfang an eine Totgeburt.

Man darf nun auf den ersten großen 'nachweisbaren Daten Abfluss warten und dann wird das Teil eh dicht gemacht durch den folgenden shitstorm.

Habe schon Anfang des Jahres den Verein von der Kk bekommen und direkt widersprochen

Was geht es den Apotheker oder Zahnarzt an was ich für Operationen hatte und was meine psyche so ausmacht.

Von daher. Adios. An sich mochte ich Lauterbach. Aber das Ding hier ist ein übler Griff ins Klo.

Verstehe auch nicht wieso wir nicht einfach bestehende Systeme anderer Länder kopieren und wieder unser eigenes Ding machen müssen was von vorn bis hinten nicht zu Ende gedacht ist und eine ewige Baustelle bleiben wird die Millionen an Steuergelder verschwendet.

 

[meph!sto]

Weiß eigentlich jmd. wie das Thema Datensicherheit in anderen Ländern, die eine ePA bereits haben, gehandhabt wird ?
Oder wurde hier wieder was neues erfunden statt auf bestehende Lösungen zu setzen ?

 

[Spiczek]

Auf der einen Seite beschweren sich alle, dass in Deutschland nichts voran geht, auf der anderen Seite wird wo es nur geht gemeckert und blockiert, weil die Lösung nicht von Tag 1 an perfekt ist.

Du hast aber schon mitbekommen, dass da schon mehrere Jahre dran gearbeitet wird und der CCC nicht nur im Dezember 24, sondern schon Jahre vorher auf Lücken hingewiesen hat?

Die Gematik interessiert es halt nur nicht, da richtig was dran zu ändern.

Unser Gesundheitssystem ist eine knappe Resource, und wenn wir nicht endlich anfangen effizienter zu werden (und dazu gehört eine digitale Akte über alle Gesundheitseinrichtungen hinweg) wird das System zusammenbrechen.

Richtig, eine sehr knappe sogar! Dann sollte nicht sinnlos Geld für Nichteinzahler verpulvert werden oder sinnlose Kosten bezahlt werden, weil jemand meint, er müsse zum Wochenende seine Bauchschmerzen, seit ner Woche bestehend, jetzt in der Nacht mit dem RTW in die Notaufnahme zu bringen ist um das mal abklären zu lassen.

Eine ordentliche Digitalisierung ist da nur ein kleiner Teil und wird nicht sehr viel einsparen.

Versteh mich nicht falsch, ich würde die auch gerne nutzen, aber eben nicht zu diesen Bedingungen.

Und auch ich sehe es als Schwachsinn an, da wieder die AFD in Spiel zu bringen, sind die "Altparteien" nicht weniger schlimm oder korrupt.

 

[Opa Hermie]

Das Ding war doch von Anfang an eine Totgeburt.

Man darf nun auf den ersten großen nachweisbaren Datenabfluss warten und dann wird das Teil eh dicht gemacht durch den folgenden shitstorm.

Ich bin sicher, dass das eben nicht passieren wird.
Die Verantwortlichen werden das wie so oft bagatellisieren und der Großteil der Bevölkerung zuckt gleichgültig mit den Achseln, mit dem Motto: "betrifft mich nicht, ich habe doch eh nichts zu verbergen, die haben doch eh schon alles".

 

[rarp]

Das Problem ist aber auch das die Regierung unter Zugzwang ist weil der ganze Schlamassel dauert nun schon 20 Jahre seit Ankündigung.

Jo, endlose Ankündigungen und in all den Jahren nicht mal ansatzweise etwas, das auch nur einem Milestone ähnelt.

Ich frag mich aber auch warum gerade Lauterbach, der als einer der wenigen Fachlkundigen so ein Quatsch unterstützt.

Gute Frage.
Ich könnte mir vorstellen, dass er das noch irgendwie über die Ziellinie bringen will, bevor die Union wieder das Sagen hat und die komplette Legislaturperiode mit weiteren Ankündigungen verplempert. Zudem hat die kommende Gesundheitsministerin Nina Warken im Gegensatz zu Lauterbach gesundheitspolitisch genau Null Expertise, da wird wohl nicht viel zu erwarten sein.
Im Prinzip stehen wir zurzeit vor voreiliger Einführung oder Stillstand. Not happy.

 

[xPaRaNoiDx]

Wenn die Daten mal an Arbeitgeber gelangen, dann wird es richtig interessant!


Wir (4 Personen) haben z.B. nur ein einziges Schreiben mit Zugangsdaten bekommen, Login auf der Seite wegen falschen Daten nicht möglich und allein zum Nachweis per Empfangsbestätigung direkt bei der KK (20 km entfernt) abgegeben.



Es wird überall Geld aus dem Fenster geworfen, nicht nur beim System "Gesundheit"... Wie viel Kindergeld z.B. ins Ausland wandert, nur weil der Vati oder Mutti hier Sozialversicherungspflichtig arbeiten und z.B. 660 Brutto verdienen und den rest per 5 Euro/Stunde Bar auf die Hand.

Flüchtlinge die hier Hartz 4 bzw. Bürgergeld beantragen und dann sich nur 1x im Monat zum Geld abholen in Deutschland befinden oder es direkt einfach auf das Auslandskonto überweisen...


Aber bloß nicht ansprechen, sonst heißt es Querdenker und so ne?

 

[Stanzlinger]

Wenn Lauterbach sagt, die ist sicher, dann ist die sicher. Auch wenn es nicht stimmt. Zur Not benennt man sie einfach um in "sichere ePA" - dann kann die nie unsicher sein, weil es nun der Name ist ^^

 

[Beg1]

Richtig, eine sehr knappe sogar! Dann sollte nicht sinnlos Geld für Nichteinzahler verpulvert werden oder sinnlose Kosten bezahlt werden, weil jemand meint, er müsse zum Wochenende seine Bauchschmerzen, seit ner Woche bestehend, jetzt in der Nacht mit dem RTW in die Notaufnahme zu bringen ist um das mal abklären zu lassen.

Das System ist halt nicht fair, was du vorschlägst wird aber auch nicht funktionieren, gibt nämlich auch Leute wie mich, die nur für die Corona-Impfungen in den letzten 10 Jahren nen Arzt gesehen haben.

Zur ePa habe ich eigentlich keine starke Meinung, prinzipiell kann das System Leben retten oder auch zerstören, ein Opt-Out ist allerdings lächerlich, wenn man nicht für die Sicherheit der Daten garantiert.

 

[Olandos]

Gibt ja auch Krankheiten wo es dem Patienten Überwindung kostet überhaupt einen Facharzt aufzusuchen.
Beispiele wie Suchterkrankungen, pädophile Neigungen, paranoide schizophrene Vorkommen, Depressionen und so weiter.
Ich glaube nicht das er möchte das dann sein Zahnarzt denken könnte:
Oh ha, was sitzt da denn für ein pädohiler suchtkranker Psychopath in meinem Warteraum.

 

[Allan A7X]

Richtig, eine sehr knappe sogar! Dann sollte nicht sinnlos Geld für Nichteinzahler verpulvert werden oder sinnlose Kosten bezahlt werden, weil jemand meint, er müsse zum Wochenende seine Bauchschmerzen, seit ner Woche bestehend, jetzt in der Nacht mit dem RTW in die Notaufnahme zu bringen ist um das mal abklären zu lassen.

Vollste Zustimmung, bis entsprechende Grundgesetzänderungen durch sind warten wir aber nochmal 20 Jahre, das sag ich dir

Du hast aber schon mitbekommen, dass da schon mehrere Jahre dran gearbeitet wird und der CCC nicht nur im Dezember 24, sondern schon Jahre vorher auf Lücken hingewiesen hat?

Die Gematik interessiert es halt nur nicht, da richtig was dran zu ändern.

Nochmal, Lücken wird es immer geben. Du wirst auch in einem hypothetisch technisch einwandfreiem System am Ende einen korrupten Arzt finden der dir Zugang verschafft: Kein System ist unfehlbar.

Der CCC ist ein super Verein und leistet wichtige Arbeit, aber die ePA muss neben der Sicherheit auch andere Eigenschaften mitbringen: Usability, Implementierbarkeit in die verschiedenen KIS usw.

Wenn ich für einen Zugriff eine handsigniterte Notiz mit einer reinrassigen Brieftaube zur Verifikation a den CCC schicken muss ist die Akte zwar sicher, man kann sie aber genauso gut nicht einführen.

Kleiner Realitätscheck: Ich brauch das Ding eben nicht für die 35 jährige Patientin mit Nierenbeckenentzündung, die mir auch so sagen kann, dass sie nebenbei noch eine MS hat. Hier geht’s um die 89 jährige demente Oma Liese, die eben NICHT vor Ort dem Zugriff auf ihrem Smartphone mittels eigener PIN zustimmen kann, bevor ich einsehen kann welche Allergien, Dauermedikation und Vorerkrankungen zu berücksichtigen sind. Und wer mal in einer NFA in Deutschland gearbeitet hat weiß auch, dass der allgemeine IQ der sich vorstellenden Patienten unabhängig des Alters eher in Richtung von Oma Liese tendiert…

 

[Nuklon]

Ehrlicherweise war dies und der "Hack" davor kein Hack. Sie mussten nichts technisch umgehen, sie haben keine Lücken in der Software genutzt, sondern genau so, wie es der Arzt tun sollte und sie hatten glänzende Startbedingungen(connector, SMC-B).

Prinzipiell haben sie nichts anderes gemacht als ein wenig Social Engeneering für die SMC-B Passwörter und Ausnutzen vorhandener Strukturen. Es sind organisatorische Schwächen, die aber klar zur IT-Sicherheit gehören.

Jetzt noch die elektronische Ersatzbescheinigung für EPA zu kippen ist doch Quark. Müssen alle halt wieder zur Kasse laufen.

Grundübel war das man statt auf den POPP zu warten jetzt das VSDM+ vom eRezept genommen hat, dass man in der Praxis nicht mit Pin der Karte sondern nur mit Karte stecken in die EPA kommt. Geht man auf PIN zurück, sind fast alle Probleme der EPA weg.

Lustigerweise hat das nachfolgende Produkt POPP wieder wahnsinnig Missbrauchspotenzial, da jemand die PINs für das Ident anderen übergeben kann, wenn man dass innerhalb von 30 Sekunden Schafft. WhatsApp regelt.

 

[Restart001]

wenn man dass innerhalb von 30 Sekunden Schafft. WhatsApp regelt.

Wird eben eine Ersatz-KI drauf trainiert, die regelt das in Millisekunden.