Tags
Aktuelle Nachrichten
America
Aus Aller Welt
Breaking News
Canada
DE
Deutsch
Deutschsprechenden
Europa
Europe
Global News
Internationale Nachrichten aus aller Welt
Japan
Japan News
Kanada
Konflikt
Korea
Krieg in der Ukraine
Latest news
Map
Nachrichten
News
News Japan
Polen
Russischer Überfall auf die Ukraine seit 2022
Science
South Korea
Ukraine
UkraineWarVideoReport
Ukraine War Video Report
Ukrainian Conflict
United Kingdom
United States
United States of America
US
USA
USA Politics
Vereinigte Königreich Großbritannien und Nordirland
Vereinigtes Königreich
Welt
Welt-Nachrichten
Weltnachrichten
Wissenschaft
World
World News
36 Comments
Hat den irgendeiner dieser Internet-Neulinge in der Bundesregierung an die Hackerproblematik gedacht, als diese Akte entworfen wurde? Klar die Verwaltung wird einfacher aber nicht zu diesem Preis.
das war ja überhaupt nicht zu erwarten.
r/tja, machste nix.
Man muss es nur richtig verkaufen, wenn man Hackern Zugriff gewährt, kann man ein dezentrales Backup aufbauen /s
joa…so gut die Idee der ePA prinzipiell auch ist, habe ich ihr widersprochen. Weil genau dieses Szenario sowas von absehbar war
Das “S” in ePA steht für Sicherheit!
>Es sei ihnen zusätzlich mit wenig Aufwand gelungen, gültige Heilberufs- und Praxisausweise zu beschaffen sowie Gesundheitskarten Dritter. Damit ließen sich ebenfalls Gesundheitsdaten einsehen. Zudem konnten die beiden IT-Sicherheitsexperten aus der Ferne auf digitale Patientenakten zugreifen.
…
>Das Bundesgesundheitsministerium bewirbt die ePA für alle damit, dass diese den Austausch und die Nutzung von Gesundheitsdaten zwischen allen behandelnden Leistungserbringern verbessern werde. Die Daten werden laut Bundesgesundheitsministerium auf sicheren Servern innerhalb der Telematikinfrastruktur (TI) gespeichert und in der ePA verschlüsselt abgelegt. Die Kommunikation zwischen den Komponenten der ePA sei Ende-zu-Ende-verschlüsselt.
Scheint ja, als würden die Daten ansich schon sicher gespeichert. Aber im Zugriffskonzept gibt es wohl leichte *hust* Lücken.
Hat man mit so einem Ausweis dann eigentlich Zugriff auf die Akten ALLER elektronischen Patientenakten bundesweit? Das wird doch hoffentlich auf die eigenen Patienten eingeschränkt sein, oder?
Geliefert wie bestellt, aber dafür musste man kein Prophet sein. Widerspruch und gut.
Bei der Tk ist der Widerspruch sogar online möglich.
Können die Hacker mir meine Medikament eventuell bezahlen. Wenn die meine Akte gelesen haben, müssten sie eig. Mitleid bekommen
Wie konnten die nur vergessen das dass “““INTERNET“““ doch Neuland für Deutschland ist?
Wer ist dann dafür verantwortlich im Sinne der DSGVO? Weil das schreit jetzt schon nach teuren Bußgeldern / Schadensersatz bei gesundheitsdaten würde ich mal behaupten.
Wie ein anderer Nutzer hier zu den Thema mal treffend formuliert hatte: Krankheiten müssen endlich endtabuisiert werden. Dann ergibt sich eine solche Gefahr auch nicht mehr.
Was kann dieser Angriff genau mehr als ein Einbruch in der Charité? So Mal als relevanter Vergleichsangriffsvektor.
> Sie konnten nach eigenen Angaben auf Akten beliebiger Versicherter zugreifen, auch ohne dass sie deren Gesundheitskarte eingelesen hätten. Das ermögliche den Zugriff auf alle 70 Millionen elektronischen Patientenakten.
Nicht ein Wort zu der Vorgehensweise, aber alle springen drauf an.
Ich weiß schon, warum ich sofort widersprochen habe.
Als ich gelesen hatte, dass nicht mal eine interne Zugriffshierarchie besteht, die die Sprechstundenhilfe meines Zahnarzts davon abhalten würde, ohne Grund Zugriff auf die Daten meines Proktologen zu bekommen, konnte ich mir den Rest ungefähr ausmalen…
Wer entwickelt das eigentlich? Jeder synology nas dürfte da doch sicherer vor zugriff sein ?
Alle wollen immer Bürokratie Abbau und Digitalisierung aber Probleme bei der Umstellung will (verständlicherweise) niemand.
ABER: Es gibt nur den steinigen Pfad! Digitalisierung muss eben auch erprobt werden. Und bevor ein System nicht aufgesetzt ist, werden potentielle Hacker auch nicht wirklich versuchen, die Systeme zu überwinden.
Bugs und Sicherheitslücken wird es in der IT immer geben. Wer sich davor schützen will, darf nicht nach einer Digitalisierung des Staates und seiner Aufgaben rufen.
Ich kann nur hoffen, dass die Kritiker nicht zu laut werden, denn ich für meinen Teil sehe die Vorteile der Digitalisierung.
Danke. Anfrage zur Deaktivierung und Löschung bei meiner Krankenkasse wurde gerade online eingereicht.
Weil mir vollkommen klar war, dass man im Neuland zu unfähig und unwillig ist, eine sichere Lösung zu implementieren, habe ich der ePA widersprochen, obwohl ich eine elektronische Patientenakte aus individueller aber auch gesellschaftlicher Sicht eigentlich als sehr sinnvoll empfinde.
Bin mir ziemlich sicher, dass man als Patient jedem neuen Arzt bzw. jeder Praxis erst einmal mit seinem Passwort Zugriff auf seine Daten geben muss. Ist nicht so, dass jeder Arzt einfach ohne zu fragen an deine Daten kommt.
_überraschtes Stromrattengesicht.jpg_
Lol, so schnell?
Stellungnahme der Gematik:
[https://www.gematik.de/newsroom/news-detail/aktuelles-stellungnahme-zum-ccc-vortrag-zur-epa-fuer-alle](https://www.gematik.de/newsroom/news-detail/aktuelles-stellungnahme-zum-ccc-vortrag-zur-epa-fuer-alle)
“Für die ab 15. Januar startende Pilotphase bedeutet dies, dass zunächst nur die **in der Modellregion** teilnehmenden Leistungserbringer auf die ePA der Versicherten zugreifen können. Die elektronischen Patientenakten aller Versicherten **bundesweit** sind somit gut geschützt.”
nein welche Überraschung
ich bin ja so schockiert
alle digitalen Lösungen in Deutschland haben irgendeine verkackte Sicherheitspanne, schon immer
und die die anscheinend sicher sind wurden einfach noch nicht genauer angeschaut
deswegen wird in Deutschland auch nie irgendwas digital funktionieren, einfach zuviel bloat zu wenig sicherheit und untalentierte IT Menschen die nicht weiter denken als Vorgabe erfüllen rest egal
mein deutschland
Das ging ja fix.
Das hat ja nun wirklich niemand kommen sehen…
Gerade das CCC-Video geschaut und das System ist ja noch furchtbarer als ich befürchtet hatte.
Rein technische Mängel, bei denen man sich fragt was die Leute eigentlich beruflich machen:
– Für Nachweis der Einwilligung der Nutzung deiner (Pat) Daten durch die Leistungserbringerinstitution (LEI) reicht es die Karte eingesteckt zu haben (Notwendigkeit von Authentifizierung durch PIN o.Ä. zur Zustimmung wurde gestrichen)
– Die Zuordnung von Gesundheitskarte zu zugehöriger ePA erfolg basierend auf einer Id, die im Klartext ohne Signatur auf der Karte liegt (sie liegt zwar auch noch einmal signiert drauf, aber die unsignierte wird für die Zuordnung verwendet).
– Die LEIs erhalten einfach so Lese- und *modifizierenden Schreib*zugriff auf die ePA (*append only* – also dass man nur Sachen hinzufügen kann und löschen nicht geht ist seit über 10 Jahren Stand der Technik bei solch kritischen Daten)
Und dazu noch die groben social engineering Lücken:
– LEI-Karten einfach per (trivial mit KI austricksbarem) Videocall, oder teilweise sogar ohne das, bestellbar
– Kartenterminals mit noch gültigen Zertifikaten (per Modul) als Gebrauchtware bei kleinanzeigen kaufbar
Ich habe hier auch nur die plakativsten rausgesucht, da gibt es in dem CCC-Video noch einige mehr. Als Informatiker würde ich da gerne wissen wer diesen absolut katastrophalen Zustand zu verantworten hat. Jedenfalls habe ich direkt der Einrichtung einer ePA für mich widersprochen.
Es hat zwar viel länger gedauert als gedacht, aber dafür ist es auch schlechter geworden als bestellt! Muss man auch mal erwähnen.
Man Ihr deutschen sind so gefickt 😢
Durch die Jahre muss ich schon zugeben hatte ich als 🇨🇭Schweizer schon ein bischen schadenfreude (haha schlechtes Internet,haha Fax Fetischisten, haha Kartenzahlung Hasser) aber inzwischen ist es nicht mehr lustig. 😢
wir brauchen ein neues sub, in welchem nur positive nachrichten aus deutschland gepostet werden
ich bin mittlerweile echt nur noch fassungslos oder genervt
es kann doch nicht ständig alles irgendwie schiefgehen und selbst wenn mal etwas gutes durchgewunken wird und funktioniert, dann wird genau das von partei XY wieder zurückgewunken
was ist denn das alles für ein fucking zirkus?
meine güte ey
Hat jemand nen Link zu dem Vortrag auf dem CCC?
[Stellungnahme der gematik zum CCC-Vortrag zur ePA für alle:](https://www.gematik.de/newsroom/news-detail/aktuelles-stellungnahme-zum-ccc-vortrag-zur-epa-fuer-alle)
Die gematik dankt den Sicherheitsforscher:innen des Chaos Computer Clubs (CCC) für die Hinweise zur Sicherheit der neuen elektronischen Patientenakte (ePA für alle) und nimmt diese entsprechend ernst. Die vom CCC vorgestellten Angriffsszenarien auf die neue ePA wären technisch möglich gewesen, die praktische Durchführung in der Realität aber nicht sehr wahrscheinlich, da verschiedene Voraussetzungen erfüllt sein müssen. Dazu zählen zum Beispiel die illegale Beschaffung eines Institutionsausweises (SMC-B Karte), der dazugehörigen PIN, der Vertrag mit einem Zugangsdienst und eine technisch komplexe Manipulation. Unberechtigte Zugriffe auf die ePA sind strafbar und können nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen.
Die gematik steht im intensiven Austausch mit den zuständigen Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), hat bereits technische Lösungen zum Unterbinden der Angriffsszenarien konzipiert und ist mit deren Umsetzung gestartet.
Für die ab 15. Januar startende Pilotphase bedeutet dies, dass zunächst nur die in der Modellregion teilnehmenden Leistungserbringer auf die ePA der Versicherten zugreifen können. Die elektronischen Patientenakten aller Versicherten bundesweit sind somit gut geschützt.
Vor dem bundesweiten Rollout werden weitere technische Lösungen umgesetzt und abgeschlossen sein. Die zusätzlichen Sicherungsmaßnahmen sind bereits in Erarbeitung und haben folgenden Fokus:
* Verhinderung, dass Ausweise der Telematikinfrastruktur missbräuchlich verwendet werden können.
* Schließung der Sicherheitslücke durch eine zusätzliche Verschlüsselung der Krankenversichertennummer.
* Sensibilisierung der Nutzerinnen und Nutzer der Telematikinfrastruktur im Umgang und Schutz der technischen Infrastruktur, Ausweisen und Karten.
* Ausweitung der Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung.
Grundsätzlich gilt weiterhin: Die ePA für alle wurde und wird mit höchsten und modernsten Sicherheitsstandards gebaut, welche die gematik zusammen mit den obersten Sicherheits- und Datenschutzbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) entwickelt und abstimmt. Zusätzlich schützt ein mehrstufiges Sicherheitskonzept die Telematikinfrastruktur (TI). Außerdem wird die Sicherheit der TI und aller Anwendungen fortlaufend geprüft – in enger Abstimmung mit den zuständigen Behörden und externen Expert:innen.
Wo Sammeklage ? /s
Hier ist der Link zur Aufzeichnung des CCC Vortrags:
https://streaming.media.ccc.de/38c3/relive/135