Blog, Telematik-Infrastruktur

Fallstricke und Risiken des Anschlusses von Arztpraxen an die Telematik-Infrastruktur

Ein Kommentar
  • ‚Telematik-Infrastruktur“
  • „Konnektor“
  • „paralleler Anschluss“
  • „serieller Anschluss“ –

– das sind Begriffe, die man als Ärzt*in und Psychotherapeut*in mittlerweile zwar kennt, aber nicht oder nicht in vollem Umfang versteht.

Auf der Homepage des hessischen Hausärzteverbands wurde dazu ein Beitrag des Wiesbadener Hausarztes Christian Sommerbrodt veröffentlicht, der sich mit den Fallstricken und Risiken des Anschlusses von Arztpraxen an die Telematik-Infrastruktur beschäftigt. Obwohl der Beitrag bereits am 26.05.2019 veröffentlicht wurde ist er immer noch aktuell und informiert Ärzt*innen und Psychotherapeut*innen, die keine IT-Spezialist*innen sind (vermutlich die weit überwiegende Mehrzahl), in auch für technische Laien verständlicher Sprache über den Anschluss eines Konnektor im IT-System einer Arztpraxis und die Folgen, die daraus entstehen (können).

Blog, Telematik-Infrastruktur

CCC diagnostiziert Schwachstellen im deutschen Gesundheitsnetzwerk

2 Kommentare

Hackern des Chaos Computer Club ist es gelungen, sich Zugangsberechtigungen für das sogenannte Telematik-Netzwerk zu verschaffen. An das Netz sind über 115.000 Praxen angeschlossen. Über das System sollen in naher Zukunft verpflichtend digitale Patientendaten und elektronische Rezepte ausgetauscht werden.

CCC-Sicherheitsforschern ist es gelungen, sich gültige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten auf die Identitäten Dritter zu verschaffen. Mit diesen Identitäten konnten sie anschließend auf Anwendungen der Telematik-Infrastruktur und Gesundheitsdaten von Versicherten zugreifen. Die Hacker stellten grobe Mängel in den Zugangsprozessen fest, und demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten erschleichen können. Im Falle der eGK gelang dies bereits zum wiederholten Male.

Die Diagnose

  • Bei Ausgabe der Praxisausweise (SMC B) wurde auf eine Identifikation des Antragstellers vollständig verzichtet. Ein Angreifer kann so Befunde lesen und selbst gefälschte Dokumente in Umlauf bringen. Mit Einführung der elektronischen Patientenakte kann der Angreifer die vollständigen Inhalte der für diese Praxis freigegebenen Patientenakten einsehen.
  • Bei Ausgabe der elektronischen Heilberufsausweise (HBA) kommen völlig ungeeignete Identifikationsverfahren zum Einsatz. Angreifer im Besitz eines eHBA können damit nicht nur Rezepte, sondern beliebige Dokumente signieren.
  • Bei Ausgabe der elektronischen Gesundheitskarte (eGK) kommen für die Identifikation des Antragstellers ebenfalls völlig ungeeignete Verfahren zum Einsatz. Mit der eGK ist schon jetzt der Zugriff auf die jeweiligen Patientenquittungen möglich, in der die durchgeführten ärztlichen Leistungen verzeichnet sind. Schon in naher Zukunft soll mit Hilfe der eGK ein Zugriff auf den elektronischen Medikationsplan und den Notfalldatensatz sowie die elektronische Patientenakte ermöglicht werden.

Die Ergebnisse präsentiert der CCC-Sicherheitsexperte Martin Tschirsich zusammen mit dem Arzt Christian Brodowski und dem Experten für Identitätsmanagement André Zilch beim diesjährigen Chaos Communication Congress (36C3) in Leipzig. Der Vortrag ist unter media.ccc.de verfügbar.

Die Ursachen

  • Das Konstrukt der gematik: Die Gesellschafter der gematik sind gleichzeitig von der gematik zu kontrollierenden Unternehmen.
  • Nachlässigkeit: Vernachlässigung der Sicherheit organisatorischer Abläufe bei Umsetzung und Zulassung.
  • Mangelnde Prüfung: Relevante Prozessschritte wurden nicht durch die gematik geprüft.
  • Verantwortungsdiffusion bei den beteiligten Unternehmen und Institutionen: Nicht nur im Bundesministerium für Gesundheit sprach man hinter vorgehaltener Hand von „organisierter Verantwortungslosigkeit“, weil die beteiligten Unternehmen sich gegenseitig die Schuld für Probleme zuschoben.

Der CCC verschreibt

  • Schadensbegrenzung: Die gematik muss jetzt prüfen, inwieweit unberechtigte Zulassungen entzogen und falsch ausgestellte Zertifikate zurückgenommen werden müssen.
  • Zuverlässige Kartenbeantragungs- und herausgabeprozesse: Beantragung, Identifikation und Ausgabe müssen entsprechend dem Schutzbedarf von Gesundheits- und Sozialdaten durchgeführt werden.
  • Volle Umsetzung der eGK als Identitätsnachweis.
  • Neuplanung und saubere Implementierung der Prozesse die zur Ausstellung von eGK, HBA und SMC-B führen sowie Kontrolle der Umsetzung.
  • Organisierte Verantwortung statt organisierter Verantwortungslosigkeit: Eine unabhängige zentrale Stelle sollte für die Informationssicherheit der Telematikinfrastruktur verantwortlich sein. Diese Stelle sollte Prozesse nicht nur vorgeben, sondern auch ihre ordnungsgemäße Umsetzung unabhängig prüfen.

Wir wünschen dem deutschen Gesundheitswesen eine schnelle Genesung!

Quelle: Chaos Computer Club, 27.12.2019

Und die @gematik1 „wünscht Ihnen… ein glückliches, gesundes und erfolgreiches neues Jahr!“

Da freuen wir uns aber – und das ganz dolle!

Blog

IT-Sicherheitsanalyst Martin Tschirsich im Interview zu Gesundheits-Apps und elektronischer Patientenakte: „Sicherheitslücken finden sich eigentlich auf allen Ebenen“

Schreibe einen Kommentar

Martin Tschirsich hat auf 35. CCC-Kongress im Dezember 2018 in einen Vortrag unter dem Titel „All Your Gesundheitsakten Are Belong To Us“ aufgezeigt, wie leicht angreifbar Gesundheits-Apps und andere digitale Dienste sind. In einem lesenswerten Interview mit dem Internet-Magazin MedWatch beantwortete er im Oktober 2019 Fragen zu Datenschutz bei Gesundheits-Apps und Datensicherheit bei den Digitalisierungs-Plänen von Bundesgesundheitsminister Jens Spahn (CDU).

Zwei Auszüge: IT-Sicherheitsanalyst Martin Tschirsich im Interview zu Gesundheits-Apps und elektronischer Patientenakte: „Sicherheitslücken finden sich eigentlich auf allen Ebenen“ weiterlesen

Blog

Bundesverband der Deutschen Industrie (BDI) fordert unentgeltliche „Datenspende“ von Patient*innen

Ein Kommentar

Das Handelsblatt meldet am 23.12.2019: Die Datenspende muss ein Bestandteil des zweiten Digitale-Versorgung-Gesetzes sein, welches das Bundesgesundheitsministerium Anfang 2020 vorlegen will. Ähnlich der Blut- oder Organspende ließen sich durch eine Datenspende eine Vielzahl von Menschenleben retten“, erklärte Iris Plöger, Mitglied der Hauptgeschäftsführung des Bundesverbands der Deutschen Industrie (BDI).

Mit der Möglichkeit der Spende könnten Patienten freiwillig und unentgeltlich ihre Daten der Forschung zur Verfügung stellen, damit anhand eines Datenpools neue Medikamente entwickelt oder Künstliche Intelligenzen (KI) trainiert werden könnten“ zitier das Handelsblatt aus „Digital Patient Journey Oncology“, einer bisher öffentlich nicht zugänglichen Stellungnahme des BDI.

Schöner kann man es nicht formulieren: Die Patient*innen als Melkkühe der Pharma- und der IT-Gesundheitsindustrie. Danke der Nachfrage; Nein!

Blog

Diagnose: informationell erkrankt

Schreibe einen Kommentar

Erweiterter Gesundheitsbegriff macht informationelle Verletzungen anschaulich

Dr. Stefan Streit, Hausarzt aus Köln, schlägt vor, das etablierte bio-psycho-soziale Krankheitsmodell um informationelle Erkrankungen zu ergänzen. Dieses erweiterte Krankheits- bzw. Gesundheitsverständnis basiert auf folgendem Grundgedanken: Gesundheitsinformationen sind derart untrennbar mit der Person verbunden, dass sie als Persönlichkeitsanteil und ihre Unversehrtheit als Teil der Gesundheit begriffen werden sollten. Oder wie Streit (in einem Kurzvortrag beim Jahreskongress des Chaos Computer Clubs 2018) formulierte: „Wenn das, was andere über mich wissen, mich beschädigt, dann bin ich informationell erkrankt.“ Diagnose: informationell erkrankt weiterlesen

Blog

Londoner Apotheke nach „unvorsichtiger“ Speicherung von Patientendaten zu einem Bußgeld von 322.000 € verurteilt

Ein Kommentar

Der Information Commissioner (IC), der behördliche Datenschutzbeauftragte in Großbritannien, veröffentlichte am 20.12.2019 diese Nachricht

Das Information Commissioner’s Office (ICO) hat eine in London ansässige Apotheke mit einer Geldstrafe von £ 275.000 [322.721 €] belegt, weil sie es versäumt hat, die Sicherheit von Daten spezieller Kategorien zu gewährleisten. Die Doorstep Dispensaree Ltd, die Medikamente an Kunden und Pflegeheime liefert, hat rund 500.000 Dokumente in unverschlossenen Behältern auf der Rückseite ihres Betriebsgeländes… hinterlassen. Die Dokumente enthielten Namen, Adressen, Geburtsdaten, NHS-Nummern, medizinische Informationen und Rezepte, die einer unbekannten Anzahl von Personen gehörten. Londoner Apotheke nach „unvorsichtiger“ Speicherung von Patientendaten zu einem Bußgeld von 322.000 € verurteilt weiterlesen

Blog, Telematik-Infrastruktur

Unterzeichnen Sie die Bundestagspetition “Gesundheitsdaten in Gefahr”! Veröffentlicht auf der Homepage des Bundestags

Ein Kommentar

Am 19.12.2019 wurde die Bundestagspetition „Gesundheitsdaten in Gefahr“ freigeschaltet. Unter diesem Link kann die Petition nun bis incl. 16.01.2020 online gezeichnet werden. Ziel ist es, neben den rund 38.000 Unterschriften, die bisher in Papierform vorliegen, noch mindestens 12.000 weitere Unterzeichner*innen der Petition zu gewinnen. Denn mit mehr als 50.000 Unterstützer*innen eröffnet sich die Möglichkeit, dass die Verfasser*innen der Petition in einer öffentlichen Sitzung des Petitionsausschusses zu Wort kommen und den Bundestagsabgeordneten ihre Kritik an der Telematik-Infrastruktur vortragen können. Unterzeichnen Sie die Bundestagspetition “Gesundheitsdaten in Gefahr”! Veröffentlicht auf der Homepage des Bundestags weiterlesen

Blog

Offener Brief von vier Kliniken aus Niedersachsen: Krankenkassen verweigern sich der IT-Sicherheit in Krankenhäusern

Schreibe einen Kommentar

Die Leitungen von vier niedersächsischen Kliniken haben in einem Offenen Brief massive Kritik daran geübt, dass die Vertreter*innen der Krankenkassen im Krankenhausplanungsausschuss des Landes Niedersachsen verhindert haben, dass die vier Kliniken finanzielle Unterstützung bei der Modernisierung ihrer Informationstechnik (IT) erhalten.

Im Offenen Brief wird auf die Gefahren für die IT der Krankenhäuser verwiesen: Hackerangriffe auf Computernetzwerke, von denen in Rheinland-Pfalz und im Saarland sowie aktuell in Fürth auch bereits Kliniken betroffen waren, sind klare Warnsignale und zeigen, wie dringlich die Investitionen sind. Fälle wie diese führen sehr eindrucksvoll vor Augen, wie abhängig die Patientenversorgung von einer sicheren IT ist und wie wichtig Maßnahmen zum Schutz sensibler Patientendaten sind.“ Offener Brief von vier Kliniken aus Niedersachsen: Krankenkassen verweigern sich der IT-Sicherheit in Krankenhäusern weiterlesen

Blog

Wer macht was mit meinen Daten? – Orientierungshilfe zum Recht auf Auskunft nach der Datenschutz-Grundverordnung

Schreibe einen Kommentar

„Wer macht was mit meinen Daten?“ – Diese Frage stellen sich viele Menschen. Antwort erhält, wer fragt: Art. 15 Datenschutz-Grundverordnung (DSGVO) räumt das Recht auf Auskunft gegenüber allen Stellen ein, die personenbezogene Daten erheben, verarbeiten und speichern.

Der Bayerische Landesbeauftragte für den Datenschutz hat aktuell zu Art. 15 DSGVO eine umfangreichen Orientierungshilfe „Das Recht auf Auskunft nach der Datenschutz-Grundverordnungveröffentlicht. Im Vorwort dieser Veröffentlichung wird ihr Nutzwert erläutert:

Die vorliegende Orientierungshilfe erläutert Art. 15 DSGVO. Sie geht aber auch auf ausgewählte nationale Bestimmungen ein, die Anspruchshindernisse vorsehen oder sonst für die Verwirklichung dieser Vorschrift von Bedeutung sind. Erörtert werden in diesem Rahmen insbesondere Bestimmungen aus dem Bayerischen Datenschutzgesetz (BayDSG) sowie aus dem Zehnten Buch Sozialgesetzbuch – Sozialverwaltungsverfahren und Sozialdatenschutz – (SGB X)… Wer macht was mit meinen Daten? – Orientierungshilfe zum Recht auf Auskunft nach der Datenschutz-Grundverordnung weiterlesen

Blog

DGB kritisiert Entwurf des Bundesgesundheitsministeriums für ein Fairer-Kassenwettbewerb-Gesetz

Schreibe einen Kommentar

Am 18.12.2019 hat der Gesundheitsausschuss des Bundestags über das so genannte Fairer-Kassenwettbewerb-Gesetz aus dem Bundesgesundheitsministerium beraten. Annelie Buntenbach, Mitglied des Bundesvorstands des Deutschen Gewerkschaftsbundes (DGB) erklärte aus diesem Anlass:

Schlechte Ideen scheinen im Gesundheitsministerium Konjunktur zu haben. Anders ist nicht zu erklären, weshalb Gesundheitsminister Spahn immer wieder und im direkten Widerspruch zum Koalitionsvertrag die Soziale Selbstverwaltung attackiert. Diesmal soll der Verwaltungsrat des GKV-Spitzenverbandes geschrumpft werden, während gleichzeitig ein neuer Ausschuss aus hauptamtlichen Kassenvorständen mit absurd umfangreichen Kompetenzen gebildet werden soll. DGB kritisiert Entwurf des Bundesgesundheitsministeriums für ein Fairer-Kassenwettbewerb-Gesetz weiterlesen

Patientenrechte und Datenschutz e.V.