Nach ePA-Hack des CCC
Einführung der elektronischen Patientenakte verzögert sich
Die Sicherheitsprobleme im Zusammenhang mit der ePA genannten elektronischen Patientenakte sorgen dafür, dass die Einführung des zentralen Speichers von Gesundheitsdaten nicht wie geplant stattfinden kann. Wir haben vor einer Woche über das Thema informiert. Hacker des Chaos Computer Club hatten gravierende Sicherheitsmängel in der von der im Auftrag der Bundesregierung von der Gematik GmbH erstellten Anwendung offengelegt.
Mit der jetzigen Ankündigung revidiert der Bundesgesundheitsminister Karl Lauterbach zuvor in Regierungskreisen getätigte Aussagen, denen zufolge man den Start des neuen Digitalisierungsprojekts auch nach diesen Enthüllungen nicht aufschieben wolle. Die mangelhafte Sicherheit für die persönlichen Daten der Bürger wurde als „theoretisches Problem“ abgetan, das noch vor der für den 15. Januar geplanten Einführung gelöst sei.
Artikel ist kritisch aber fair. Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind. Daran wird schon länger gearbeitet. Wir brauchen die Digitalisierung für eine bessere Medizin und Forschung https://t.co/vp2U28cu8B
— Prof. Karl Lauterbach (@Karl_Lauterbach) January 3, 2025
Probleme waren teils schon bekannt
Das am Wochenende nachgeschobene Statement deutet an, dass sich die genannten Probleme längst nicht so einfach beheben lassen, wie es die Verantwortlichen gerne hätten. Lauterbach reagiert damit auf einen hinter einer Paywall versteckten Artikel des „Spiegel“, der im Wesentlichen auf den vom Chaos Computer Club aufgezeigten Missständen basiert.
Die Einführung der ePA scheint somit zunächst auf unbestimmte Zeit verschoben. Man wolle das System erst an den Start bringen, wenn alle Hackerangriffe, auch die des Chaos Computer Clubs, unmöglich gemacht worden sind. Für Unverständnis sorgt Lauterbachs Anmerkung, dass an der Beseitigung der Sicherheitslücken schon länger gearbeitet werde. Im Klartext würde dies bedeuten, dass zumindest ein Teil der Schwachstellen bereits intern bekannt war, jedoch keinen Einfluss auf die Freigabe der elektronischen Patientenakte gehabt hätte.
Gesundheitsinfos zentral gespeichert
Grundsätzlich ist es geplant, die elektronische Patientenakte für alle gesetzlich Versicherten einzurichten. Wer die ePA nicht nutzen möchte, muss dieser Verwendung seiner Daten aktiv widersprechen. Die digitale Akte soll Informationen wie Arztbriefe, Befundberichte oder auch Entlassbriefe sowie eine Übersicht der verordneten Medikamente bieten.
Die Kritik und das Aufzeigen der Sicherheitslücken ist nicht als generelle Ablehnung der Digitalisierung zu verstehen. Allerdings scheitern die für die öffentliche Hand tätigen Dienstleister immer wieder aufs Neue daran, die bei solchen Projekten nötigen Sicherheitsstandards erfüllen.
War ja so klar. Nix kriegt dieses Land mehr hin
Gibt genug andere Länder in denen du leben kannst.
Nix gegen sachliche Kritik und ja, viel läuft falsch.
Aber dieses negative allgemeine gebashe langweilt.
Du lebst immer noch in einem Land mit dem höchsten Lebensstandard weltweit. Trotz des täglich kolportierten Untergangs, der dann doch nicht stattfindet.
Wenn du es emotional nicht hinbekommst täglich die Zeitung aufzuschlagen probiers mal damit:
https://gute-nachrichten.com.de
Und ein gutes neues Jahr Dir noch!
+1
Danke!
+1
Liegt aber vielleicht wirklich dran dass es langsam überhand nimmt wir dem was NICHT klappt oder ewig brauch in diesem Land.
Danke, diese ewigen Nörgler nerven extrem! Ja, es gibt viele Baustellen (oder vielleicht auch zu wenige ;-) ) Aber jeder der permanent völlig substanzlosen Nörgler sollten einmal ins nahe und ferne Ausland schauen. Ich bezweifle, dass sie ein Land finden, in denen sie lieber leben würden und dabei einen vergleichbaren hohen Lebens- und vor allen Dingen Absicherungsstandard vorfinden!
Selbst denen, den es hier (leider) viel schlechter geht, als dem Durchschnitt haben es noch besser als in vielen anderen Ländern (und dabei meine ich nicht 2. oder 3.Welt Länder)
Aber so mancher Nörgler sitzt bekanntlich gar nicht in Deutschland, sondern in irgendwelchen Bot-Centern im Ausland ;-)
Dem höchsten Lebensstandard widerspreche ich. Ich bin vor einiger Zeit nach Thailand ausgewandert, Deutschland hängt meilenweit hinterher.
Besuch mal ein Krankenhaus und du wirst wissen, was ich meine.
Auch das bezahlen mit QR-Code ist einfach genial, jeder kleine Straßenhändler kann das.
Die Polizisten sind extrem freundlich, auch wenn du mit 35 KMH zu schnell geblitzt wirst. Was kostet ein Baht und gut ist.
Probleme mit der Sicherheit auf Straßen? Fehlanzeige.
Mir fallen gerade wirklich nicht viele Dinge ein, die in Deutschland besser sein sollen.
@Hartmut
Das bezahlen via QR Codes ist aber ja eher rückständig. Die bessere Verbreitung von bargeldlosen Zahlen ist aber natürlich ein Pluspunkt.
Oje, Junge!
In welcher parallel Welt lebst Du?
@Hessenbabler
Ich finde das gar nicht rückständig, denn es hat einen gewaltigen Vorteil: die Händler benötigen keinerlei technische Geräte, ein ausgedruckte QR-Code reicht. Darum ist das auch so extrem verbreitet.
Übrigens ist das komplette System gebührenfrei.
Und Menschen mit deiner Einstellung sind die Ursache dafür.
Das würde ich so nicht sagen
Nein!
Es gibt viel zu wenige Menschen mit dieser Einstellung. Daher ändert sich nix!
Frohes Neues!
@CoolCat
Als würden Menschen mit dieser Einstellung irgendetwas selbst auf die Reihe bekommen.
Waldsterben seit den 70igern…Deutschland ist jetzt eine Wüste, Nein. Wird schon, Kopf hoch! Ansonsten mal eine Woche Südafrika ausprobieren, nicht im Hotel. Kommste wieder angekrochen und preist Deutschland.
Sehr guter Artikel.
Wieso überrascht mich diese Meldung nicht?
1++
Genau deswegen habe ich auch dem anlegen einer ePA widersprochen.
Die C19 Impfung ist auch vollkommen Nebenwirkungsfrei ..
Ne ist sie auch nicht. Hat nie jemand behauptet. Kein Medikament der Welt ist Nebenwirkungsfrei. Es gibt immer darum ob der Nutzen den potentiellen Schaden übersteigt und mit welcher Wahrscheinlichkeit dieser Schaden eintritt.
Ist die Wahrscheinlichkeit hinreichend klein oder der Nutzen ausreichend groß wird das Medikament zugelassen. Und das ist bei der Impfung der Fall.
Aber zurück zum Thema. Es geht hier um die EPA keine Strohmannargumentation bitte.
genau das
+1 Danke
Oh doch: das wurde behauptet!
Wie schnell die Menschen vergessen…
Bist du hier Moderator? Wenn du das nicht bist, empfehle ich eine weniger provokante Art zu schreiben.
@vegiwhopper
Nein, wurde es nicht. Zumindest nie ernsthaft.
Ist auch gar nicht möglich. Da einfach alles Nebenwirkungen hat. Selbst reines Wasser.
@vegiwhopper, das wurde nur von den Fakenews-Verbreitern und Verschwörungstheoretikern behauptet, damit sie gegen die Regierung bashen konnten. Und ihr Schafe glaubt denen einfach alles.
Es gab auch genug Studien zum Nachlesen.
Und bevor jetzt die Frage kommt; goggle selbst, ist alles auffindbar.
Ok noch ein einziges Mal gehe ich auf das Thema hier ein.
Nein wurde es, bei mir, nicht. Schon bei der aller ersten Impfung (im übrigen wie bei allen andern auch; Grippe, Hep A/B, Polio, … ) gab es Seiten mit Hinweisen die man durchlesen und unterschreiben musste was alles möglich ist (Aufklärungsbogen) + die Möglichkeit einem Arzt, einer Ärztin Rückfragen zu stellen. Ich habe die Dokumente 2 m neben mir. Also bitte keine falschen Unterstellungen/Behauptungen.
Nein, hat gewiss nie und nimmer jemand behauptet… Außer vielleicht der Gesundheitsminister (und mehr als genug andere Beteiligte auch) höchstpersönlich.
https://www.allgemeine-zeitung.de/politik/politik-deutschland/coronavirus-impfung-doch-nicht-nebenwirkungsfrei-1711359
Doch Professor Karl Lauterbach meinte das mal. Ganz zu Anfang der Impfung, dass sie Nebenwirkungsfrei sei,
@Sascha
@mahmud
Nein, auch ein Karl Lauterbach hatte dies nie behauptet.
Hier wird immer ein gewisses Zitat von Lauterbach genommen von den Schwurblern.
Aber dieses Zitat war zum einen aus dem Kontext gerissen und lautete dazu noch „mehr oder weniger Nebenwirkungsfrei“. Also nicht „komplett Nebenwirkungsfrei“. Großer und wichtiger Unterschied.
Man kann Lauterbach vielleicht vorwerfen, mit dieser Formulierung nicht an die dümmsten unserer Gesellschaft gedacht zu haben , man kann ihm aber nicht vorwerfen, er hätte jemals behauptet, die Impfung hätte keinerlei Nebenwirkungen.
Dazu war Lauterbach zu diesem Zeitpunkt kein Minister.
Danke Siegfried und @vegiwhopper: dein Nick sagt ja eigentlich alles
;-)))
Bei den anderen Impfungen wirst du aber nicht gezwungen. Und das ist der kleine Unterschied.
Nur der Ordnung halber: ich finde die Corona Impfungen gut und sinnvoll.
Masern?
nichts was eine Wirkung hat, ist nebenwirkungsfrei
Noch so ein unsinniger Post! Niemand hat jemals behauptet, dass irgendeine Impfung ‚völlig‘ Nebenwirkungsfrei ist! Aber empfohlene Impfungen haben eben immer eine positive Risikoabwägung. Dh. mögliche Risiken und ihre Eintrittswahrscheinlichkeit sind niedriger als die Risiken bei Nicht-Impfung und deren Eintrittswahrscheinlichkeit.
Zum Thema:
Es wird Zeit, dass der CCC frühzeitig, sprich beim Erstellen des Pflichtenheftes und der Auswahl der Unternehmen eingebunden wird
Das ist das falsche Video, das ist vom 36C3. Das letzte Video ist vom 38C3: https://media.ccc.de/v/38c3-konnte-bisher-noch-nie-gehackt-werden-die-elektronische-patientenakte-kommt-jetzt-fr-alle
Mist, danke … habe ich korrigiert
Wenn ich schon die Ehre hatte, eine der Kameras zu bedienen, die den Vortrag aufgezeichnet haben, muss ich ja auch meinen Senf dazu abgeben :-P
Ich muss jedes Mal wenn ich meine Herztabletten brauche extra meine Krankenkassenkarte beim Hausarzt persönlich vorzeigen obwohl ich dort schon seit 30 Patient bin. Solange sie so einen bürokratischen Schwachsinn nicht abschaffen sehe ich für – mich zumindest – wenig Sinn in der weiteren Digitalisierung. (Ich brauche alle drei Monate Betablocker und Blutdrucksenker, für den Rest meines Lebens, die Packungen enthalten immer je 100 Tabletten, also immer gerade für ein Quartal)
Muss man einmal im Quartal nicht sowieso die Karte vorzeigen?
Wenn du krank bist und zum Arzt musst: ja. Anderenfalls nicht.
Die Vorlage 1 x im Quartal hat auch einen Vorteil für diejenigen, die häufiger zum Arzt müssen und dort auch bekannt sind.
Wieso überhaupt eine Vorlage quartalsmäßig, warum nicht minimal jährlich? Wenn ich sowieso immer zum Arzt hinmuß, um meine Karte einlesen zu lassen, könnte ich auch nach wie vor ein Papierrezept mitnehmen. Öfter als einmal im Quartal, nämlich für ein paar Langzeitmedikamente, muß ich nämlich nicht zum Arzt. Das digitale Rezept hat für mich so leider keinen Vorteil.
Das hat weniger was mit dem Rezept zu tun als mit der Abrechnung.
Ärzte rechnen einmal pro Quartal mit der GKV ab. Dafür müssen sie beweisen, dass der Patient auch bei Krankenkasse XY versichert war. Für diesen Beweis muss die Versichertenkarte in diesem Quartal eingelesen worden sein.
Sollte mit der geplanten digitalen Gesundheits-ID dann auch nicht mehr nötig sein.
Als Kassenarzt müssen wir bei JEDEM Besuch die Krankenkassenkarte einlesen. Bei uns meckert sonst sofort die EDV. Das ist eine Vorgabe der Kassenärztlichen Vereinigung. Ich vermute man unterstellt den Ärzten dass wir sonst falsch abrechnen.
Ja dient der Sicherheit dass es keinen Betrug gibt und zwar von jeglicher Partei
So ein Quark. Wenn ich innerhalb eines Quartals beim Arzt war, muß ich vor Ablauf des Quartals dort nicht mehr die Karte einlesen lassen.
naja, wenigstens nehmen sie das Thema nun endlich ernst. Hat was vom
„beA gate“ (besonderes elektronisches Anwaltspostfach.
Hör mir bloß mit dem beA auf. Ich bekomme Mordlust , wenn ich daran denke. Bescheidene User experience, null stabil das System und noch unterirdischerer „Support“ von der Bundesrechtsanwaltskammer, wenn die selber was verbaselt haben, wie zB meine Kündigung der Karte wegen Jobwechsels. Mir geht heute noch der Blutdruck hoch, wenn ich daran denke was mich das an emails und Telefonaten gekostet hat.
Ich habe gehört, dass Daten nur in pseudonymisierter Form zu „Forschungszwecken“ an Privatunternehmen verkauft werden und war schon skeptisch.
Die Berichte des CCC waren für mich dann Auslöser, der ePA vorerst zu widersprechen, bis sie aus den Kinderschuhen raus ist. Ich bin jung und gesund. Mir bietet die ePA wenig Vorteile. Wäre ich 80 oder würde diverse Medikamente nehmen, wäre meine Entscheidung vielleicht anders gewesen.
Da hast du richtig gelesen, so stand es in der Benachrichtigung der Krankenkasse. Natürlich alles „anonym“. Dann hat man so gravierende Sicherheitsprobleme. Aber vielleicht ist das ja auch gewollt?
@Blub
Die ePA selbst hat gar keine solch gravierenden Sicherheitslücken. Der Fehler liegt eher an anderer Stelle.
Eigentlich sollte auch Politikern inzwischen bekannt sein, dass „pseudonymisiert“ nur eine Anomisierung vortäuscht. Eigentlich sagt ja das „pseudo“ schon alles! Aber man hält die Leute eben für dumm.
Unklar scheint auch zu sein, wer da alles für „Forschungszwecken“ „auswerten“ darf. In skandinavischen Ländern führte sas wohl auch schon zu Erpressungsversuchen von Patienten.
So ist es eben, wenn ohne große IT-Kentnisse Anwendungen mit schneller Nadel gestrickt werden. Es gäbe da so etwas wie Hazard- und safety-Analysen – der heutigen Generation von Entwicklern und wohl insbesondere ihren Auftraggebern unbekannt.
„Man wolle das System erst an den Start bringen, wenn alle Hackerangriffe, auch die des Chaos Computer Clubs, unmöglich gemacht worden sind.“
Mit so einer Voraussetzung kann sie nie kommen. Bisher hat noch kein Entwickler dieser Welt es geschafft, etwas komplett sicher vor Hackerangriffen zu machen. Ich bezweifle, dass man es bei der ePA als erstes schaffen wird.
Aber ganz so einfach sollte man es den Hackern dieser Welt nicht machen. Und da ist da die hackerfreundliche Entscheidung ein einziges System zu schaffen, damit die Hacker auch ja Zugriff zu allen Daten der deutschen Pflichtversicherten haben.
Noch ist Zeit zu widersprechen! Man kann immer noch später zustimmen!
Ich glaube, am sichersten ist es, gar nicht mehr zum Arzt zu gehen.
Lauterbach ist wie jeder Politiker eigentlich vom weltlichen ab
Ich finde, daß er der beste Gesundheitsminister ist, den wir in den letzten beiden Jahrzehnten hatten. Er ist selber Arzt und weiß (meistens), wovon er spricht und er hat die seit ebenfalls zwanzig Jahren überfällige Krankenhausreform angestoßen. Hat während der Merkel-Ära ja leider niemand hinbekommen. Überhaupt wurde während dieser Zeit vieles verpennt und ausgesessen (z.B. Verkehrsbrücken und sonstige Infrastruktur) und nun schiebt man es der Ampel in die Schuhe, die aber daran gar nicht Schuld ist. Finde ich in vielen Debatten und Stammtischparolen sehr unfair. Aber Denken hat derzeit leider keine Saison.
@Serviervorschlag
Stimme ich dir großteils zu.
Allerdings räumt er auch ein bisschen seine eigenen Entscheidungen auf. Er hat damals z.b. die Fallpauschale mitentwickelt.
Ein großer Fehler ist die Größe des Projektes zu unterschätzen:
– eine GmbH sollte nicht daran arbeiten dürfen da sie für den Schaden nicht haften wird
– ohne die Anbieter der aktuellen OS (Apple, Meta, Microsoft) im Projekt wird das keine integrierte Lösung
– eine nationale Lösung ist nutzlos in einer globalen Wirtschaft (eigene Kreditkarte für Deutschland…)
Im Projektteam sind Vertreter von Expertengruppen (Ethik, Security, Recht, …) also z.B. der CCC notwendig. Alles muss öffentlich in GIT verfügbar sein. Alle Daten im öffentlichen Zugriff damit ständig das Sicherheitskonzept geprüft wird. Erst die Sicherheit dann die Funktion sollte das Prinzip sein (wie bei einer Blockchain).
Würdet Ihr bitte den alten Link (36C3) auch nochmal zur Verfügung stellen. besten Dank
gefunden,
https://media.ccc.de/v/36c3-10595-hacker_hin_oder_her_die_elektronische_patientenakte_kommt
Längst widersprochen…
Am 23.02.2025 meine Stimme für die Fachkräfte der SPD, ohne die es uns viel schlechter gehen würde!
Psst, das passt doch nicht in das derzeit herrschende Politikbild Deutschlands. ;-)
Jedes noch so kleine und große System mit keiner oder hunderten Schnittstellen muss durch einen PENTEST, der sicherlich nicht alles abfangen wird. Die PENTEST-„Hacker“ finden immer wieder eklatante Verletzungen, wo man nur mit dem Kopf schüttelt.
Bei dieser Dimension hier, müsste das Gesamtkonstrukt einige Monate vor dem GoLive von Hackern durchlöchert werden. Das muss auch finanziell in den Projekten eingeplant werden.
Aber da war das Trigger-Wort –> Finanzen.
:(
SQL-Injection … unfassbar! Hochgradig peinliche & unprofessionelle Fehler.
Der CCC sieht für seine Arbeit allerdings keinen Cent.
Leider! Das ist so was von an der Zeit.
Wie es in der restlichen Programmierwelt stattfindet:
Lieber CCC, suche möglichst viele Bugs, für jeden erhältst Du eine Bezahlung, gewichtet nach Schwere. Hat zwei Vorteile: der Programmierer testet besser, weil ihm jeder Fehler Geld kostet und der CCC sucht intensiver, weil es mehr Geld gibt.
Zack, erledigt.
Mir wäre es lieber wenn es etwas schneller ginge. Die digitale Auswertung von Patientendaten ist gerade in der Früherkennung von Krankheiten mehr als überfällig und auch lebensrettend. Wenn da Daten anonymisiert verkauft werden, ist das „Verkaufen“ der eigentliche Skandal, nicht die Weitergabe.
Hier geht es darum, Leben zu retten, und neue Wege der Diagnostik zu finden. Das geht nicht mit „Meine Daten gehören mir“.
Richtig! +1
Aber nicht, wenn sie sich jeder auf deren Servern abholen kann. Darum geht es hier!
Sehr richtig!
Ich bin für die Einführung des elektronischen Phrasenschweins hier auf ifun.de. Dann müssten einige hier schon ordentlich blechen.
ich finde es richtig gut das Lauterbach den CCC nun auch mal öffentlich anerkennt und als fachlich kompetente Größe in den Vordergrund stellt und somit dieser Institution absoluten Respekt zollt!
Dies ist eher ein Problem.
Der CCC ist alles andere als unumstritten.
Warum?
Weil der CCC gefühlt erst einmal gegen alles neue ist. Hätte es den CCC vor der Elektrizität gegeben, hätte der CCC auch datenschutzrechtliche Bedenken zu Stromleitungen und Steckdosen geäußert.
Berühmtestes Beispiel ist vermutlich der ePerso. Was hat der CCC vor 14 Jahren dagegen gewettert und von „praxisrelevantes systemischer Versagen“ usw. gesprochen. Jetzt, 14 Jahre später, ist immer noch kein einzig relevanter Fall bekannt, bei dem eine Schwachstelle des ePersos irgendwie ausgenutzt wurde.
Wenn es nach dem CCC gegangen wäre und die Politik auf den CCC gehört hätte, hätten wir vermutlich ihn heute noch nicht. Obwohl der CCC hier unrecht hatte.
Und da gibt es noch einige andere Beispiele, wenn auch nicht so große.
Der CCC ist immer ganz nah am Aluhut und man sollte diesem nicht alles blind glauben oder einfach mal nachdenken, wie realistisch das Ausnutzen von theoretischen Lücken in der Realität ist.
Der Karl halt….
Es ist einfach peinlich
Der Typ sieht selbst gehackt aus… Wer dem die letzten vier Jahre auch nur ain Wort geglaubt hat und nichts von dem überprüft hat, dem kann ich auch nicht helfen.
Komisch die Meldung taucht nur hier auf???