So titelt die Wirtschaftwoche am 21. Februar. Weiter geht es im Artikel mit dem Zitat der Antwort des Bundesgesundheitsministeriums auf eine kleine Anfrage der Grünen: „Ob und inwieweit es sich bei den Verfahren um konzeptionell unsichere Verfahren handelt oder ob und inwieweit mangelhafte Anwendung vorhandener Sicherheitsmaßnahmen vorliegt, ist gegenwärtig in der Prüfung.“ Spahn bei sensiblen Daten unwissend weiterlesen
Schlagwort-Archive: Jens Spahn
Kassenzahnärztliche Vereinigung Bayern fordert „Jens Spahn sollte jetzt die Notbremse ziehen“ – Aufschub für die elektronische Patientenakte
Angesichts neuer Sicherheitslücken in deutschen Arztpraxen fordert die Kassenzahnärztliche Vereinigung Bayerns (KZVB), die elektronische Patientenakte (ePA) nicht wie geplant zum 01.01.2021 einzuführen. In einer Pressemitteilung vom 13.02.2020 erklärt die KZVB: „…Mithilfe einer speziellen, aber offen im Netz verfügbaren Suchmaschine können Sicherheitslücken von ans Internet angebundenen Praxisrechnern ohne großen Aufwand entdeckt werden. Für Profis seien die Passwörter der Praxen leicht zu knacken. Der Handel mit Patientendaten sei längst zu einem lukrativen Markt geworden. Bis zu 2000 Euro würden für eine Patientenakte angeboten. ‚Dieses Beispiel zeigt, dass die IT-Infrastruktur in vielen deutschen Arzt- und Zahnarztpraxen noch nicht ausreichend gegen Hackerangriffe geschützt ist. Das wird auch am 1. Januar 2021 nicht der Fall sein. Es ist deshalb nicht zu verantworten, die Daten von über 70 Millionen gesetzlich versicherten Patienten ab diesem Zeitpunkt zentral zu speichern. Etwas Besseres kann der Hacker-Branche gar nicht passieren‘, so Dr. Manfred Kinner, der innerhalb des Vorstands der KZVB für den Bereich Telematik zuständig ist… ‚Die TI ist im Moment so löchrig wie ein Schweizer Käse. Die Praxen brauchen mehr Zeit, um ihre IT an den Stand der Technik anzupassen. Hier muss der Grundsatz ‚Sicherheit vor Schnelligkeit‘ gelten. Die ePA hat im zahnärztlichen Bereich zudem kaum Vorteile und birgt viele Risiken in sich. Der ehrgeizige Bundesgesundheitsminister Jens Spahn sollte endlich einsehen, dass sein Prestigeprojekt technisch unausgereift ist und die Notbremse ziehen‘, so Kinner.“
Offener Brief von Psychotherapeut*innen an Berufsverbände, Kassenärztliche Vereinigungen und Kammern der Psychotherapeut*innen: „Wir fordern klare Worte und Taten für den Datenschutz!“
Eine überregionale und verbandsübergreifende Arbeitsgruppe von Psychotherapeut*innen hat sich in einem Offenen Brief an Berufsverbände von Psychotherapeut*innen, Kassenärztliche Vereinigungen und Kammern der Psychotherapeut*innen und von diesen „klare Worte und Taten für den Datenschutz“ gefordert.
Die Verfasser*innen erklären: „Nach einer erschreckenden, nicht enden wollenden Pannenserie im Zusammenhang mit der sog. ‚Telematik-Infrastruktur des Gesundheitswesens‘ (TI) fordern wir alle Vertreter*innen der Psychotherapeut*innen in Kammern, KVen und Berufsverbänden sowie die Politik energisch auf, sich vehement für den Datenschutz in der TI und für Eindeutigkeit in der Gesetzgebung einzusetzen… Der aktuelle Entwurf des PDSG (das sogenannte Patienten-Datenschutz-Gesetz) der wie zuvor das DVG (das Digitale-Versorgung-Gesetz) in Windeseile durch den Bundestag gebracht werden soll, wirft zusätzlich viele neue Fragen auf, bevor die bestehenden beantwortet sind. Auch uns geht es darum, die EDV-Rahmenbedingungen unserer Arbeit sinnvoll weiterzuentwickeln. Doch das benötigt unsere Expertise und keine gesetzgeberischen Temporekorde! … Wir wollen und müssen als Psychotherapeut*innen die gesetzliche Schweigepflicht respektieren, doch die neuen Gesetze zur vernetzten Digitalisierung im Gesundheitswesen machen uns dies fast unmöglich und stehen dazu im Konflikt.Von unseren Kammern, den Berufsverbänden und den KVen fordern wir, sich endlich entschieden gegen eine Politik aufzustellen, die die wertvollen Gesundheitsdaten der Bürger*innen gratis an zentrale Server liefern möchte, auf denen der Schutz vor den Begehrlichkeiten der TI-Lobbyisten und auch der staatlichen Kontrolle nicht mehr gewährleistet ist.“
Daran anschließend machen die Verfasser*innen des Offenen Briefs in 16 Punkten deutlich, welche Erwartungen sie in diesem Zusammenhang an ihre berufsständischen Vertreter*innen und Verbände haben.
Am Ende ihres Offenen Briefs stellen die Verfasser*innen fest: „Digitalisierung muss dem Menschen dienen, nicht umgekehrt! Die eingesetzte Technik muss so sicher wie resilient gegen technische Störungen, Ausfälle und böswillige Angriffe sein. Bisher erfüllt die TI diese grundlegenden Anforderungen nicht. Fordern Sie das bitte gemeinsam mit uns ein!“
Die Arbeitsgruppe TI-Datenschutz (vertreten durch Hildegard Huschka, Christine Laufersweiler-Plass, Gabriele Späh und Günter Steigerwald) ruft die Psychotherapeut*innen in Deutschland dazu auf, den Offenen Brief zu unterstützen und zu unterzeichnen.
Sie erreichen die Arbeitsgruppe TI-Datenschutz per Mail unter ag.datenschutz [at] gmail.com.
Weiteres Bündnis für Patientendatenschutz im Gesundheitswesen gebildet
Am 25.01.2020 trafen sich in Kassel Vertreter*innen von mehr als 20 Verbänden und Initiativen, die sich – tw. schon seit einigen Jahren – mit den Risiken und Nebenwirkungen der elektronischen Gesundheitskarte, der Telematik-Infrastruktur (TI ) und der elektronischen Patientenakte auseinandersetzen.
In einer Pressemitteilung des Bündnisses werden folgende Ziele benannt:
- „Schutz der Patientenrechte bezüglich Privatsphäre und Datenschutz in Einklang mit der EU-Menschenrechtskonvention,
- Verteidigung des Grundrechts auf informationelle Selbstbestimmung,
- Erhalt der Freiwilligkeit statt Zwang,
- Verteidigung des jahrhundertealten ethischen Prinzips des Berufsgeheimnisses.“
Weiteres Bündnis für Patientendatenschutz im Gesundheitswesen gebildet weiterlesen
“Patientendatenschutz”-Gesetz (Entwurf) von Bundesgesundheitsminister Jens Spahn – hier zum nachlesen und bewerten
Der Referentenentwurf des Bundesministeriums für Gesundheit für ein “Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutzgesetz – PDSG)” wird seit 48 Stunden in den Medien besprochen und von einschlägigen Lobbyisten aus der IT-Gesundheitsindustrie über der grünen Klee gelobt. Sie sind von Bundesgesundheitsminister Jens Spahn (CDU) informiert worden. Die davon betroffenen, das gemeine Volk – immerhin 70 Mio. gesetzlich versicherte Menschen in Deutschland – wurden vom Minister nicht über seine Pläne unterrichtet.
Aber inzwischen ist der Gesetzentwurf für alle interessierten Menschen zugänglich: Hier.
- Lesen Sie selbst, was Jens Spahn mit Ihnen und Ihren Gesundheits- und Behandlungsdaten vorhat!
- Bilden Sie sich eine eigene Meinung!
- Und geben Sie diese kund! – z. B. durch einen Kommentar auf dieser Homepage.
Zaghafter „Protest“ gegen Zwangsanschluss an die Telematik-Infrastruktur: Offener Brief des Psychotherapeutenverband bvvp an Bundesgesundheitsminister Spahn
„Wir fordern Sie daher auf, die Durchführung von §291 SGB V Abs. 2b auszusetzen und Kolleginnen und Kollegen, die aktuell nicht an die TI angeschlossen sind nicht mehr mit einem Honorarabzug zu belegen, mindestens so lange nicht, bis alle Komponenten der Telematik-Infrastruktur wieder lieferbar sind.“ Mit diesem Satz endet ein Offener Brief des Bundesverbands der Vertragspsychotherapeuten e. V. (bvvp) an Bundegesundheitsminister Jens Spahn (CDU). Zaghafter „Protest“ gegen Zwangsanschluss an die Telematik-Infrastruktur: Offener Brief des Psychotherapeutenverband bvvp an Bundesgesundheitsminister Spahn weiterlesen
Keine Datenschutzfolgenabschätzung für die Telematikinfrastruktur: Gilt die DSGVO nicht für Bundesgesundheitsminister Spahn?
Am 19.11.2019 stellte die FDP-Bundestagsfraktion unter der Überschrift „Datenschutz und IT-Sicherheit im Gesundheitswesen“ eine Anfrage an die Bundesregierung.
Die Antwort der Bundesregierung auf diese Anfrage hat es in sich. In der „Vorbemerkung der Bundesregierung“ spiegelt sich das Prinzip Hoffnung wider: „Die Telematikinfrastruktur ist das sichere digitale Netz des Gesundheitswesens, in dem sensible Gesundheitsdaten sicher, verschlüsselt, einrichtungs- und sektorenübergreifend in Anwendungen der Telematikinfrastruktur gespeichert sowie zwischen bekannten Kommunikationspartnern ausgetauscht werden können. Wesentliche Kernanwendung der Telematikinfrastruktur zur Unterstützung der medizinischen Versorgung der Versicherten ist die elektronische Patientenakte.Datenschutz und Datensicherheit waren und sind zentrale Anforderungen an die Telematikinfrastruktur und die elektronische Patientenakte; der höchstmögliche Schutz der Gesundheitsdaten steht dabei im Mittelpunkt. Die dafür notwendigen technischen und organisatorischen Maßnahmen werden dabei dem Stand der Technik, aktuellen Bedrohungen sowie unter Berücksichtigung der Ergebnisse der Sicherheitsüberprüfungen angepasst.“
Ein Mantra, das schon wenige Tage später beim CCC-Kongress in Leipzig deutlich angekratzt wurde. Zeigte es sich doch, dass es nicht so weit her ist mit den „technischen und organisatorischen Maßnahmen“ zur Sicherung der TI vor unberechtigten Zugriffen.
Vor diesem Hintergrund hat Dr. Silke Lüder, stv. Vorsitzende der Freien Ärzteschaft e. V. und Sprecherin der Aktion: Stoppt die e-Card! am 13.01.2020 Stellung genommen zu den aktuellen Problemen in der Telematik-Infrastruktur. Diese Stellungnahme ist nachstehend in Auszügen veröffentlicht: Keine Datenschutzfolgenabschätzung für die Telematikinfrastruktur: Gilt die DSGVO nicht für Bundesgesundheitsminister Spahn? weiterlesen
Mangelnde Sicherheit der Telematik-Infrastruktur: Offener Brief des Vorstands der Kassenärztlichen Vereinigung Bayern an Bundesgesundheitsminister Jens Spahn
Am 10.01.2019 hat sich die Kassenärztliche Vereinigung Bayern (KVB) – gestützt auf die beim CCC-Kongress im Dezember 2019 bekannt gewordenen Mängel bei der Sicherheit des Zugangs zur Telematik-Infrastruktur – mit einem Offenen Brief an Minister Spahn gewandt.Der Offene Brief ist in seiner Gesamtheit eine vernichtende Kritik an der Politik von Spahn (CDU), aber auch aller seiner Vorgänger*innen als Bundesgesundheitsminister*innen, die sich an der Digitalisierung des Gesundheitswesen durch Schaffung der gematik versucht haben.
Dieser Brief beginnt mit der Feststellung: „… mit größter Sorge haben wir von Seiten des Vorstands der Kassenärztlichen Vereinigung Bayerns aus die aktuellen Medienberichte vernommen, wonach es Mitgliedern des Chaos Computer Clubs gelungen ist, sich Zugangsberechtigungen für die Telematikinfrastruktur (TI) im Gesundheitswesen zu beschaffen. Die Tatsache, dass sich die IT-Sicherheitsexperten über Identitäten Dritter gültige Heilberufsausweise, Praxisausweise und Gesundheitskarten zusenden lassen konnten, ist die Krönung einer unglaublichen Serie von Pleiten und Pannen bei der Einführung der TI.“
Daraus folgend macht der KVB-Vorstand „ohne Anspruch auf Vollständigkeit“ eine Auflistung von „Verfehlungen und Unzulänglichkeiten in Sachen TI: Mangelnde Sicherheit der Telematik-Infrastruktur: Offener Brief des Vorstands der Kassenärztlichen Vereinigung Bayern an Bundesgesundheitsminister Jens Spahn weiterlesen
Hessischer Hausärzteverband: BMG und gematik müssen volle Verantwortung übernehmen für Sicherheitsmängel der Telematikinfrastruktur
„Die Sicherheitsmängel der Telematikinfrastruktur sind nicht hinnehmbar“, sagt Armin Beck, Vorsitzender des Hessischen Hausärzteverbandes. „Versuche, die Verantwortung des Bundesministerium für Gesundheit (BMG) und der gematik auf die Ärzte abzuschieben weisen wir zurück.“ Unter Verweis auf die beim CCC-Kongress Ende Dezember 2019 aufgedeckten Mängel und Schwachstellen im Zugang zur Telematik-Infrastruktur erklärt der Vorsitzende des Hessischen Hausärzteverbands weiter: „Strafen für die Verweigerer, die die eigenen Praxen nicht an die Telematikinfrastruktur anschließen wollen, sollten nach Aufdeckung der gravierenden Sicherheitsmängel nicht weiter erhoben werden“. Hessischer Hausärzteverband: BMG und gematik müssen volle Verantwortung übernehmen für Sicherheitsmängel der Telematikinfrastruktur weiterlesen
CCC diagnostiziert Schwachstellen im deutschen Gesundheitsnetzwerk
Hackern des Chaos Computer Club ist es gelungen, sich Zugangsberechtigungen für das sogenannte Telematik-Netzwerk zu verschaffen. An das Netz sind über 115.000 Praxen angeschlossen. Über das System sollen in naher Zukunft verpflichtend digitale Patientendaten und elektronische Rezepte ausgetauscht werden.
CCC-Sicherheitsforschern ist es gelungen, sich gültige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten auf die Identitäten Dritter zu verschaffen. Mit diesen Identitäten konnten sie anschließend auf Anwendungen der Telematik-Infrastruktur und Gesundheitsdaten von Versicherten zugreifen. Die Hacker stellten grobe Mängel in den Zugangsprozessen fest, und demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten erschleichen können. Im Falle der eGK gelang dies bereits zum wiederholten Male.
Die Diagnose
- Bei Ausgabe der Praxisausweise (SMC B) wurde auf eine Identifikation des Antragstellers vollständig verzichtet. Ein Angreifer kann so Befunde lesen und selbst gefälschte Dokumente in Umlauf bringen. Mit Einführung der elektronischen Patientenakte kann der Angreifer die vollständigen Inhalte der für diese Praxis freigegebenen Patientenakten einsehen.
- Bei Ausgabe der elektronischen Heilberufsausweise (HBA) kommen völlig ungeeignete Identifikationsverfahren zum Einsatz. Angreifer im Besitz eines eHBA können damit nicht nur Rezepte, sondern beliebige Dokumente signieren.
- Bei Ausgabe der elektronischen Gesundheitskarte (eGK) kommen für die Identifikation des Antragstellers ebenfalls völlig ungeeignete Verfahren zum Einsatz. Mit der eGK ist schon jetzt der Zugriff auf die jeweiligen Patientenquittungen möglich, in der die durchgeführten ärztlichen Leistungen verzeichnet sind. Schon in naher Zukunft soll mit Hilfe der eGK ein Zugriff auf den elektronischen Medikationsplan und den Notfalldatensatz sowie die elektronische Patientenakte ermöglicht werden.
Die Ergebnisse präsentiert der CCC-Sicherheitsexperte Martin Tschirsich zusammen mit dem Arzt Christian Brodowski und dem Experten für Identitätsmanagement André Zilch beim diesjährigen Chaos Communication Congress (36C3) in Leipzig. Der Vortrag ist unter media.ccc.de verfügbar.
Die Ursachen
- Das Konstrukt der gematik: Die Gesellschafter der gematik sind gleichzeitig von der gematik zu kontrollierenden Unternehmen.
- Nachlässigkeit: Vernachlässigung der Sicherheit organisatorischer Abläufe bei Umsetzung und Zulassung.
- Mangelnde Prüfung: Relevante Prozessschritte wurden nicht durch die gematik geprüft.
- Verantwortungsdiffusion bei den beteiligten Unternehmen und Institutionen: Nicht nur im Bundesministerium für Gesundheit sprach man hinter vorgehaltener Hand von “organisierter Verantwortungslosigkeit”, weil die beteiligten Unternehmen sich gegenseitig die Schuld für Probleme zuschoben.
Der CCC verschreibt
- Schadensbegrenzung: Die gematik muss jetzt prüfen, inwieweit unberechtigte Zulassungen entzogen und falsch ausgestellte Zertifikate zurückgenommen werden müssen.
- Zuverlässige Kartenbeantragungs- und herausgabeprozesse: Beantragung, Identifikation und Ausgabe müssen entsprechend dem Schutzbedarf von Gesundheits- und Sozialdaten durchgeführt werden.
- Volle Umsetzung der eGK als Identitätsnachweis.
- Neuplanung und saubere Implementierung der Prozesse die zur Ausstellung von eGK, HBA und SMC-B führen sowie Kontrolle der Umsetzung.
- Organisierte Verantwortung statt organisierter Verantwortungslosigkeit: Eine unabhängige zentrale Stelle sollte für die Informationssicherheit der Telematikinfrastruktur verantwortlich sein. Diese Stelle sollte Prozesse nicht nur vorgeben, sondern auch ihre ordnungsgemäße Umsetzung unabhängig prüfen.
Wir wünschen dem deutschen Gesundheitswesen eine schnelle Genesung!
Quelle: Chaos Computer Club, 27.12.2019
Und die @gematik1 “wünscht Ihnen… ein glückliches, gesundes und erfolgreiches neues Jahr!”
Da freuen wir uns aber – und das ganz dolle!