Schlagwort-Archive: Telematikinfrastruktur

Blog, Telematik-Infrastruktur

Fallstricke und Risiken des Anschlusses von Arztpraxen an die Telematik-Infrastruktur

Ein Kommentar
  • ‚Telematik-Infrastruktur“
  • „Konnektor“
  • „paralleler Anschluss“
  • „serieller Anschluss“ –

– das sind Begriffe, die man als Ärzt*in und Psychotherapeut*in mittlerweile zwar kennt, aber nicht oder nicht in vollem Umfang versteht.

Auf der Homepage des hessischen Hausärzteverbands wurde dazu ein Beitrag des Wiesbadener Hausarztes Christian Sommerbrodt veröffentlicht, der sich mit den Fallstricken und Risiken des Anschlusses von Arztpraxen an die Telematik-Infrastruktur beschäftigt. Obwohl der Beitrag bereits am 26.05.2019 veröffentlicht wurde ist er immer noch aktuell und informiert Ärzt*innen und Psychotherapeut*innen, die keine IT-Spezialist*innen sind (vermutlich die weit überwiegende Mehrzahl), in auch für technische Laien verständlicher Sprache über den Anschluss eines Konnektor im IT-System einer Arztpraxis und die Folgen, die daraus entstehen (können).

Blog, Telematik-Infrastruktur

CCC diagnostiziert Schwachstellen im deutschen Gesundheitsnetzwerk

2 Kommentare

Hackern des Chaos Computer Club ist es gelungen, sich Zugangsberechtigungen für das sogenannte Telematik-Netzwerk zu verschaffen. An das Netz sind über 115.000 Praxen angeschlossen. Über das System sollen in naher Zukunft verpflichtend digitale Patientendaten und elektronische Rezepte ausgetauscht werden.

CCC-Sicherheitsforschern ist es gelungen, sich gültige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten auf die Identitäten Dritter zu verschaffen. Mit diesen Identitäten konnten sie anschließend auf Anwendungen der Telematik-Infrastruktur und Gesundheitsdaten von Versicherten zugreifen. Die Hacker stellten grobe Mängel in den Zugangsprozessen fest, und demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten erschleichen können. Im Falle der eGK gelang dies bereits zum wiederholten Male.

Die Diagnose

  • Bei Ausgabe der Praxisausweise (SMC B) wurde auf eine Identifikation des Antragstellers vollständig verzichtet. Ein Angreifer kann so Befunde lesen und selbst gefälschte Dokumente in Umlauf bringen. Mit Einführung der elektronischen Patientenakte kann der Angreifer die vollständigen Inhalte der für diese Praxis freigegebenen Patientenakten einsehen.
  • Bei Ausgabe der elektronischen Heilberufsausweise (HBA) kommen völlig ungeeignete Identifikationsverfahren zum Einsatz. Angreifer im Besitz eines eHBA können damit nicht nur Rezepte, sondern beliebige Dokumente signieren.
  • Bei Ausgabe der elektronischen Gesundheitskarte (eGK) kommen für die Identifikation des Antragstellers ebenfalls völlig ungeeignete Verfahren zum Einsatz. Mit der eGK ist schon jetzt der Zugriff auf die jeweiligen Patientenquittungen möglich, in der die durchgeführten ärztlichen Leistungen verzeichnet sind. Schon in naher Zukunft soll mit Hilfe der eGK ein Zugriff auf den elektronischen Medikationsplan und den Notfalldatensatz sowie die elektronische Patientenakte ermöglicht werden.

Die Ergebnisse präsentiert der CCC-Sicherheitsexperte Martin Tschirsich zusammen mit dem Arzt Christian Brodowski und dem Experten für Identitätsmanagement André Zilch beim diesjährigen Chaos Communication Congress (36C3) in Leipzig. Der Vortrag ist unter media.ccc.de verfügbar.

Die Ursachen

  • Das Konstrukt der gematik: Die Gesellschafter der gematik sind gleichzeitig von der gematik zu kontrollierenden Unternehmen.
  • Nachlässigkeit: Vernachlässigung der Sicherheit organisatorischer Abläufe bei Umsetzung und Zulassung.
  • Mangelnde Prüfung: Relevante Prozessschritte wurden nicht durch die gematik geprüft.
  • Verantwortungsdiffusion bei den beteiligten Unternehmen und Institutionen: Nicht nur im Bundesministerium für Gesundheit sprach man hinter vorgehaltener Hand von „organisierter Verantwortungslosigkeit“, weil die beteiligten Unternehmen sich gegenseitig die Schuld für Probleme zuschoben.

Der CCC verschreibt

  • Schadensbegrenzung: Die gematik muss jetzt prüfen, inwieweit unberechtigte Zulassungen entzogen und falsch ausgestellte Zertifikate zurückgenommen werden müssen.
  • Zuverlässige Kartenbeantragungs- und herausgabeprozesse: Beantragung, Identifikation und Ausgabe müssen entsprechend dem Schutzbedarf von Gesundheits- und Sozialdaten durchgeführt werden.
  • Volle Umsetzung der eGK als Identitätsnachweis.
  • Neuplanung und saubere Implementierung der Prozesse die zur Ausstellung von eGK, HBA und SMC-B führen sowie Kontrolle der Umsetzung.
  • Organisierte Verantwortung statt organisierter Verantwortungslosigkeit: Eine unabhängige zentrale Stelle sollte für die Informationssicherheit der Telematikinfrastruktur verantwortlich sein. Diese Stelle sollte Prozesse nicht nur vorgeben, sondern auch ihre ordnungsgemäße Umsetzung unabhängig prüfen.

Wir wünschen dem deutschen Gesundheitswesen eine schnelle Genesung!

Quelle: Chaos Computer Club, 27.12.2019

Und die @gematik1 „wünscht Ihnen… ein glückliches, gesundes und erfolgreiches neues Jahr!“

Da freuen wir uns aber – und das ganz dolle!

Blog

IT-Sicherheitsanalyst Martin Tschirsich im Interview zu Gesundheits-Apps und elektronischer Patientenakte: „Sicherheitslücken finden sich eigentlich auf allen Ebenen“

Schreibe einen Kommentar

Martin Tschirsich hat auf 35. CCC-Kongress im Dezember 2018 in einen Vortrag unter dem Titel „All Your Gesundheitsakten Are Belong To Us“ aufgezeigt, wie leicht angreifbar Gesundheits-Apps und andere digitale Dienste sind. In einem lesenswerten Interview mit dem Internet-Magazin MedWatch beantwortete er im Oktober 2019 Fragen zu Datenschutz bei Gesundheits-Apps und Datensicherheit bei den Digitalisierungs-Plänen von Bundesgesundheitsminister Jens Spahn (CDU).

Zwei Auszüge: IT-Sicherheitsanalyst Martin Tschirsich im Interview zu Gesundheits-Apps und elektronischer Patientenakte: „Sicherheitslücken finden sich eigentlich auf allen Ebenen“ weiterlesen

Blog, Telematik-Infrastruktur

Unterzeichnen Sie die Bundestagspetition “Gesundheitsdaten in Gefahr”! Veröffentlicht auf der Homepage des Bundestags

Ein Kommentar

Am 19.12.2019 wurde die Bundestagspetition „Gesundheitsdaten in Gefahr“ freigeschaltet. Unter diesem Link kann die Petition nun bis incl. 16.01.2020 online gezeichnet werden. Ziel ist es, neben den rund 38.000 Unterschriften, die bisher in Papierform vorliegen, noch mindestens 12.000 weitere Unterzeichner*innen der Petition zu gewinnen. Denn mit mehr als 50.000 Unterstützer*innen eröffnet sich die Möglichkeit, dass die Verfasser*innen der Petition in einer öffentlichen Sitzung des Petitionsausschusses zu Wort kommen und den Bundestagsabgeordneten ihre Kritik an der Telematik-Infrastruktur vortragen können. Unterzeichnen Sie die Bundestagspetition “Gesundheitsdaten in Gefahr”! Veröffentlicht auf der Homepage des Bundestags weiterlesen

Blog, Telematik-Infrastruktur

Bundestagspetition „Gesundheitsdaten in Gefahr“ wird in Kürze zur Unterzeichnung auf der Homepage des Bundestags veröffentlicht – Ziel: Mindestens 50.000 Unterzeichner*innen

Schreibe einen Kommentar

Dr. Andreas Meißner, einer der Sprecher der Initiative „Freiheit für 1%(jetzt: „Gesundheitsdaten in Gefahr! Bündnis für Datenschutz und Schweigepflicht“), einer politisch und berufsverbandsunabhängigen sowie fachgebietsübergreifenden Initiative von Ärzten und Psychotherapeuten mit Schwerpunkt im Raum München, hat in einer Rundmail vom 18.12.2019 mitgeteilt:

Liebe TI-Kritiker in Verbänden und Datenschutzinitiativen,

nach längerer Wartezeit wird nun die Petition „Gesundheitsdaten in Gefahr“ in Kürze von Petitionsausschuss freigeschaltet! Bundestagspetition „Gesundheitsdaten in Gefahr“ wird in Kürze zur Unterzeichnung auf der Homepage des Bundestags veröffentlicht – Ziel: Mindestens 50.000 Unterzeichner*innen weiterlesen

Blog, Telematik-Infrastruktur

Landesärztekammer Hessen: Massive Kritik am Digitalisierungs-Hype von Bundesgesundheitsminister Spahn

Schreibe einen Kommentar

Dr. med. Edgar Pinkowski, Präsident der Landesärztekammer Hessen, übt im Hessischen Ärzteblatt (Ausgabe 12/2019, Blatt 2) massive Kritik an Inhalt und Tempo der Gesetzgebungsmaschinerie von Bundesgesundheitsminister Jens Spahn (CDU).

Der Beitrag beginnt mit der Feststellung „Das Arbeitstempo von Bundesgesundheitsminister Spahn ist ja mittlerweile berühmt-berüchtigt (Stichwort: 18 Gesetze und Verordnungen in 18 Monaten Regierungszeit). Nun könnte man es sich einfach machen und sagen: Wo gehobelt wird, da fallen auch Spä(h)ne. Aber zwischen einem Span und einem groben Schnitzer sehe ich doch gravierende Unterschiede.“ Landesärztekammer Hessen: Massive Kritik am Digitalisierungs-Hype von Bundesgesundheitsminister Spahn weiterlesen

Blog, Telematik-Infrastruktur

Hessische Landesregierung will Mitglieder privater Krankenversicherungen vor Preisgabe ihrer Gesundheitsdaten schützen

Schreibe einen Kommentar

Die Hessische Landesregierung hat in den Bundesrat den Entwurf einer Entschließung eingebracht. Ihr Ziel: Schutz von Versicherungsnehmer*innen privater (Kranken-)Versicherungen vor laufender Erhebung hochsensibler Gesundheitsdaten zu Zwecken der Tarifgestaltung.

Zur Begründung verweist der Entschließungs-Entwurfs auf folgende Entwicklung: „In jüngster Zeit ist auf dem deutschen Versicherungsmarkt zu beobachten, dass im Bereich der Risikolebens-, Unfall- und Erwerbsunfähigkeitsversicherung sowie der privaten Rentenversicherung Versicherungstarife angeboten werden, bei denen der Tarif unter anderem dadurch beeinflusst werden kann, dass die Versicherten Gesundheitsdaten über Trainingseinheiten, die sie mit Fitness-Trackern aufzeichnen, per App an ein Partnerunternehmen der Versicherer übermitteln. Bei derartigen Vertragskonstellationen können im Laufe der Zeit große Mengen an sensiblen Gesundheitsdaten erhoben, übertragen und gespeichert werden. Eine Ausweitung auf den Bereich der privaten Krankenversicherungen wird von den Versicherern geprüft.“

Im Text der Entschließung wird zu Recht festgestellt:  Hessische Landesregierung will Mitglieder privater Krankenversicherungen vor Preisgabe ihrer Gesundheitsdaten schützen weiterlesen

Blog, Telematik-Infrastruktur

NEIN! zum Digitale Versorgung-Gesetz – schreiben auch Sie an Bundespräsident Frank-Walter Steinmeier

Schreibe einen Kommentar

Aus einem Kreis aktiver Telematik-kritischer Mitglieder gesetzlicher Krankenkassen erhielt die Redaktion dieser Homepage das Muster eines Schreibens an Bundespräsident Frank-Walter Steinmeier. Dieser wird darin aufgefordert, dem vom Bundestag beschlossenen Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale Versorgung-Gesetz – DVG) aus grundsätzlichen verfassungsrechtlichen Bedenken die Zustimmung und Unterschrift zu verweigern und damit das Inkrafttreten des DVG zu verhindern.

Die Argumentation des Schreibens stützt sich weitgehend auch auf die Kritik von Dr. Wolfgang Wodarg, Arzt, SPD-Mitglied, langjähriger Bundestagsabgeordneter und Mitglied des Gesundheitsausschusses des Bundestags (von 1994 bis 2009). Dieser hat unmittelbar nach der Beschlussfassung des Bundestags zum DVG in einem Offenen Brief an Bundespräsident Frank-Walter Steinmeier dazu kritisch Stellung genommen.

Wer sich der Initiative anschließen möchte und ein entsprechendes Schreiben an den Bundespräsidenten senden möchte, um ihren/seinen Protest gegen das DVG deutlich zu machen. Kann den hier (Digitale Versorgung-Gesetz – Musterbrief an Bundespräsident Steinmeier) hinterlegten Text gerne verwenden.

Blog, Telematik-Infrastruktur

Kleine Anfrage der FDP-Fraktion im Bundestag zum Thema Datenschutz und IT-Sicherheit im Gesundheitswesen

Schreibe einen Kommentar

Am 20.11.2019 wurde die Anfrage vom 06.11.2019 als Bundestags-Drucksache 19/15313 veröffentlicht.

Die Anfrage nimmt Bezug auf das Gesetz für eine bessere Versorgung durch Digitalisierung und Innovation (Digitale Versorgung-Gesetz – DVG) und auf die Planung zur Einführung der Elektronischen Patientenakte (ePA), die gesetzlichen Krankenkassen ihren Versicherten laut dem Terminservice- und Versorgungsgesetz (TSVG) ab 01.01.2021 anbieten müssen. In der ePA sollen z. B. Gesundheitsdaten, Befunde, Diagnosen und Therapiemaßnahmen gespeichert werden. Patient*innen sollte es in der ersten Ausbaustufe nicht möglich sein, individuell entscheiden zu können, wer Zugriff auf welche Gesundheitsdaten haben darf. Nach Kritik von Ärzt*innen und Datenschützer*innen, wurden einige datenschutzrelevante Punkte allerdings erst einmal aus dem DVG ausgeklammert Die Bundesregierung hat stattdessen angekündigt, ein eigenes, begleitendes Datenschutzgesetz für den Bereich des Gesundheitswesens zu erarbeiten. Dieses soll zeitnah vorgelegt werden. Dennoch soll der vorgesehene Zeitplan der Einführung ePA eingehaltemn werden.

In der Vergangenheit ist die FDP-Bundestagsfraktion häufig als Sachwalter der IT-Gesundheitsindustrie aufgetreten. Mit dieser Anfrage stellt sie aber aus Sicht der gesetzlich versicherten Menschen in Deutschland eine Reihe wichtiger und richtiger Fragen an die Bundesregierung, so z. B.: Kleine Anfrage der FDP-Fraktion im Bundestag zum Thema Datenschutz und IT-Sicherheit im Gesundheitswesen weiterlesen

Blog, Telematik-Infrastruktur

Von den insgesamt 170.000 Arztpraxen der Vertragsärzte in Deutschland nehmen derzeit 77.000 Arztpraxen NICHT an dem Telematik-Verfahren teil…

Ein Kommentar

hat der Deutsche Gewerkschaftsbund (DGB) in einer Stellungnahme vom 17.10.2019 – gestützt auf von der Bundesregierung veröffentlichte Zahlen – als Begründung dafür angegeben, dass er die beabsichtigte Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) zum 01.01.2021 ablehnt. In der Stellungnahme des DGB zum Gesetzesentwurf der Bundesregierung für ein “Dritten Gesetzes zur Entlastung insbesondere der mittelständischen Wirtschaft von Bürokratie (Drittes Bürokratieentlastungsgesetz) – Bundestags-Drucksache 19/13959  – wird dazu erklärt:

Der DGB und seine Mitgliedsgewerkschaften lehnen die geplante Einführung der elektronischen AU-Bescheinigung (eAU) zum 1.1.2021 kategorisch ab. Der Stand der telematischen Infrastruktur in Deutschland ließ bereits erhebliche Zweifel aufkommen, ob die Einführung der eAU zu dem ursprünglich im Referentenentwurf vorgesehenen Zeitpunkt (1.1.2023) überhaupt funktionieren würde. Von den insgesamt 170.000 Arztpraxen der Vertragsärzte in Deutschland nehmen derzeit 77.000 Arztpraxen NICHT an dem Telematik-Verfahren teil, welches jedoch eine zwingende Voraussetzung für das Funktionieren der eAU ist Von den insgesamt 170.000 Arztpraxen der Vertragsärzte in Deutschland nehmen derzeit 77.000 Arztpraxen NICHT an dem Telematik-Verfahren teil… weiterlesen