Alle Beiträge von gesunde_daten

“Stoppt die e-Card!” – Unterstützergruppe Rhein Main: Einladung zum nächstes Treffen am 12. Februar um 19.00 Uhr in Frankfurt

Die “Stoppt die e-Card!” – Unterstützergruppe Rhein Main lädt ein zu ihrem nächsten Treffen am Mittwoch den 12.02.2020 um 19.00 Uhr in den Räumen des Entwicklungspolitischen Netzwerk Hessen e. V. (EPN), Vilbeler Str. 36, 60313 Frankfurt (4. Stock – Aufzug vorhanden). Der Veranstaltungsort ist von den S- und U-Bahn-Station Konstablerwache fußläufig erreichbar.

  • Sowohl der von Bundesgesundheitsminister Jens Spahn (CDU) unbeirrte weiter getriebene Digitalisierungs-Hype, der einerseits weitere und verschärfte Sanktionen gegen Ärzt*innen und Psychotherapeut*innen vorsieht, die die Anbindung ihrer Praxen an die Telematik-Infrastruktur ablehnen und andererseits den Schutz von Gesundheits- und Behandlungsdaten aufweichen soll bieten ausreichend Stoff zur Diskussion.
  • Die mangelnde Sicherheit der Telematik-Infrastruktur wurde beim CCC-Kongress Ende 2019 erneut schlaglichtartig deutlich und wirft Fragen auf.
  • Datenschutz und IT-Sicherheit im Gesundheitswesen ist Titel einer Anfrage der FDP-Bundestagsfraktion. Die Antwort der Bundesregierung gibt Einblicke in die „Baustelle TI“ und deren Mängel.
  • Die BundestagspetitionKeine zentrale Datenspeicherung sämtlicher Patientendaten / Anschluss von Arzt– und Psychotherapiepraxen an die Telematik-Infrastruktur (TI) nur auf freiwilliger Basis“ kann noch bis 16.01.2020 online unterzeichnet werden. Wie viele Menschen sie unterstützen, wird Aufschluss darüber geben, wie die TI-kritische Bewegung derzeit bundesweit aufgestellt ist.

“Stoppt die e-Card!” – Unterstützergruppe Rhein Main: Einladung zum nächstes Treffen am 12. Februar um 19.00 Uhr in Frankfurt weiterlesen

Keine Datenschutzfolgenabschätzung für die Telematikinfrastruktur: Gilt die DSGVO nicht für Bundesgesundheitsminister Spahn?

Am 19.11.2019 stellte die FDP-Bundestagsfraktion unter der Überschrift Datenschutz und IT-Sicherheit im Gesundheitswesen eine Anfrage an die Bundesregierung.

Die Antwort der Bundesregierung auf diese Anfrage hat es in sich. In der Vorbemerkung der Bundesregierung“ spiegelt sich das Prinzip Hoffnung wider: „Die Telematikinfrastruktur ist das sichere digitale Netz des Gesundheitswesens, in dem sensible Gesundheitsdaten sicher, verschlüsselt, einrichtungs- und sektorenübergreifend in Anwendungen der Telematikinfrastruktur gespeichert sowie zwischen bekannten Kommunikationspartnern ausgetauscht werden können. Wesentliche Kernanwendung der Telematikinfrastruktur zur Unterstützung der medizinischen Versorgung der Versicherten ist die elektronische Patientenakte.Datenschutz und Datensicherheit waren und sind zentrale Anforderungen an die Telematikinfrastruktur und die elektronische Patientenakte; der höchstmögliche Schutz der Gesundheitsdaten steht dabei im Mittelpunkt. Die dafür notwendigen technischen und organisatorischen Maßnahmen werden dabei dem Stand der Technik, aktuellen Bedrohungen sowie unter Berücksichtigung der Ergebnisse der Sicherheitsüberprüfungen angepasst.“

Ein Mantra, das schon wenige Tage später beim CCC-Kongress in Leipzig deutlich angekratzt wurde. Zeigte es sich doch, dass es nicht so weit her ist mit den „technischen und organisatorischen Maßnahmen“ zur Sicherung der TI vor unberechtigten Zugriffen.

Vor diesem Hintergrund hat Dr. Silke Lüder, stv. Vorsitzende der Freien Ärzteschaft e. V. und Sprecherin der Aktion: Stoppt die e-Card! am 13.01.2020 Stellung genommen zu den aktuellen Problemen in der Telematik-Infrastruktur. Diese Stellungnahme ist nachstehend in Auszügen veröffentlicht: Keine Datenschutzfolgenabschätzung für die Telematikinfrastruktur: Gilt die DSGVO nicht für Bundesgesundheitsminister Spahn? weiterlesen

Datenschutz und IT-Sicherheit im Gesundheitswesen – eine Anfrage der FDP-Bundestagsfraktion und die Antwort der Bundesregierung

Am 19.11.2019 stellte die FDP-Bundestagsfraktion unter Federführung des leider wenige Tage danach verstorbenen MdB Jimmy Schulz eine Anfrage an die Bundesregierung. Die Antwort der Bundesregierung auf diese Anfrage hat es in sich.

Die „Vorbemerkung der Bundesregierung“ zu dieser Anfrage spiegelt das Prinzip Hoffnung wider: „Die Telematikinfrastruktur ist das sichere digitale Netz des Gesundheitswesens, in dem sensible Gesundheitsdaten sicher, verschlüsselt, einrichtungs- und sektorenübergreifend in Anwendungen der Telematikinfrastruktur gespeichert sowie zwischen bekannten Kommunikationspartnern ausgetauscht werden können. Wesentliche Kernanwendung der Telematikinfrastruktur zur Unterstützung der medizinischen Versorgung der Versicherten ist die elektronische Patientenakte.Datenschutz und Datensicherheit waren und sind zentrale Anforderungen an die Telematikinfrastruktur und die elektronische Patientenakte; der höchstmögliche Schutz der Gesundheitsdaten steht dabei im Mittelpunkt. Die dafür notwendigen technischen und organisatorischen Maßnahmen werden dabei dem Stand der Technik, aktuellen Bedrohungen sowie unter Berücksichtigung der Ergebnisse der Sicherheitsüberprüfungen angepasst.“ Schon wenige Tage später wurden beim CCC-Kongress in Leipzig deutlich, dass es doch nicht so weit her ist mit den technischen und organisatorischen Maßnahmen“ zur Sicherung der TI vor unberechtigten Zugriffen.

Aber richtig spannend sind die Antworten auf die insgesamt 29 Fragen der FDP-Fraktion. Eine Auswahl: Datenschutz und IT-Sicherheit im Gesundheitswesen – eine Anfrage der FDP-Bundestagsfraktion und die Antwort der Bundesregierung weiterlesen

Mangelnde Sicherheit der Telematik-Infrastruktur: Offener Brief des Vorstands der Kassenärztlichen Vereinigung Bayern an Bundesgesundheitsminister Jens Spahn

Am 10.01.2019 hat sich die Kassenärztliche Vereinigung Bayern (KVB) – gestützt auf die beim CCC-Kongress im Dezember 2019 bekannt gewordenen Mängel bei der Sicherheit des Zugangs zur Telematik-Infrastruktur – mit einem Offenen Brief an Minister Spahn gewandt.Der Offene Brief ist in seiner Gesamtheit eine vernichtende Kritik an der Politik von Spahn (CDU), aber auch aller seiner Vorgänger*innen als Bundesgesundheitsminister*innen, die sich an der Digitalisierung des Gesundheitswesen durch Schaffung der gematik versucht haben.

Dieser Brief beginnt mit der Feststellung: „… mit größter Sorge haben wir von Seiten des Vorstands der Kassenärztlichen Vereinigung Bayerns aus die aktuellen Medienberichte vernommen, wonach es Mitgliedern des Chaos Computer Clubs gelungen ist, sich Zugangsberechtigungen für die Telematikinfrastruktur (TI) im Gesundheitswesen zu beschaffen. Die Tatsache, dass sich die IT-Sicherheitsexperten über Identitäten Dritter gültige Heilberufsausweise, Praxisausweise und Gesundheitskarten zusenden lassen konnten, ist die Krönung einer unglaublichen Serie von Pleiten und Pannen bei der Einführung der TI.“

Daraus folgend macht der KVB-Vorstand „ohne Anspruch auf Vollständigkeit“ eine Auflistung von Verfehlungen und Unzulänglichkeiten in Sachen TI: Mangelnde Sicherheit der Telematik-Infrastruktur: Offener Brief des Vorstands der Kassenärztlichen Vereinigung Bayern an Bundesgesundheitsminister Jens Spahn weiterlesen

Endspurt! Unterzeichnen sie die Bundestagspetition „Keine zentrale Datenspeicherung sämtlicher Patientendaten“ bis spätestens 16. Januar

Anfang September 2019 veröffentlichte eine Gruppe von bayrischen Ärzt*innen und Psychotherapeut*innen eine Petition an den Bundestag mit der Forderung Keine zentrale Datenspeicherung sämtlicher Patientendaten/Anschluss von Arzt- und Psychotherapiepraxen an die Telematik-Infrastruktur (TI) nur auf freiwilliger Basis“.

Mitte Dezember wurde die Petition auf der Homepage des Bundestags veröffentlicht. Sie kann noch bis incl. 16.01.2020 online unterzeichnet werden kann. Alternativ besteht auch noch immer die Möglichkeit, diese Petition in Papierform zu unterzeichnen. Die dazu notwendigen Unterlagen finden Sie hier und hier. Endspurt! Unterzeichnen sie die Bundestagspetition „Keine zentrale Datenspeicherung sämtlicher Patientendaten“ bis spätestens 16. Januar weiterlesen

Hessischer Hausärzteverband: BMG und gematik müssen volle Verantwortung übernehmen für Sicherheitsmängel der Telematikinfrastruktur

Die Sicherheitsmängel der Telematikinfrastruktur sind nicht hinnehmbar“, sagt Armin Beck, Vorsitzender des Hessischen Hausärzteverbandes. „Versuche, die Verantwortung des Bundesministerium für Gesundheit (BMG) und der gematik auf die Ärzte abzuschieben weisen wir zurück.“ Unter Verweis auf die beim CCC-Kongress Ende Dezember 2019 aufgedeckten Mängel und Schwachstellen im Zugang zur Telematik-Infrastruktur erklärt der Vorsitzende des Hessischen Hausärzteverbands weiter: „Strafen für die Verweigerer, die die eigenen Praxen nicht an die Telematikinfrastruktur anschließen wollen, sollten nach Aufdeckung der gravierenden Sicherheitsmängel nicht weiter erhoben werden“. Hessischer Hausärzteverband: BMG und gematik müssen volle Verantwortung übernehmen für Sicherheitsmängel der Telematikinfrastruktur weiterlesen

CCC diagnostiziert Schwachstellen im deutschen Gesundheitsnetzwerk

Hackern des Chaos Computer Club ist es gelungen, sich Zugangsberechtigungen für das sogenannte Telematik-Netzwerk zu verschaffen. An das Netz sind über 115.000 Praxen angeschlossen. Über das System sollen in naher Zukunft verpflichtend digitale Patientendaten und elektronische Rezepte ausgetauscht werden.

CCC-Sicherheitsforschern ist es gelungen, sich gültige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten auf die Identitäten Dritter zu verschaffen. Mit diesen Identitäten konnten sie anschließend auf Anwendungen der Telematik-Infrastruktur und Gesundheitsdaten von Versicherten zugreifen. Die Hacker stellten grobe Mängel in den Zugangsprozessen fest, und demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten erschleichen können. Im Falle der eGK gelang dies bereits zum wiederholten Male.

Die Diagnose

  • Bei Ausgabe der Praxisausweise (SMC B) wurde auf eine Identifikation des Antragstellers vollständig verzichtet. Ein Angreifer kann so Befunde lesen und selbst gefälschte Dokumente in Umlauf bringen. Mit Einführung der elektronischen Patientenakte kann der Angreifer die vollständigen Inhalte der für diese Praxis freigegebenen Patientenakten einsehen.
  • Bei Ausgabe der elektronischen Heilberufsausweise (HBA) kommen völlig ungeeignete Identifikationsverfahren zum Einsatz. Angreifer im Besitz eines eHBA können damit nicht nur Rezepte, sondern beliebige Dokumente signieren.
  • Bei Ausgabe der elektronischen Gesundheitskarte (eGK) kommen für die Identifikation des Antragstellers ebenfalls völlig ungeeignete Verfahren zum Einsatz. Mit der eGK ist schon jetzt der Zugriff auf die jeweiligen Patientenquittungen möglich, in der die durchgeführten ärztlichen Leistungen verzeichnet sind. Schon in naher Zukunft soll mit Hilfe der eGK ein Zugriff auf den elektronischen Medikationsplan und den Notfalldatensatz sowie die elektronische Patientenakte ermöglicht werden.

Die Ergebnisse präsentiert der CCC-Sicherheitsexperte Martin Tschirsich zusammen mit dem Arzt Christian Brodowski und dem Experten für Identitätsmanagement André Zilch beim diesjährigen Chaos Communication Congress (36C3) in Leipzig. Der Vortrag ist unter media.ccc.de verfügbar.

Die Ursachen

  • Das Konstrukt der gematik: Die Gesellschafter der gematik sind gleichzeitig von der gematik zu kontrollierenden Unternehmen.
  • Nachlässigkeit: Vernachlässigung der Sicherheit organisatorischer Abläufe bei Umsetzung und Zulassung.
  • Mangelnde Prüfung: Relevante Prozessschritte wurden nicht durch die gematik geprüft.
  • Verantwortungsdiffusion bei den beteiligten Unternehmen und Institutionen: Nicht nur im Bundesministerium für Gesundheit sprach man hinter vorgehaltener Hand von “organisierter Verantwortungslosigkeit”, weil die beteiligten Unternehmen sich gegenseitig die Schuld für Probleme zuschoben.

Der CCC verschreibt

  • Schadensbegrenzung: Die gematik muss jetzt prüfen, inwieweit unberechtigte Zulassungen entzogen und falsch ausgestellte Zertifikate zurückgenommen werden müssen.
  • Zuverlässige Kartenbeantragungs- und herausgabeprozesse: Beantragung, Identifikation und Ausgabe müssen entsprechend dem Schutzbedarf von Gesundheits- und Sozialdaten durchgeführt werden.
  • Volle Umsetzung der eGK als Identitätsnachweis.
  • Neuplanung und saubere Implementierung der Prozesse die zur Ausstellung von eGK, HBA und SMC-B führen sowie Kontrolle der Umsetzung.
  • Organisierte Verantwortung statt organisierter Verantwortungslosigkeit: Eine unabhängige zentrale Stelle sollte für die Informationssicherheit der Telematikinfrastruktur verantwortlich sein. Diese Stelle sollte Prozesse nicht nur vorgeben, sondern auch ihre ordnungsgemäße Umsetzung unabhängig prüfen.

Wir wünschen dem deutschen Gesundheitswesen eine schnelle Genesung!

Quelle: Chaos Computer Club, 27.12.2019


Und die @gematik1 “wünscht Ihnen… ein glückliches, gesundes und erfolgreiches neues Jahr!”

Da freuen wir uns aber – und das ganz dolle!

IT-Sicherheitsanalyst Martin Tschirsich im Interview zu Gesundheits-Apps und elektronischer Patientenakte: „Sicherheitslücken finden sich eigentlich auf allen Ebenen“

Martin Tschirsich hat auf 35. CCC-Kongress im Dezember 2018 in einen Vortrag unter dem Titel „All Your Gesundheitsakten Are Belong To Us“ aufgezeigt, wie leicht angreifbar Gesundheits-Apps und andere digitale Dienste sind. In einem lesenswerten Interview mit dem Internet-Magazin MedWatch beantwortete er im Oktober 2019 Fragen zu Datenschutz bei Gesundheits-Apps und Datensicherheit bei den Digitalisierungs-Plänen von Bundesgesundheitsminister Jens Spahn (CDU).

Zwei Auszüge: IT-Sicherheitsanalyst Martin Tschirsich im Interview zu Gesundheits-Apps und elektronischer Patientenakte: „Sicherheitslücken finden sich eigentlich auf allen Ebenen“ weiterlesen

Unterzeichnen Sie die Bundestagspetition “Gesundheitsdaten in Gefahr”! Veröffentlicht auf der Homepage des Bundestags

Am 19.12.2019 wurde die Bundestagspetition „Gesundheitsdaten in Gefahr“ freigeschaltet. Unter diesem Link kann die Petition nun bis incl. 16.01.2020 online gezeichnet werden. Ziel ist es, neben den rund 38.000 Unterschriften, die bisher in Papierform vorliegen, noch mindestens 12.000 weitere Unterzeichner*innen der Petition zu gewinnen. Denn mit mehr als 50.000 Unterstützer*innen eröffnet sich die Möglichkeit, dass die Verfasser*innen der Petition in einer öffentlichen Sitzung des Petitionsausschusses zu Wort kommen und den Bundestagsabgeordneten ihre Kritik an der Telematik-Infrastruktur vortragen können. Unterzeichnen Sie die Bundestagspetition “Gesundheitsdaten in Gefahr”! Veröffentlicht auf der Homepage des Bundestags weiterlesen

Bundestagspetition “Gesundheitsdaten in Gefahr” wird in Kürze zur Unterzeichnung auf der Homepage des Bundestags veröffentlicht – Ziel: Mindestens 50.000 Unterzeichner*innen

Dr. Andreas Meißner, einer der Sprecher der Initiative „Freiheit für 1%(jetzt: „Gesundheitsdaten in Gefahr! Bündnis für Datenschutz und Schweigepflicht“), einer politisch und berufsverbandsunabhängigen sowie fachgebietsübergreifenden Initiative von Ärzten und Psychotherapeuten mit Schwerpunkt im Raum München, hat in einer Rundmail vom 18.12.2019 mitgeteilt:

Liebe TI-Kritiker in Verbänden und Datenschutzinitiativen,

nach längerer Wartezeit wird nun die Petition “Gesundheitsdaten in Gefahr” in Kürze von Petitionsausschuss freigeschaltet! Bundestagspetition “Gesundheitsdaten in Gefahr” wird in Kürze zur Unterzeichnung auf der Homepage des Bundestags veröffentlicht – Ziel: Mindestens 50.000 Unterzeichner*innen weiterlesen