Die elektronische Patientenakte kommt

Hallo, hier ist das politopia-magazin, euer gesellschaftspolitisches Magazin bei Radio X, dem Frankfurter Bürgerradio. Schön, dass ihr dabei seid, schön, dass ihr zuhört. Wir unterhalten uns heute über die elektronische Patientenakte.

Dazu haben wir einen Vortrag mitgebracht, und zwar von Martin Tschirsig und Bianca Kastl, den haben sie gehalten beim 38c3, also beim jährlichen Kongress des Chaos Computer Clubs. Der war wieder zwischen Weihnachten und Jahresende, diesmal in Hamburg. Und in dem Vortrag berichten sie ein bisschen, wie es um die technische Sicherheit, um die Computersicherheit, um die Datensicherheit bei diesem Projekt bestellt ist.

Die elektronische Patientenakte für alle ist ein Projekt des Bundesministeriums für Gesundheit. Auf seiner Webseite steht dort, Zitat, ab 2025 beginnt für rund 73 Millionen gesetzliche Versicherte der Rollout der elektronischen Patientenakte für alle. Die Krankenkassen stellen ihren Versicherten dann ohne deren Zutun eine EPA zur Verfügung.

Wer dies nicht möchte, kann ganz einfach widersprechen. Die EPA wird den Austausch und die Nutzung von Gesundheitsdaten zwischen allen behandelnden Leistungserbringern verbessern und so gezielt die Versorgung der Patientinnen und Patienten unterstützen. Weiter lesen wir, warum brauchen wir überhaupt eine EPA? Je besser Ärztinnen und Ärzte und andere Leistungserbringer die Krankengeschichte ihrer Patientinnen und Patienten kennen, desto besser können diese für ihre Patientinnen und Patienten geeignete Behandlung wählen.

Oftmals liegen wichtige Befund- oder Behandlungsberichte aus vorhergehenden Behandlungen der Patientinnen und Patienten oder auch Informationen zur aktuellen Medikation nicht zeitgerecht und vollständig vor. Die EPA setzt genau da an. Sie vernetzt Versicherte mit Ärztinnen und Ärzten, Apotheken und Krankenhäusern.

Weiter lesen wir auf der Webseite. Werden meine Gesundheitsdaten zu Forschungszwecken genutzt? Die Gesundheitsdaten in der EPA für alle haben ein enormes Potenzial für die Verbesserung der Versorgung. Deshalb können die Daten aus der EPA für alle für Zwecke, die im Interesse der Gesellschaft sind, also öffentliches Interesse, genutzt werden.

Das umfasst zum Beispiel Forschung, Verbesserung der Versorgungsqualität und Sicherheit, aber auch statistische Zwecke der Gesundheitsberichterstattung. Die Daten werden dafür mit der nächsten Ausbaustufe der EPA ab Sommer 2025 pseudonymisiert, d.h. ohne direkten personenbeziehbaren Angabe wie Name und Adresse, an das Forschungsdatenzentrum FDZ Gesundheit im Bundesinstitut für Arzneimittel und Medizinprodukte weitergeleitet. Bürgerinnen und Bürger, die die Daten nicht bereitstellen wollen, können dem widersprechen, in der EPA App oder über die Ombudsstellen der Krankenkassen.

Soweit also Infos zur elektronischen Patientenakte für alle auf der Webseite vom Bundesministerium für Gesundheit. Hören wir jetzt aber den Vortrag von Martin Tschirsich und Bianca Kastl mit dem Titel Konnte bisher noch nie gehackt werden, die elektronische Patientenakte kommt, jetzt für alle. Ja, hallo, grüß euch Hamburg, willkommen zum Talk Konnte bisher noch nie gehackt werden, die elektronische Patientenakte kommt, jetzt für alle.

Es geht ein bisschen um ältere Probleme, es geht um das, was in den letzten Jahren passiert ist, wie sich das jetzt auf die elektronische Patientenakte für alle auswirkt. Martin und ich machen das Thema mit Gesundheit und Digitalisierung schon ein bisschen länger. Dieses Zitat, was ihr seht, konnte bisher noch nie gehackt werden, ist tatsächlich aber sehr neu.

Es kommt aus dem Jahr 2023 von Karl Lauterbach, als er die Gesetze für die elektronische Patientenakte beschlossen hat. Und das ist ein Talk aus dem Track Security, der allerdings eigentlich gar nicht mal so technisch ist. Weil ich glaube, vieles davon kann man auch mit wenigen einfachen Mitteln, die gar nicht so tief technisch sind, vielleicht nachstellen.

Gucken wir mal. Genau, ich bin Bianca, das ist Martin. Wir stehen hier schon mal wieder nach so ein paar Kongress Talks.

Ab und zu sprechen wir auch mit Leuten in verschiedenen Bundestagsausschüssen über das Thema Digitalisierung des Gesundheitswesens. Dass wir jetzt wieder stehen hier und über Probleme sprechen, ist vielleicht kein so gutes Zeichen. Wir werden sehen, was dabei rauskommt.

Und wir sollten vielleicht erstmal kurz sagen, worüber wir eigentlich genau sprechen, nämlich über die sogenannte elektronische Patientenakte für alle. Diese elektronische Patientenakte für alle ist wirklich eine elektronische Patientenakte für alle, denn es ist eine elektronische Patientenakte, die im Opt-out-Verfahren auf die gesamte Bevölkerung ausgerollt wird. Ihr könnt dem Ganzen aber auch widersprechen.

Ihr könnt in mehreren Ebenen widersprechen. Ihr könnt widersprechen, dass diese Akte angelegt wird. Ihr könnt widersprechen, dass in dieser Akte bestimmte Zugriffe möglich sind.

Ihr könnt widersprechen, dass Daten an ein Forschungsdatenzentrum ausgeleitet werden. Ihr könnt widersprechen, dass Krankenkassen Abbrechungsdaten einstellen und so weiter und so fort. Vom Zeitplan her ist es so, wir sind am 15.01. an dem Punkt, wahrscheinlich oder auch nicht, mal gucken.

Das ist zum Beispiel in Hamburg hier in Testregionen und in Franken und in Teilen Nordrhein-Westfalens eine gewisse Testung geben wird. Nicht in der gesamten Region, aber mit einer ausgewählten Anzahl von sogenannten Leistungserbringern, also Ärztinnen und anderen Beteiligten des Gesundheitswesens. Und das Ganze soll, so der ursprüngliche Plan, ich weiß nicht, ob der noch zu halten ist, aber soll am 15.02. deutschlandweit für euch alle zur Verfügung stehen.

Diese elektronische Patientenakte für alle ist die Version 3.0 der elektronischen Patientenakte. Und die erste Version gab es eigentlich schon im Jahr 2020. Da hatte Martin damals auf dem 36C3 schon so ein paar Sachen vorher gefunden, die wir nachher auch nochmal aufgreifen werden.

Und aktuell sind wir bei einer Version 2.6, die migriert werden wird auf eine EPA 3.0. Und falls ihr euch fragt, was in dieser EPA so drinstehen wird, naja, natürlich so Sachen wie E-Rezepte, aber auch die Informationen aus den E-Rezepten, beziehungsweise auch die Informationen, welche Medikamente euch ausgegeben wurden, aber zum Beispiel auch Arztbriefe. Es wird Befunde geben, anfangs noch als PDF. Es wird vielleicht auch Bilddaten geben, anfangs noch als PDF.

Und es gibt vielleicht auch Ablehnungsdaten von Kassen, die euch automatisch in diese elektronische Patientenakte übermittelt werden, außer ihr widersprecht dem Ganzen. Das ist das, worum es fachlich geht. Also ein sehr, sehr großes Projekt mit eigentlich sehr, sehr vielen Daten.

Das Ganze auch im Opt-out-Verfahren. Und jetzt gehen wir ein bisschen in die Technik rein, und das macht am besten der Martin. Der kann das vielleicht ein bisschen besser als ich.

Genau. Schauen wir uns doch mal an, zusammen, was diese elektronische Patientenakte ist, und beginnen wir mal bei uns. Das ist immer am einfachsten.

Wir, das sind Versicherte, Krankenversicherte, gesetzlich, aber auch privat. Bei den Privaten ist es tatsächlich eine freiwillige Angelegenheit. Bei den gesetzlichen ist es ein Opt-out.

Wer nichts zu tun hat, so eine Akte ab nächstem Jahr. Und hier als PAT, Patientinnen bezeichnet, da stehen wir in der Ecke und halten eine Gesundheitskarte in der Hand oder eine App, Smartphone. Und das ist unser Zugangsschlüssel zu dieser elektronischen Patientenakte.

Über eine App, wenn ich mich dort mit einer digitalen Identität registriert habe, kann ich diese Akte auch schön verwalten. Derzeit sind ein Prozent aller Nutzer tatsächlich mit so einer App ausgestattet, an einer digitalen Gesundheits-ID, die das ermöglicht. Vielleicht werden es noch ein paar mehr.

Die große Masse wird über die Gesundheitskarte diese elektronische Patientenakte, ich sage mal, freigeben. Und zwar immer dann, wenn Patientinnen und Patienten zum Arzt, zum Krankenhaus, in eine Pflegeeinrichtung, in eine Gesundheitsinstitution gehen, dann stecken wir dort als gesetzliche Versicherte unsere Gesundheitskarte in ein Lesegerät. Und dadurch wird zusammen dann mit einer ähnlichen Karte, die diese Gesundheitsinstitution authentisiert, eine Freigabe erstellt, ein sogenannter Behandlungskontext nachgewiesen.

Und auch dann hat die Praxis, die Gesundheitsinstitution für 90 Tage lang Zugriff auf diese elektronische Akte der versicherten Person, die da gerade in die Praxis reingelaufen ist. Das heißt, Gesundheitskarte stecken in einer Institution, das Gesundheitswesen ermöglicht dieser Institution für 90 Tage Zugriff, lesen und schreiben auf alle Daten, die in dieser Akte eingetragen sind, die nicht speziell verschattet sind. Da können wir auch noch drauf kommen.

Was es noch gibt bei dieser elektronischen Patientenakte, es gibt eine Datenausleitung. Alle Daten, die dort reinfließen in diese Akte, das sind nicht nur Daten aus den leistungserbringenden Institutionen, oder die wir selber einstellen, sondern das sind automatisch auch alle Abrechnungsdaten und E-Rezeptaten, die fließen in ein Forschungsdatenzentrum Gesundheit. Und Krankenversicherungen, also Krankenkassen oder die privaten Versicherungen, haben auch noch Zugriff auf die Akte.

Das ist jetzt hier die Person mit Schlips. Die können Daten aber nur schreiben. Was wir dann haben, ist natürlich eine technische Infrastruktur.

Ein bisschen darüber, da haben wir verschiedene Fachdienste, die sehen wir gleich noch im Laufe dieses Talks, vielleicht ein bisschen genauer. Das ist ein IDP, Identity Provider für sicherten Stammdatendienste, das Aktensystem. Die werden betrieben.

Und was wir dann noch haben, das ist der sogenannte Vertrauensraum in der Telematik-Infrastruktur, also diesem gesamten Netz, was wir hier sehen. Und das wird ganz schön kompliziert. Da haben wir zum Beispiel alle Kassen.

Wir haben knapp 100 gesetzliche Krankenversicherungen, Kassen. Und jede dieser Kassen gibt Gesundheitskarten an ihre Mitglieder aus. Und auch die Gesundheits-ID wird durch diese Kassen ausgegeben.

Das sind die Zugriffsschlüssel zur Akte. Dann haben wir die Gematik in der Mitte, die legt die Spezifikationen fest. Aber auch die Gematik selbst ist Kartenherausgeber für Institutionsidentitäten, für bestimmte, zum Beispiel eine privatärztlich tätige Institution.

Dann haben wir die ganzen Kartenherausgeber, die die gesetzlich oder die, ich sage mal, Kassenärzte oder Kassenarztpraxen, Praxissitze mit Identitäten versehen, also Zugangskarten zu diesem System für die ganzen Krankenhäuser oder ambulant tätigen Praxen, die Kassensitze haben. Und dann haben wir natürlich auch noch ganz am Ende alle möglichen Betreiber, in dem Fall von den sogenannten versicherten Stammdatendiensten, die dort symmetrische Schlüssel initiieren. Das sind auch alles, da kommen wir später noch im Detail drauf, alles zentrale, sagen wir mal, Zugangsschlüsse zu dem Gesamtsystem.

Was vielleicht deutlich werden sollte, ist, es ist ein sehr komplexes System, nicht nur wir und LeistungserbringerInnen und Kassen haben dort unterschiedliche Arten von Zugriffen, sondern der gesamte Vertrauensraum, die Ausstattung mit Identitäten spielt eine wesentliche Rolle und da haben wir hunderte von Beteiligten in diesem System. Genau. Gut, damit wir ein bisschen besser verstehen, was wir gleich zeigen, sollten wir vielleicht mal kurz zeigen, was in den letzten Jahren passiert ist in der Klimatikinfrastruktur und auf dem Kongress.

Beim 36c3 und dazwischen wurden ein paar Sachen gezeigt. Wir haben jetzt für den 36c3 gesehen, man kann da bestimmte Teile mit den Herausgabeprozessen von Karten- und Vertrauensdiensten angreifen, auf eine eher sehr soziale Art und Weise, man benutzt irgendwelche Formulare, man versucht Informationen zu bekommen, um solche Prozesse anzustoßen und hat dann eben unter Umständen einen gewissen Zugriff auf für diese Institutionen freigegebenen elektronischen Patientenakten. Zu den Details, aber vielleicht noch mal kurz, Martin.

Genau, wir haben uns unter anderem Konnektoren bestellt, wie wir sie hier sehen. Das sind Zugriffsgeräte, Komponenten, die man braucht, um an dieses VPN, dieses deutschlandweite Netz angeschlossen zu werden. Wir haben aber damals auch geschafft, uns die Identitäten für die Praxen, also die Institutionen zu beschaffen.

Wir haben uns auch Gesundheitskarten beschaffen können, natürlich immer auf den Namen Dritter. Und das waren alles sehr, sehr einfache Angriffe. Die sind auch schon bekannt seit mindestens 2012.

Unter anderem das regelmäßige Bestellen von Gesundheitskarten auf anderen Namen. Das hat der André Zilch, der auch beim letzten Talk auf dem 36C3 hier stand, demonstriert, wieder und wieder und wieder. Und das ist auch zum 36C3 haben wir das erneut demonstriert.

Und auch die Praxisidentitäten. Ja, und wie aufwendig war das so? Ja, das war, würde ich mal sagen, eine Stunde maximal. Oft war es einfach nur ein Telefonat führen oder eine E-Mail absenden.

Und dann hat man die Zugangsschlüssel zu Akten und zwar remote, das heißt vom heimischen PC aus, wo auch immer der steht, ob in Deutschland, ob weltweit, das war völlig gleich. Und man hatte damit Vollzugriff auf eine Patientenakte. Und wenn man sich eine Praxisidentität besorgt hat, Vollzugriff auf alle Akten, auf denen diese Praxis Zugriff hatte.

Das sind dann immer so bis zu 1000 Stück oder mehr, je nachdem wie viele Patienten, wie groß der Patientenstamm ist dieser Praxis und wie viele Patienten da pro Quartal durchgeschlossen werden. Ja, dann gibt es natürlich Dinge, die zwischendurch auch passiert sind nach dem 36.3. Wir haben dann vielleicht Möglichkeiten, dass man zwischendurch sieht, naja, dieses ganze Netz der Telematik-Infrastruktur ist vielleicht an den Endpunkten etwas offen und ja, da waren die Konnektoren falsch herum. Genau.

Christoph Saath-Johann, seinerzeit Professor für IT-Sicherheit, hat demonstriert, damals schon, dass sehr, sehr viele dieser Konnektoren, die ich hier gerade gezeigt habe, also die Verbindungsstücke in dieses Netz, falsch herum installiert sind. Also nicht so, sondern so. Also das bedeutet, das lahnseitige Ende, das Innenende nach außen gekehrt, sodass man aus dem öffentlichen Internet auf diese Konnektoren zugreifen konnte und darüber dann auf die gesamten für diese jeweilige Praxis freigegebenen Patienten akten.

War auch eine sehr einfache Sache vom Aufwand her. Was meinst du? Ja, ich sag mal so, ein Tag. Genau.

Und zum Glück war das tatsächlich auch noch ein Projekt, was vor der Veröffentlichung der EPA 1.0 sehr verantwortungsbewusst disclosed wurde. Wäre die EPA zu dem Zeitpunkt da gewesen, hätte man natürlich Vollzugriff gehabt. Genau.

Ist schon länger bekannt, tatsächlich. Ich glaube, Ärzteblatt hat sie schon getitelt. Telematik-Infrastruktur, unsachgemäße Installation, keine fehlerhafte Technik, also nicht die Technik, sondern wie wird diese Technik eingebracht? Das ist das Problem.

Und auch wieder remote wäre das durchführbar oder war remote durchführbar und ermöglichte Vollzugriff auf eben wieder alle Akten, die für eine leistungserbringende Situation freigegeben waren. Gut, dann ist Martin um den Künstler gegangen. Genau.

Was haben wir dann noch gemacht? Um die Zwischenzeiträume ein bisschen zu füllen bis zur EPA für alle. Na gut, wir haben uns angeschaut, wie werden denn diese digitalen Identitäten ausgegeben oder damals zum Teil auch diese Zugänge zu diesen Kassen eröffnet, über die ich dann alle möglichen Dinge bekomme, nicht nur eine neue Gesundheitskarte, sondern auch diese digitalen Identitäten. Und tatsächlich, wir haben das Video-Ident-Verfahren, was damals, ich glaube, 29 der 30 größten Kassen haben Video-Ident eingesetzt.

Eine Kasse hat komplett auf Ident verzichtet. Da kann man einfach anrufen. Und das haben wir überwunden.

Man sieht hier noch seitlich die Reste von dem Markerboard. Da haben wir unser Ausweisdokument gescannt und dann mit den Techniken in einer Art Augmented Reality vor der Kamera gezaubert und haben uns dann Zugang zu einer elektronischen Patientenakte eröffnet. Ja, das klingt jetzt so ein bisschen aufwendig in den Zeiten vor KI und Deepfakes, aber wie aufwendig war es wahrscheinlich? Naja, der erste Zugang, so eine Woche bis zwei Vorbereitungszeit, aber dann das Wiederholen vom ersten zum zweiten, zum dritten Dokument, also das wäre dann sehr einfach gewesen.

Das wäre dann maximal noch einen Tag weiterer Aufwand gewesen. Auch schon wieder remote, klar, weil Video-Ident ist ja remote, durchführbar vom heimischen Sofa aus, auch wieder Vollzugriff auf eine beliebige Akte deiner Wahl. Ja, bekannt übrigens seit 2017, dieser Angriff.

Das BSI hat das schon einmal schön demonstriert, tatsächlich auch durchgeführt, damals aber noch für den Zugriff auf Bankkonten. Wir haben quasi dasselbe genommen, ein bisschen vereinfacht und dann den Zugriff nicht auf Bankkonten, sondern Aktenkonten da eingesetzt. Wurde dann abgestellt, als wir es demonstriert haben, durch Anordnung des BFDI.

Okay, jetzt ist die Frage, warum erzählen wir euch diese ganzen Geschichten? Naja, vieles davon wird sich vielleicht in gewisser Art und Weise wiederholen. Wir zeigen euch jetzt ein paar Sachen aus dem Stand von circa Mitte Dezember 2024. Wir haben natürlich alle diese Dinge verantwortlich Menschen mitgeteilt und geguckt, wie reagiert wird.

Dann wurde ein bisschen schneller reagiert, als wir gezeigt haben, ist es dann doch mehr möglich, als wir schon angekündigt haben. Und das ist einfach eine Aufrüstung für verschiedene Dinge, die Mitte 2024 so möglich sind oder möglich waren. Und wie gesagt, 15.

Januar, Start EPA für alle, hier so in Hamburg in den Modellregionen. Spannende Nummer, was da jetzt so alles zu finden ist. Es ist dann doch einiges.

Wir müssen dazu sagen, dass das Projekt eigentlich als eines der größten IT-Projekte der Bundesrepublik gilt, zumindest auch laut Florian Fuhrmann von der Gematik. Er sagt dazu auch noch, oder sein Mitgeschäftsführer der Gematik, Florian Hart, gesagt, dass keiner dieser Starts so gut vorbereitet gewesen wäre, weiß ich nicht, wer macht bei euch irgendwie Telematik-Sachen, vielleicht ist es ein bisschen anstrengend in letzter Zeit. Und Florian Fuhrmann hat das auch verglichen mit einem Basketballspiel, wo es dann in das letzte Viertel geht und es sei jetzt Crunch Time, damit die Digitalisierung des Gesundheitswesens so wirklich vorwärts geht.

Na ja, gucken wir mal, ob diese Sportvergleiche wirklich so sinnvoll sind. Die gute Frau Osikowski vom Bundesgesundheitsministerium meinte dazu aber auch, dass die EPA die sicherste in Europa sei, in der Form, wie sie am 15. Januar kommen soll.

Und weil wir euch jetzt diese Zeit so nennen, na ja, werdet ihr feststellen, vielleicht ist es nicht ganz so wahr, weil es dann doch noch ein paar Sachen gibt, die man finden kann, die diese EPA angreifbar machen. Und dann beginnen wir mal vielleicht mit einfachen Sachen, so ein Klassiker oder auch kein Klassiker. Ich weiß nicht, wer von euch kennt noch SQL Injections? Okay, ein paar.

Also für die jüngeren Leute hier. Früher musste man noch aufpassen, was man für Code in irgendwelche Formulare einzieht, weil dann wird es in der Datenbank ausgeführt. Das gibt es aber noch.

Das Einzige, was sich auf der Folie geändert hat, sind die Namen, die Bezeichner, also Mitglied, Passwort, der Rest ist original SQL Statement, so aus einem dieser Kartenherausgeberportale. Da beantragt man nur die Identitäten von den gesamten Gesundheitsinstitutionen in unserem Gesundheitswesen. Das heißt, was ich da machen kann, also ich kann dort SQL Code, also ich sage mal Statements, dieses SQL Statement kann ich manipulieren, indem ich dort eigene Befehle dort einbringe und kann zum Beispiel hier bei diesem Kartenherausgeberportal eines Kartenherausgebers neue Mitglieder, also Mitglieder durchiterieren zum Beispiel.

Ich kann die Mitgliedsnummer dort beliebig anpassen, ich kann dort weitere SQL Statements anhängen, neue Mitglieder eintragen, manipulieren und so weiter und so fort. Was man auch machen kann, was man hier sieht, das ist noch ein klassischer MD5-Hash von Passwort, man hat eine komplette Passwortdatenbank. Also das bedeutet, wir haben hier die Möglichkeit, uns diese SMCB-Karten, diese Praxisausweise en masse zu besorgen, zu beschaffen, sowohl auf bestehende Mitglieder, das heißt auf bestehende Praxen, Institutionen, als auch vielleicht ganz neue zu schaffen, das haben wir jetzt nicht ausprobiert.

Und mit diesen Karten habe ich dann wieder, was habe ich damit? Ja, mit diesen Karten kann ich als Leistungserbringer zumindest auf alles zugreifen, was ich als Leistungserbringer eben Zugriff habe, also ich kann jetzt zum Beispiel versuchen, irgendwie die Daten eines Arztes oder einer Ärztin zu ändern, die vielleicht schon Zugriff auf elektronische Patientenakten hat. Das Ganze ist remote durchführbar und ergibt uns quasi die Möglichkeiten, alle Bearbeitungsrechte, die eine Ärztin oder eine entsprechende personierte Leihe hat, durchzuführen. Das Ganze ist eigentlich schon etwas länger bekannt und kann man eigentlich so über alle Jahre verteilt immer wieder mal nachweisen.

Genau, aber regelmäßig. Aber ja, gut. Was man auch dazu sagen sollte, vielleicht so von der Einschätzung, was hat denn so eine Leistungserbringerinstitution so an Patientenkontakt irgendwie im Jahr oder im Monat oder in 90 Tagen im Quartal, so circa 1.000. Also Hausärztinnen haben ein bisschen mehr, weil die natürlich mehr Versorgung mit Patientinnen vor Ort haben.

Fachärztinnen haben weniger, aber ja, so 1.500, teilweise sind es 800. Also das heißt, ihr habt dann wirklich tatsächlich, wenn ihr es auf eine von diesen Institutionen geschafft habt, schon auch Zugriff auf mehr als eine Akte. Und was halt bezeichnend ist, das ist ja jetzt hier so ein Zugang zu 1.000 Akten gleichzeitig.

Das ist Passwort, MD5-Hash, SQL-Injektion, irgendein modifiziertes WordPress. Wenn wir als Versicherter auf unsere eigene einzige Akte zugreifen wollen, ist das ein sehr, sehr kompliziertes Verfahren. Postident, Multifaktor-Authentizierung.

Es ist sogar noch nicht mal einige Zeit lang war es untersagt, Biometrie zu verwenden, weil es ja zu unsicher ist, dass ich mich mit Biometrie als zweiten Faktor, hier haben wir ein Passwort aus MD5-Hash. Also diese Relation, diese Unterschiede, die begegnen uns sehr häufig auch im weiteren Verlauf des Talks heute. Ja, jetzt waren wir bei 1.000, jetzt müssen wir in der Skalierung ein bisschen höher gehen.

Das, was wir jetzt zeigen, ist ein bisschen aufwendiger, aber es wäre für Angreifende tatsächlich sehr lohnenswert, das zu tun, denn jetzt geht es um zentrale Dienste in der telematik-Infrastruktur, um den versicherten Stammdatendienst. Der versicherten Stammdatendienst ermöglicht uns, zumindest Zugriff für sehr, sehr viele elektronische Patientenakten zu erlangen und wie das genau geht, wird Martin jetzt erklären. Sehr gerne.

Also, erstmal komplizierte Folie. Erstmal nochmal nicht auf die Folie schauen, sondern einen Schritt zurück. Wir hatten mit der ersten EPA und auch der zweiten EPA, wir sind jetzt bei der EPA für alle, bei der dritten EPA, bei den ersten beiden hatten wir eine Gesundheitskarte und eine PIN.

Wer hat eine PIN für seine Gesundheitskarte? Bitte einmal Hand heben. Also deutschlandweit sind das ein Prozent. Ich glaube, das können wir hier toppen.

Vielleicht sind es sogar zwei Prozent. Also, diese PIN und die Gesundheitskarte zusammen, die ermöglichen, wenn ich dann in der Arztpraxis bin, Zugriff freizugeben auf meine Akte. Also ich stecke ja meine Karte sowieso immer, das ist das sogenannte versicherten Stammdatenmanagement, das muss ich machen, um nachzuweisen, dass ich hier leistungsberechtigt bin und dann gebe ich meine PIN ein und kann dann eine Befugnis erteilen vor Ort, wenn ich das nicht per App mache.

Und jetzt hat man sich gedacht, lassen wir doch einfach die PIN weg, weil das Beantragen der PIN ist so kompliziert gewesen damals, dann wird es einfacher. Vor allen Dingen hat man sich gedacht, wenn ich zu einem Opt-out gehen will, dann kann ich nicht jedem und jeder in der Bundesrepublik noch eine PIN zu schicken, nachdem sie zwangsweise durch irgendein Identverfahren gelaufen sind. Wir lassen sie einfach weg.

Das heißt, allein die Gesundheitskarte ist schon Nachweis, wenn ich die Gesundheitskarte stecke in eine Arztpraxis, und zwar in ein solches Lesegerät, das kennen viele, hier wird die Gesundheitskarte reingesteckt, dann hat die Praxis Zugang auf diese Akte für 90 Tage. Das ist der sogenannte Behandlungskontext, der nachgewiesen wird, das ist auch im sogenannten Digitalgesetz gesetzlich eingeführt und gefordert worden. Im Behandlungskontext, also wenn ich nachweisen kann, da liegt auch eine Gesundheitskarte vor, dann darf die Arztpraxis auf diese Akte zugreifen.

Wie funktioniert jetzt der Nachweis, dass da eine Gesundheitskarte vorliegt? Also eine Gesundheitskarte, die hat einen Chip drauf, das ist eine Prozessorkarte. Und da sind ganz viele private Schlüssel, Zertifikate und so weiter drauf. Und da steckt auch eine sogenannte ICCSN in dieser Karte, das ist eine Kartennummer, einfach eine Kartennummer.

Und anhand dieser Kartennummer, diese Kartennummer ist quasi das Merkmal, was diese Karte identifiziert. Diese Kartennummer steckt aber in mehreren Dateien auf dieser Karte. Einmal in einem entsprechenden Zertifikat, das ist dieses EFZ, EGKA, CVC-Zertifikat, dazu gibt es auch einen privaten Schlüssel, den kriege ich auch nicht raus aus der Karte.

Der weist mir kryptografisch sicher nach, dass da tatsächlich eine echte Karte ist. So ein bisschen wie die Chip-Authentication bei neuem Personalausweis. Also das ist eine echte Karte und das heißt, die behauptete ICCSN, die in einem Zertifikat steckt, die entspricht auch tatsächlich der, die auf dieser Karte aufgedruckt ist.

Und dann gibt es noch einen zweiten Fundort dieser ICCSN auf der Karte, das ist eine Datei EFGDO, Global Data Object. Und die ist nicht authentisiert, nicht signiert, gar nichts. Und mit dieser ICCSN geht jetzt quasi die Arztpraxis zum sogenannten versicherten Stammdatendienst.

Die ICCSN wird zum versicherten Stammdatendienst geschickt und zurück bekomme ich einen Prüfungsnachweis. Den Prüfungsnachweis schicke ich dann zum Aktenkonto, zur EPA und bekomme dann die Daten, so vereinfacht gesprochen. Welche ICCSN wird jetzt zum versicherten Stammdatendienst geschickt? Die, wo ich sicher den privaten Schlüssel nachweise? Nein, die andere.

Wo kann ich das angreifen? Naja, an vielen Stellen. Zum einen kann ich, das ist ein SOAP-Aufruf, zu diesem versicherten Stammdatendienst, dem sogenannten Update Flag Service, kann ich direkt aufrufen. Der einzige Parameter in diesem SOAP-Aufruf ist die ICCSN, kann ich mir frei ausdenken.

Problem ist, ich muss diesen Konnektor irgendwie unter meine Kontrolle bringen oder die Verbindung in dieses TI-VPN selber aufbauen. Weil der Konnektor ist wie eine Firewall zwischen mir, hinter dem Konnektor und diesem Update Flag Service. Ist aber auch kein Problem.

Der liebe Flippke hatte das gemacht und schätzt dafür eine Woche Zeit. Wenn ich mich direkt mit der TI verbinde, ohne so einen Konnektor zu knacken, nehme ich mal ansonsten ein paar Tage. Wenn ich ein virtuelles Kartenterminal programmiere, was ich hinter dem Konnektor anhänge, was dann mehr in den Mittelangriff auf die durchgeleitete ICCSN macht, was auch geht.

Da sind wir so bei Entwicklungszeiten in allem zwei Monate, was ich natürlich auch machen kann. Ich kann auch vorne, wenn ich die Karte stecke, keine echte Gesundheitskarte stecken, sondern eine, wo diese GDO-Datei manipuliert ist. Ist auch kommerziell erwerblich, solche Kellen, die ich dort stecken kann.

Und dann bin ich dabei. Tja, kleine Fehler, große Wirkung. Was bedeutet das jetzt? Vielleicht noch einmal hier, man sieht es noch einmal virtualisiert, haben wir natürlich gemacht.

Also alles, was wir hier sagen, haben wir für euch demonstriert. Wir haben ein virtuelles Kartenterminal. Damit haben wir diese ICCSNs ausgelesen.

Wir haben auch entsprechend einen sogenannten Prüfungsnachweis erzeugt. Für eine beliebige ICCSN. Allerdings in der sogenannten Referenzumgebung, weil produktiv kommt diese Akte ja erst zum 15.01. Eben.

Genau. Was man vielleicht dazu sagen sollte, diese ICCSN, sie ist hier so schön aufgereiht. Ja, die sind quasi wirklich durchnummeriert.

Ihr könnt hier hochzählen. Also ihr könnt über die Krankenkasse gehen. Also wir verraten euch mal.

Die ersten 50 sind eh immer gleich Deutschland Gesundheitswesen. Dann nehmt ihr die Krankenkasse und dann fangt ihr eben an, den Nummernraum hochzuzählen. Je nachdem, wie groß die Krankenkasse ist, kann es über ein paar Millionen gehen oder ein paar Tausend, ein paar Hunderttausend, wie auch immer.

Da steckt nicht so viel Logik dahinter, diesen Nummernraum irgendwie zu treffen. Und wie Martin schon sagte, so viel, beziehungsweise jetzt kommt das Spannende daran, glaube ich, weil wir haben mal gesucht, ob das vielleicht irgendwie jemandem schon mal aufgefallen wäre. Also der Fehler, der ist ja hier im Publikum sehr schnell aufgefallen, ohne dass ich überhaupt sagen musste, was los war.

Den kennt auch die Gematik. Spätestens seit 2016 ist er bekannt. Steht in den Specks, kann man nachlesen.

Eine von der gesteckten Gesundheitskarte abweichende ICCSM deutet auf einen Fehler der dezentralen TI, also das, was in der Arztpraxis passiert, hin oder einen Angriff. Ja, Angriff, das haben wir jetzt hier. Deutet hin, steht in der Speck.

Dennoch hat man sich entschieden, genau dieses Verfahren für den Nachweis des Vorliegens einer echten Gesundheitskarte zu wählen, um Zugriff auf Akten freizugehen. Genau, was noch? Ja, was spannend ist, man macht es dann das Jahr vorher anders, weil man hat das zum Beispiel im Thema des E-Health-Cartlings wieder sicher validiert. Das heißt, wir haben jetzt zwei verschiedene Verfahren.

Das eine wird sicher validiert, das andere wird nicht sicher validiert. Spannend. Genau, also gerade letztes Jahr hatten wir das nochmal in der neuen Speck, auch extra sogar eine Mitigation gegen diesen Angriff.

Aber bei der EPA wurde es nicht mitigiert.

Ja, was heißt das jetzt? Wir haben einen Angriff, der ist ein bisschen aufwendiger. Er braucht vielleicht einen Monat, um irgendwie mal so in diesem Kontext einen einfachen Prototypen zu haben. Der ist remote durchführbar und ermöglicht Vollzugriff auf alle E-Pass.

Wenn wir sagen alle E-Pass, meinen wir alle E-Pass. Das heißt, der braucht eine Riese ICSSN und hat dann Zugriff auf eine von den 70 Millionen E-Pass. Mit eben der Leistungsverbindungsinstitution, den Rechten, die diese Institution hat, mit denen man sich da quasi in der TI anmeldet.

Das ist die Einschränkung dazu. Also wir brauchen irgendwie die Identität einer Leistungsbringerinstitution, um zumindest diese Rechte zu haben und dann aber Vollzugriff zu haben. Ja, wir brauchen so eine SMCB, also diese Karte, die wir vorher bestellt haben und über das Kartenherausgeberportal mit der SQL-Injektion.

Aber vielleicht wollen wir die ja noch schneller. Vielleicht wollen wir da noch ein bisschen einfacher rankommen, weil SQL-Injektionen sind, ja, scharfbar wahrscheinlich. Weiß ich jetzt nicht.

Deswegen haben wir uns angeschaut, gibt es da vielleicht einen Weg, der uns allen offen steht, auch den ehrlichen heutigen unter uns und haben uns einfach mal angeschaut, ja, was gibt es denn da noch? Das eine ist, wobei wir haben jetzt gelernt, wenn ich ein Passwort öffentlich irgendwo finde, zum Beispiel ein Kompilat und das nehme und eingebe, dann ist das doch nicht zulässig. Also vor den Gerichten wird das dennoch als strafbare Handlung gesehen, haben wir es leider gesehen. Das heißt auch das, wir hatten hier bei bestimmten Praxisverwaltungssystemen, also diese Software, die Arztpraxen einsetzen, eine bestimmte Standardkonfiguration und konnten über das Internet auf Akten zugreifen, wenn wir da nicht responsible disclosed hätten.

Das Zweite ist, man kann natürlich Show dann anwerfen, Internet of Things Suchmaschine, dort einfach mal Praxis eintippen und dann findet man endlos, endlos, endlos, wenn man es auf Deutschland eingrenzt, Zugänge zu allen möglichen Gesundheitsinstitutionen. Gesundheitsinstitutionen in Deutschland sind miserabel geschützt, das ist auch nicht deren Aufgabe, die haben wir auch nicht, ich sage mal, die Ressourcen dafür sind eh schon überlastet und natürlich kommt man remote an so eine Gesundheitsinstitution ran und kann dann die dort vorhandene IT, Connector, SMCB einfach mitnutzen. Ist alles schon freigeschaltet, alles schon da, ist also sehr einfach.

Aber vielleicht gibt es ja noch einen einfacheren Weg. Aber jetzt schauen wir uns erst mal den an. Schauen wir uns erst mal den an, dauert so zwei Stunden, wenn man ihn suchen lässt oder sucht.

Das Ganze ist remote verfügbar, das Ganze ist das Gleiche. Ihr kennt das inzwischen. Zugriff hat für alle ePAS, die für diese Leistungserbringerinstitutionen freigegeben sind.

Das Ganze ist eigentlich schon mal so ein bisschen bekannt, wurde gemeldet, responsible is closed, wurde dann gefixt. Aber es gibt wie viele Praxisverwaltungssysteme zum Beispiel, 200? Über 100. Also irgendwie ein paar, die finden vielleicht alle nicht so ganz proper.

Und jetzt ist aber die Frage, naja, also irgendwie Remote-Zugriff, vielleicht möchte man das doch irgendwie in die Hand nehmen. Und ja, beziehungsweise in die Hand nehmen, genau. Genau.

Wir haben uns noch einen Weg angeschaut, einen alten Bekannten. Da muss ich nur zum Telefonhörer greifen. Und zwar haben wir uns angeschaut, wie komme ich denn eigentlich an diese Gesundheitskarte? Also das ist ja der Schlüssel für den jeweiligen Versicherten, für die Versicherte auf diese eine Akte.

Wie komme ich denn da ran? Naja, die Ausgabeprozesse, wie schon demonstriert, 2014, 2015, 2016, 2017, 2017, 2019 und auch schon davor, 2012, sind nicht sicher. Und es ist quasi so ein jährliches Ritual, sich eine neue Gesundheitskarte zu bestellen. Aber nicht die eigene, sondern von jemand anderem.

Mit Einwilligung natürlich, also bei uns. Ich weiß nicht, wie ihr das handhabt, wenn ihr jährlich Gesundheitskarten bestellt. Haben wir wieder gemacht, haben wieder Gesundheitskarten bestellt.

Es waren diesmal zwei Telefonate notwendig, jeweils fünf Minuten Aufwand, zehn Minuten in etwa, würde ich schätzen. Und dann kam sich frei Haus, heutzutage brauche ich ja die PIN nicht mehr. Das heißt, da gibt es auch kein Ident, da kommt die Gesundheitskarte.

Und die Gesundheitskarte ist ja der Zugangsschlüssel zu meiner Akte. Ich muss ja nur an den Kiosk gehen und kann dann in meiner Akte rummühlen. Ja, jetzt ist die Frage, also 20 Minuten, kann man Remote machen, löscht Lesenzugriff, weil ihr könnt ja quasi auch in eurer ePad Dinge löschen, auch lesen und so weiter.

Hat das irgendjemand schon mal gemerkt, dass das vielleicht irgendwas ist, was man fixen hätte sollte? Ja, jetzt kommt leider das, was Karl Lauterbach nicht gefallen wird. Ulrich Kälber hat angemerkt 2023, dass die elektronischen Gesundheitskarten EGK müssen persönlich zugestellt werden oder eine Nachidentifizierung muss stattfinden, bevor die EGK als Zugangsmittel zur ETI eingesetzt wird. Bekannt aus Funk und Fernsehen tatsächlich, seit 2012, Kälber hat es noch mal auf den Punkt gebracht.

So, jetzt waren wir eine beliebige Patientin, jetzt hatten wir Zugriff auf theoretisch alle E-Pass, aber irgendwie, vielleicht brauchen wir nochmal so ein SMCB. Man kann nicht genug haben. Ja, wo findet man sowas denn? Ja, weiß ich nicht, Internet irgendwo, Ebay? Ne, kleiner Zeug.

Ist jetzt nicht mehr Ebay, ist jetzt getrennt. Dann zeig doch mal. Kleiner Zeug, genau.

Was haben wir bei kleiner Zeug gemacht? Nein, wir haben Kartenterminals bestellt. Die sind Orga 6141, gute Teile, haben sehr viele Kartenslots. Einen für die Gesundheitskarte, einen für Heilberufsausweise und zwei, einmal für eine kleine Chipkarte im Kartenterminal selbst und dann für die sogenannte SMCB.

Wir haben uns mal ein paar bestellt und haben dann auch ein paar SMCB-frei ausgeliefert bekommen. Teilweise waren die auch noch versiegelt original, also schön sicher. Auch die Pins lagen teilweise dabei.

Also, wenn man nett gefragt hat vorher bei kleiner Zeug, gibt es ja eine Chatfunktion, dann kriegt man auch die Pin. Restlaufzeiten ausnutzen, Gebrauchtmarkt, Zweigverwertung, ist ökologisch. Genau, was wir gemacht haben, wir haben die dann mal in so eine Karte eingelassen, also diese SMCBs, das sind so kleine Dinge.

Wenn man die entsprechend präpariert, dann kriegt man die auch in ein klassisches reiner SCT-Kartenterminal, dann braucht man das auch nicht mehr. Und, ja, nicht nur das, wir haben auch gedacht, wenn kleiner Zeug schon so ein gutes Hacker-Tool ist, schauen wir, was es noch hergibt. Wir haben uns als Dienstleister auf kleiner Zeug mal ein paar Anzeigen rausgesucht.

Und da gibt es tatsächlich einige, die aus ärztlicher Sicht Probleme mit ihrem Konnektor haben, mit der Installation. Das ist wirklich kompliziert. Und da haben wir gerne unseren Support angeboten und hatten dann auch Remote-Zugriff auf eine freigeschaltete SSCB.

Ja, so, wie lange dauert so eine Internet-Recherche? Naja, vier Stunden. Remote-Zugriff ist eine Internet-Recherche. Manchmal ist es ein bisschen hakelig, aber man kriegt es auch irgendwie hin.

Also die Response-Time bei kleiner Zeug ist nicht immer ideal, oder? Gibt schlechte Wertung, ja. Und was hat man damit? Man hat Zugriff auf diese für die Laie freigegebene E-Pass. Das kann unterschiedlich sein, was da so freigegeben ist, aber man hat dann zumindest halt den ordentlichen Zugriff in die TI.

Ja, jetzt reicht es langsam, würde ich sagen. Jetzt haben wir so, glaube ich, im Gesamtbild eigentlich alles, was wir brauchen, um auf alle E-Pass zuzugreifen, im wahrsten Sinne des Wortes. Und was ist jetzt unser Fazit? Ja, also erstmal kann man nochmal aufmalen, was wir uns alles angeschaut haben.

Also überall, wo hier rot eingekreist ist, das haben wir uns angeschaut und da war auch irgendwas. Also wir haben auf verschiedensten Wegen uns die Identitäten der Patientinnen und Patienten besorgt, Gesundheitskarten. Wir haben auf verschiedensten Wegen uns die Praxisidentitäten besorgt.

Sei es über den Zugang von außen, über das Thema der Konfiguration IT oder Gebrauchtmarkt oder IT-Support. Wir haben uns dann auf diesen verschiedenen Wegen, unter anderem auch über die Kartenherausgeber, ganz oben, die in rot markiert sind, bei den Portalen mal umgeschaut und haben gesehen, da ist es vielleicht noch einfacher. Und damit hatten wir wirklich alles zusammen, um auf individuelle Akten, beliebige zuzugreifen, um auf alle für eine Praxis freigegebenen Akten zuzugreifen, um auf alle 70 Millionen Akten zuzugreifen.

So, und weil dieses ganze Timeline vielleicht ein bisschen verwirrend war, haben wir nochmal eine schöne Übersicht gemacht, was uns eigentlich so seit dem 36C3 um den 36C3 passiert ist. Ein paar Sachen, also wir haben zum Beispiel den Zugangsweg für die Patientinnen in Reihe kompromittiert, wir haben den Zugriff über die Leistungserbringer kompromittiert und wir haben jetzt noch dazu, um die Sache noch schlimmer zu machen, einen systematischen Fehler im versicherten Stammdatenmanagement. Ja, und jetzt haben wir eine Opt-out-EPA für alle, die nicht widersprechen.

Das ist irgendwie doof, weil es erzeugt sowas wie Opportunitätskosten. Früher wurde gesagt, naja, die EPA ist zu sicher, deswegen nutzt sie niemand. Ja, ich glaube, so sicher war sie auch in der Historie nicht.

Wir haben jetzt aber natürlich durch das Thema EPA für alle ein wesentlich gesteigertes Schadensausmaß. Jetzt ist tatsächlich ein, sagen wir mal, Implementierungsdetail im versicherten Stammdatenmanagement ursächlich für einen Massendatenabfluss, theoretischen, wir hoffen, dass das noch gefixt wird, in der EPA für alle für 70 Millionen, die nicht widersprochen haben. Und das kostet natürlich in der Gesamtbetrachtung das Vertrauen in das digitale Gesundheitswesen.

Und dieses Vertrauen kann man, glaube ich, auch nicht so wirklich in Zahlen aufwiegen. Es ist aber am Ende unser aller Gesundheitswesen, unserer aller Digitalisierung des Gesundheitswesens. Und eigentlich sollten wir Interesse daran haben, dass das entsprechend vertrauenswürdig und sicher ist, damit es eben auch genutzt wird.

Ja, aber dazu vielleicht mal, wir versuchen ein bisschen weiterzuhelfen. Wir versuchen, jetzt haben wir ja Symptome gesehen, ziemlich viele Symptome sogar leider, uns auch quasi in jährlicher Sukzession immer wiederholt, dieselben oder ähnliche Symptome. Gibt es da irgendwie Gemeinsamkeiten, um herauszufinden, was ist die Ursache da, was liegt eigentlich dahinter, warum ist das so? Warum können wir uns darauf nicht verlassen, dass jetzt endlich mal eine EPA kommt, die dann sicher ist? Also erstens, was man sehr schnell feststellt, wenn man sich damit beschäftigt, da können ja einige ein Lied von singen, das sind Vertrauensräume, diese Komplexität auch der vielen Beteiligten in der Selbstverwaltung des Gesundheitswesens, wie gesagt, 100 Kassen, 100 Kartenherausgeber, das sind alles Außentäter-Szenarien, die wir gezeigt haben, die wirklich nur außen an der Oberfläche von dieser Komplexität kratzen.

Hier gibt es ein großer Gutachter von TI-Anwendungen und das Zitat dort ist, also das System ist inzwischen so komplex, dass es kaum noch jemand vollständig durchdringt. Fraunhofer SIT hat sich dort mal versucht mit einem Gematik-GPT, also auf diesem Wege daran zu kommen, aber auch das kann diese Komplexität in der Größe nicht durchdringen. Was leiten wir daraus ab? Also was sehen wir? Das ist so ein bisschen so, die Oberfläche, an der wir gekratzt haben, da sind wir ein bisschen tiefer gegangen und jetzt haben wir scharf überlegt und uns ein paar Kernforderungen zurechtgeschrieben, die umgesetzt werden müssen, damit wir dieses Vertrauen wieder zurückgewinnen, was hier verloren gegangen ist.

Zunächst einmal, das ist die wichtigste Forderung, brauchen wir eine unabhängige und belastbare Bewertung von Sicherheitsrisiken. Es kann nicht sein, dass ehrenamtlich von außen immer wieder und wieder zugetragen wird und irgendwo ad hoc gefixt wird. Nein, wir brauchen unabhängige, belastbare Bewertung von den in diesem System inherenten Risiken dieser Datenverarbeitung.

Und das kann nicht die Gematik oder das BMG machen, das muss eine unabhängige Stelle sein. Dann muss das kommuniziert werden, was hier als Entscheidung, als Risikoakzeptanzkriterium, als in dieser Risikobewertung einfließendes Kriterium, was dort niedergeschrieben worden ist, was dort vereinbart worden ist, das muss transparent kommuniziert werden. Also transparente Kommunikation von Risiken gegenüber Betroffenen.

Und wir sind alle betroffen, weil das ist die EPA für alle. Dann braucht es einen anderen Prozess, einen anderen Entwicklungsprozess, denn wenn wir immer das Gleiche tun, kommt auch am Ende immer dasselbe raus. Und es ist irrwitzig zu erwarten, dass jetzt auf einmal ein sicheres Produkt kommt, nachdem die EPA 1, die EPA 2 und die EPA 3 mit derartigen Mängeln versehen waren.

Wir brauchen einen offenen Entwicklungsprozess, Open Development, und zwar über den gesamten Lebenszyklus hinweg. Ja, was wir aber gleich dazu sagen sollten, weil vielleicht irgendwelche Leute auf die Idee kommen, das muss man irgendwie privatisieren, das macht es noch viel schlimmer. Ich glaube, wir brauchen eine sinnvolle, digitale, staatliche Lösung, die auch sinnvoll als öffentliche Infrastruktur funktioniert, weil ich glaube, niemand will irgendwie Dr. Lipp oder sonst irgendwas seine EPA maintainen lassen.

Wir merken, dass diese intransparenten Risikogetrachtungen im digitalen Gesundheitswesen Vertrauen zerstören. Ja, es geht dann wieder dazu, dass natürlich Menschen, die besonders von der EPA profitieren würden, diese nicht nutzen. Denkt an Menschen mit HIV-Erkrankungen, denkt an Menschen mit psychischen Erkrankungen, denkt an Menschen, die irgendwie häuslicher Gewalt ausgesetzt sind.

All diese Menschen haben eigentlich durch Digitalisierung im Gesundheitswesen vielleicht auch noch eine bessere Möglichkeit, an Gesundheitsleistungen zu kommen, aber die haben natürlich ein sehr, sehr viel stärkeres Sicherheitsbedürfnis, was aber natürlich durch solche Aktionen, die von der Gematik ausgehen, die wir ja nur zeigen, sondern machen es nicht kaputt, sondern wir zeigen nur, was kaputt ist, nicht unbedingt Vertrauen aufbauen. Das ist leider so ein Teufelskreis, in dem wir uns gerade befinden und ich glaube, ohne wirklich ein Ändern des Prozesses wird da auch zukünftig nichts anderes herauskommen. Ich meine, wir stehen zwar gern hier, aber irgendwann wird es auch ein bisschen langweilig, sorry.

Deswegen ist es eigentlich wichtig, dass wir eine vertrauenswürdige Lösung auch für jeden Sicherheitsbedarf schaffen. Es gibt natürlich Menschen, die haben vielleicht chronische Erkrankungen, die haben ein ganz anderes Verständnis zu, wie sicher muss das sein, denen ist irgendwie die medizinische Leistung wichtiger, aber es gibt natürlich Menschen, die haben einen sehr, sehr hohen Bedarf an nach Sicherheiten Lösungen und ich glaube, da ist auch dieser Gedanke mit, ich nehme nur eine EGK, um irgendwie hinzugehen und irgendwo Manikaze zu stecken, vielleicht für manche nicht ausreichend. Ja, jetzt ist es aber so, jetzt stehen wir hier und klagen wieder an, hat vielleicht nicht irgendjemand das schon mal artikuliert.

Ja, schon, zum Beispiel Alena Büx, ehemalige Vorsitzende des Deutschen Ethikrates, sagte zum Beispiel, es geht Lösungen zu finden, die es möglich machen, dass alle glücklich sind. Ja, das würden wir auch gerne haben. Und Susanne Osigowski, ihres Zeichens im Bundesgesundheitsministerium, sagte selbst, dass Sicherheit das A und O für die Ehepaar sei und das Vertrauen der Menschen in die Ehepaar so wichtig sei.

Wir merken davon nicht so viel, aber zumindest ist die Erkenntnis da und ja, wir gucken mal, wo wir in ein paar Monaten, Jahren, wo auch immer stehen, vielleicht hoffentlich nicht auf dieser Bühne, vielleicht wird es besser, vielleicht wird es auch genau so bleiben, schauen wir mal. Vielleicht noch einen Schlusssatz, um das Ganze zu fassen. Also, vertrauenswürdige Digitalisierung im Gesundheitswesen, das ist das, was wir wünschen.

Vertrauenswürdige Entwicklungen und Produkte und elektronische Patientenakten für die, die sie nutzen wollen und können und die davon profitieren. Das ist unser Ansinnen, unser Ziel. Aber dafür braucht es einen vertrauenswürdigen Prozess, der Vertrauen ermöglicht.

Und dieses Vertrauen, das ist irgendwo verloren gegangen. Und das muss sehr hart wieder zurückgearbeitet werden. Und wir hoffen, dass unsere Forderungen Gehör finden.

Und in diesem Sinne, Ja, da hinten winkt jemand, sehr gut. Dann gehen wir Mikrofon für Mikrofon durch. Signal Angel hat auch schon eine Frage, hervorragend.

Mikrofon 1, bitte, da drüben. Ja, ihr habt vorhin nur mit der größten Übersicht dargezeigt, an welchen Stellen in dem großen Zusammenhang ihr überall gepokt habt und an Informationen gekommen seid. Die Krankenkassen waren nicht dabei.

Droht uns da noch was? Jetzt wird es ein bisschen politisch. Die Krankenkassen dürfen inzwischen mit den Ihnen vorliegenden Daten, laut Gesundheitsdaten Nutzungsgesetz Paragraf 25 B SGB V, Entschuldigung für den ganzen Rechtskram. Ich war in dieser Anhörung dabei, von daher kenne ich das noch.

Die Krankenkassen können mit den Abrechnungsdaten zumindest bestimmte Krankheitsbilder oder Behandlungsszenarien auswerten. Das ist inzwischen schon per Design, auch wieder per Opt-out widersprechbar. Aber das ist tatsächlich so die erste Stufe, wo Krankenkassen auch etwas mehr, ja, sagen wir mal, in Behandlungsverläufe ein sich bekommen.

Was da politisch passiert, ist da natürlich eine Entscheidung, die könnt ihr auch mit eurer Wahl bei der anstehenden Bundestagswahl ein bisschen beeinflussen. Fragt doch mal einfach eure Wahlkandidatinnen dazu, was sie davon halten, wie die Trennung von Krankenkassen und diesem System eigentlich sein sollte. Das kann dann so und so politisch regeln.

Aber ihr habt noch keinen Zugangsweg dort ausprobiert. Also Kassen sind ja die Herausgeber von Gesundheitskarten. Und dieser Prozess ist halt teilweise angreifbar gewesen und ist auch weiterhin angreifbar.

Das heißt, wir müssen damit leben, dass diese Prozesse auch dauerhaft nicht richtig sicher sein können, wenn wir nicht das umsetzen, was eine sehr strikte Sicherheitsforderung ist. Das zweite ist, Kassen betreiben auch zum Teil diese versicherten Stammdatendienste selber. Aber ansonsten haben Kassen natürlich nur ein Schreibrecht in die elektronische Patientenakte.

Das muss man aber ganz klar sagen. Also Kassen auch mit einer SMC-Karte oder beziehungsweise dieser Identität einer Kasse kann nicht nur schreibend in diese Akte zugreifen. Und das sollte man vielleicht nochmal hervorheben.

Ja, danke. Das Internet hat eine Frage, bitte. Was wäre denn eure Empfehlung für so den 0815-Patienten? Und wie kann man aus der elektronischen Patientenakte opt-outen? Opt-out ist vielfach möglich.

Man kann komplett opt-outen. Man kann auch später wieder einwilligen. Oder ich sage mal, ich nehme den opt-out zurück.

Man kann auch die Akte grundsätzlich erstmal haben und dann gegen einzelne Verarbeitungsvorgänge widersprechen. Das ist alles auf den Seiten der gematik sehr schön dargelegt, wie das geht. Grundsätzliche Empfehlungen sprechen wir eigentlich nicht aus, weil wir sagen, jeder hat einen unterschiedlichen Sicherheitsbedarf.

Manche, die würden sehr schon davon profitieren und haben aber jetzt kein Bedürfnis, einen sehr vertraulichen Umgang mit diesen Daten zu pflegen. Und da würde ich sagen, okay, wenn jemand sagt, nein, ich möchte nicht, dass diese Daten in Hände von Familienangehörigen oder von Dritten gelangen und mir ist ein Aufwand von vier Stunden zu gering für einen Angreifer, dann würde ich sagen, dann erstmal opt-out und schauen, ob sich das vielleicht grundlegend mit der EPA4 ändert. Ja, man kann auch das opt-out, wie gesagt, jederzeit zurücknehmen.

Aber das muss jeder selber für sich oder jede selber für sich entscheiden. Vielen Dank. Mikrofon 2 hat noch eine Frage.

Konntet ihr einen Grund dafür finden, warum da ein statischer ID verwendet wird statt die signierte? Ist das irgendwie fixbar, ohne die Speck zu verändern? Jetzt beim Versicherungsstandardmanagement, warum die ECCSN verwendet wird statt die signierte, das ist historisch gewachsen, dass dieser Prüfungsnachweis, der dort erzeugt wird, der ist eigentlich nur Nachweis darüber, dass eine Ärztin, ein Arzt die Stammdaten auf Aktualität geprüft hat. Man soll nie nachweisen, dass eine echte Gesundheitskarte vorlag. Das hat man dann später als das Einzige, was da war, genutzt.

Es gibt einen, was diesen Mangel angeht, also das ist ja wie gesagt nur einer von vielen, 2026 einen neuen Dienst, der das dann richtig machen soll. Guten Tag, meine Frage richtet sich daran, ihr hattet jetzt über Jahre kommuniziert mit den Verantwortlichen. Wie seht ihr diese Kommunikation? Was funktioniert, was funktioniert nicht? Wie herzlich oder wie ehrlich ist die Kommunikation? Was motiviert euch weiterzumachen und wo sind ganz klare Wände, gegen die man rennt? Also wir haben ja schon ein bisschen auch vorher mit Menschen gesprochen, Menschen darauf vorbereitet, was kommen wird und ich glaube auch dieses, wie auch die Gematik selbst diese Security-Prozesse aufnimmt, das ist schon auch irgendwie, wie man das so von Prozessen erwarten würde, auch freundlich, kollegial, so ein bisschen Security-Do, nennen wir es mal so.

Ich sehe das aber halt mit politischen Prämissen, die dann irgendwie sagen, mit Datenschätzen und so weiter und so fort, die Gematik auch immer ein bisschen in so einer ungünstigen Rolle von, das sind die politischen Forderungen, die erfüllt werden müssen und das ist das, was man auf der Arbeitsebene noch regeln kann. Wenn halt ein Timeline sagt, am 15. Januar müssen wir mit diesem Ding online gehen und dann sagt jemand, ja securitymäßig müssen wir da vielleicht noch was fixen, weil das ist vielleicht doch ein Risiko, ist natürlich auch der Handlungsspielraum, den man da hat, vielleicht eher dazu da, um das politische Ziel zu erreichen und ich glaube, das ist das Problem, in dem sich dieser ganze Kontext befindet und das ist zumindest mein Eindruck davon.

Vielleicht kann man es auf einen Satz zusammenfangen. Also alle, mit denen wir zusammenarbeiten, auf fachlicher Ebene insbesondere, die auch hier beispielsweise bei der Gematik versuchen, alle versuchen, unter den Voraussetzungen das Beste zu erreichen, was sie können. Aber selbst, wenn alle zehnmal besser arbeiten würden, dann hätten wir die elektronische Patientenakte in den letzten fünf Jahren eben nicht zehn, sondern einmal gehackt und bei einer Lebensdauer von hundert Jahren, wären das halt dann nur, naja, zehnmal.

Ich weiß nicht, wie oft man das erwartet, wie oft darf so eine Akte in der Lebenszeit gehackt werden. Ich glaube, diese Rechnung wollen wir nicht anstellen und das führt auch zu nichts. Man muss erkennen, dass dieser Prozess, in dem diese Akte entsteht, nicht zu einer sicheren, vertrauenswürdigen, digitalen Gesundheitsakte führen kann und dass es da grundlegende Änderungen braucht.

Es liegt nicht an den Menschen. Es liegt vielleicht an der Entscheidungsebene, die vorgibt, dass gewisse Ziele eingehalten werden müssen zu gewissen Terminen. Das kann natürlich sein.

Sind euch weitere Stellen bekannt in der SPEC, in denen die Gematik festgestellt hat, dass Angreifer eventuell Lücken ausnutzen könnten? Also, wie gesagt, wir haben von außen drauf geschaut, aus einer Außentäterperspektive und das sind die Lücken, die wir heute vorgestellt haben, aus der Außentäterperspektive, weil das die sind, die auch am ehesten begreifbar sind und auch vorstellbar sind. Das System hat weitere Mängel, die betreffen weitere Sicherheitsannahmen, organisatorisch und auf der Ebene unter den, also mit entsprechend privilegierten Positionen und das, was wir gemacht haben, ist auch längst nicht vollständig. Also wir haben keine vollständige Sicherheitsanalyse gemacht, sondern wir haben uns das angeschaut, was irgendwie untergekommen ist als erstes.

Das heißt, da ist durchaus der Bedarf da, das weiterzuführen, diese Arbeit. Das war also jetzt der Vortrag. Konnte bisher noch nie gehackt werden.

Die elektronische Patientenakte kommt jetzt für alle. Von Martin Tschirsig und Bianca Kastl beim 38. Chaos Communication Congress.

Jetzt gab es ja einiges an Kommentaren und Berichterstattung zu dem Vortrag. Bundesgesundheitsminister Karl Lauterbach schreibt auf der Plattform X, Zitat, die EPA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind. Daran wird schon länger gearbeitet.

Wir brauchen die Digitalisierung für eine bessere Medizin und Forschung. Das schreibt also Karl Lauterbach in einem kurzen privaten Statement. Die entscheidende Frage, ob das jetzt Auswirkungen oder den Level an Sicherheit, der in dem System eingebaut ist, beeinflusst, vielleicht die ganze Aktion sich verzögert, können wir daraus noch nicht erkennen.

Auf dem Informationsportal Heise Online lesen wir, Gesundheitsminister, E-Patientenakte startet, wenn Hackerangriffe unmöglich. Weiter schreibt der Nachrichtendienst, kurz zuvor hieß es von einer Sprecherin des Bundesgesundheitsministeriums, BMG, auf Nachfrage von Heise Online noch, man wolle trotzdem am bundesweiten Rollout ab dem 15. Januar festhalten.

Über das Problem sei man mit dem CCC in Kontakt. Das theoretische Problem, das der CCC beschreibt, wird von der Einführung der EPA für alle gelöst sein. Das BSI, also das Bundesamt für Sicherheit in der Informationstechnik, wird dies zur gegebenen Zeit offiziell bestätigen.

Am 15. Januar startet wie geplant die Pilotphase. Die EPA für alle wird zum Start allen hohen Sicherheitsstandards genügen, die auch von BSI und BFDI mitgetragen werden, sagte dazu die Sprecherin.

In einem weiteren Artikel bei Heise Online lesen wir, Sicherheitslücken seit Jahren bekannt. Ein Dauerbrenner und zentraler Punkt ist dabei die unkontrollierte Ausgabe von Gesundheitskarten. Die Forscher konnten durch simple Telefonanrufe bei Krankenkassen elektronische Gesundheitskarten auf fremde Namen bestellen.

Der zeitliche Aufwand für diese Angriffe ist erstaunlich gering. Die Bestellung einer fremden Gesundheitskarte konnte in 10 bis 20 Minuten erreicht werden. Praxiszugänge ließen sich ebenfalls innerhalb weniger Stunden bis Tage erlangen.

Grund dafür sind Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie dem Umgang mit dem Ausweisen in der Praxis. Das schreibt soweit erst mal das Nachrichtenportal Heise Online. Im Nachrichtenportal spiegel.de lesen wir, wie sicher ist die elektronische Patientenakte wirklich? Die elektronische Patientenakte ist ein Herzensprojekt von Gesundheitsminister Karl Lauterbach.

Doch nun haben Hacker erneut Sicherheitslücken nachgewiesen. Sie nähern die Zweifel an dem Vorhaben. Im Verlaufe des Artikels finden wir eine Infobox, wie sie der EPA widersprechen können.

Gesetzlich Versicherte ab 15 Jahren müssen sich entscheiden. Tun sie nichts, bekommen sie eine EPA in den Modellregionen Hamburg, Franken und Umland sowie Nordrhein-Westfalen ab dem 15. Januar.

Der Rest des Landes soll frühestens 4 Wochen danach folgen. Wer keine EPA haben möchte, muss widersprechen. Möglich ist das ohne Angabe von Gründen und jederzeit, nachdem man von der eigenen Krankenkasse über dieses Widerspruchsrecht informiert wurde.

Beim Verfassen des jeweiligen Schreibens kann der Widerspruchsgenerator helfen, den Bürgerrechtsorganisationen wie Attac und andere zur Verfügung stellen. Zudem soll es digitale Widerspruchswege geben, entweder über die Apps der Kassen oder ihre eigenen Widerspruchsformularseiten im Internet. Soweit also spiegel.de. Wir haben jetzt auf unserer Webseite nochmal zusammengefasst die Links zu den Artikeln, aus denen wir jetzt eben auch ein bisschen was vorgelesen haben.

Das heißt, ihr könnt all diese Links zu den Krankenkassen, wo ihr euch nochmal schlau machen könnt, zu den Vorträgen, wo die Infos erläutert werden, zu den Opt-out-Möglichkeiten, wo müsst ihr hin, um welche Formulare auszufüllen, wenn ihr dem Anlegen einer elektronischen Patientenakte widersprechen wollt. Die Frage ist natürlich, wollt ihr das unbedingt, ist das sinnvoll, ist das nicht sinnvoll, die lässt sich nur individuell beantworten. Ist es sinnvoll, in eurer medizinischen Situation, dass Informationen sehr schnell ausgetauscht werden, oder legt ihr eher Wert darauf, dass eure Informationen nicht verknüpft werden können.

Das war also jetzt das politopia-magazin. Schön, dass ihr dabei wart, schön, dass ihr zugehört habt. Wie immer könnt ihr auf unserer Webseite politopiamagazin.de diese Sendung nachhören und die Links zu den einzelnen Artikeln, die wir verwendet haben, beziehungsweise den Vortrag, den wir euch auch vorgespielt haben, findet ihr dort auch in den Shownotes, also in den Sendungsnotizen.

Wir hören uns immer Mittwoch, 16 Uhr, hier bei Radio X. Also, bis nächste Woche. Bis dann.