38C3 Talk von Bianca Kastl und Martin Tschirsich vom 27.12.2024
Slides hier herunterladen
Talk hier online schauen
Sicherheitsmängel begleiten die elektronischen Patientenakte (ePA) seit ihrer Einführung im Jahr 2020. Mit der Umstellung auf ein Opt-Out kommt die
Patientenakte jetzt “für Alle”: Gesundheitsdaten von über 70 Millionen in Deutschland Krankenversicherten werden dann ohne deren Zutun über Praxis- und
Krankenhausgrenzen hinweg in einer zentralen Akte zusammengeführt.
Doch auch die “ePA für Alle” kann die gegebenen Sicherheitsversprechen nicht
einhalten. In ihrem Vortag auf dem 38. Chaos Communication Congress in Hamburg demonstrieren Bianca Kastl und Martin Tschirsich, wie sich Dritte mit wenig
Aufwand Zugang zur ePA für Alle verschaffen können.
Die Sicherheitsforscher zeigen unter anderem, wie sie sich mit wenig Aufwand und zum wiederholten Mal gültige Heilberufs- und Praxisausweise sowie
Gesundheitskarten Dritter beschaffen und damit auf Gesundheitsdaten zugreifen konnten. Ursächlich sind erneut Mängel in den Ausgabeprozessen, den
Beantragungsportalen sowie in der Handhabung der Karten im Feld.
Zudem demonstrieren sie, wie sie unter Ausnutzung von Mängeln in der Spezifikation
Zugriffstoken für Akten beliebiger Versicherter erstellen konnten, auch ohne dass diese zuvor ihre Gesundheitskarte stecken mussten. Damit waren auf einen
Schlag alle über 70 Millionen Akten zugänglich.
Erneut gelang auch der Fernzugriff auf Patientenakten über unsicher konfigurierte IT in Gesundheitseinrichtungen sowie Dienstleister-Zugänge.
Nur wenn die Sicherheit der ePA für Alle ausreichend gewährleistet ist, werden Leistungserbringer und Versicherte die ePA akzeptieren und auch nutzen. Das dazu notwendige Vertrauen lässt sich nicht verordnen. Es gilt weiterhin, eine ePA tatsächlich für alle zu bauen, die den individuellen Sicherheitsbedarf berücksichtigt. Die Forderungen der Sicherheitsforscher lauten:
Unabhängige und belastbare Bewertung von Sicherheitsrisiken
Transparente Kommunikation von Risiken gegenüber Betroffenen
Offener Entwicklungsprozess über den gesamten Lebenszyklus
Vertrauenswürdige digitale Infrastrukturen können nur entstehen, wenn der Entstehungsprozess selbst Vertrauen ermöglicht.
Slides hier herunterladen
Diese Stellungnahme umfasst sich mit verschiedenen Aspekten im Bereich Open Source, auch im staatlichen Kontext.
Hier herunterladen
Thesenpapier zum Cyber Resilience Act und die Auswirkungen auf die Open-Source-Community (englisch).
Hier herunterladen
Wir fordern die Bundesregierung und den Bundestag auf, den bereits in erheblicher Weise entstandenen Schaden nach allen Kräften zu begrenzen und
schnellstmöglich Klarheit über die Fortführung zu schaffen. Um die Beschädigung nicht als Dauerzustand fortzusetzen, müssen außerdem die Weichen für die
Stärkung der Unabhängigkeit des Bundesbeauftragten für Datenschutz und Informationsfreiheit durch das Festschreiben eines transparenten Benennungsverfahrens
gestellt werden.
Hier herunterladen
Ein Bündnis aus digitaler Zivilgesellschaft und Selbsthilfe-Organisationen fordert in einem offenen Brief Korrekturen an der Ausgestaltung der Digitalisierung
des Gesundheitswesens. Im offenen Brief fordern Organisationen der digitalen Zivilgesellschaft wie der Chaos Computer Club e. V. und die Verbraucherzentrale
Bundesverband, der Deutschen Aidshilfe sowie Selbsthilfe-Organisationen Änderungen der geplanten Digitalisierung des Gesundheitswesens in Deutschland.
Hier herunterladen
Diese Stellungnahme befasst sich zu Beginn mit den vorgeschlagenen Änderungen durch den Gesetzentwurf (BT-Drucksache: 20/9046), um in Folge eine grundlegende
Bewertung vorzunehmen, speziell auch mit der Frage, ob der Gesetzentwurf „dabei stets dem Patienten- und dem Gemeinwohl dient und die Bürgerinnen und Bürger ins
Zentrum aller Aktivitäten“ stellt.
Hier herunterladen
Der vorliegende Entwurf eines OZG 2.0 hat durchaus positive Aspekte. Leider kratzt er im Sinne einer zukunftsfähigen digitalen Verwaltung weiter nur an der
Oberfläche. Eine generelle Trendwende weg vom bescheidenen Zustand der Verwaltungsdigitalisierung ist wegen eines mangelnden gemeinsamen Zielbilds und dem
Nicht-Vorhandensein von messbaren Zielen, die über das bloße digitale Abwickeln von Anträgen, nicht zu erwarten.
Hier herunterladen
Der Innovationsverbund Öffentliche Gesundheit e.V., kurz InÖG, zieht eine negative Halbzeitbilanz für die Digitalpolitik der Bundesregierung. Daher fordert das
Bündnis gemeinsam mit 20 Akteuren aus der Zivilgesellschaft und Freie-Software-Wirtschaft: Die Bundesregierung und die Koalitionsfraktionen im Bundestag müssen
jetzt dringend ihre digitalpolitischen Versprechen aus dem Koalitionsvertrag umsetzen.
Hier herunterladen
Aus Sicht des Innovationsverbunds Öffentliche Gesundheit (InÖG), der Björn SteigerStiftung (BSS), der CIO Corporate Citizens (I3C) und des Fraunhofer ISST
müssen bestehende Strukturen digital zu einem virtuellen Gesundheitsamt transformiert und anschließend kontinuierlich mit Hilfe einer Werkstatt für Innovation
kollaborativ weiterentwickelt werden. Hieraus ergeben sich 8 Kernforderungen für die zukünftige Gestaltung des Öffentlichen Gesundheitsdienstes.
Hier herunterladen
In einem ausführlicheren thematischen Papier zum virtuellen Gesundheitsamt werden die Aspekte des Positionspapiers des Innovationsverbunds Öffentliche
Gesundheit (InÖG) weiter ausgeführt und in eine Strategie integriert, die Forderungen Realität werden zu lassen.
Hier herunterladen
Das Bayerischen Staatsministerium für Gesundheit und Pflege, die Technischen Universität München und der Innovationsverbund Öffentliche Gesundheit haben in
Zusammenarbeit mit Modellgesundheitsämtern einen Leitfaden für die SORMAS Migration entwickelt. Die Anhänge des Dokuments stellen wir auf Anfrage gerne zur
Verfügung.
Hier herunterladen