Sicherheit der elektronischen Patientenakte: Neue Schutzmaßnahmen in der Testphase
von caschy | 12 Kommentare
Die Einführung der elektronischen Patientenakte (ePA) in Deutschland schreitet voran, begleitet von umfangreichen Sicherheitsvorkehrungen gegen potenzielle Cyber-Angriffe. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die zuständige gematik GmbH haben ein mehrstufiges Schutzkonzept entwickelt. Im Vorfeld wurden bekanntlich Schwachstellen bekannt, der 38C3 deckte einiges auf – und nicht nur dieser sah Nachholbedarf in Bezug auf die Sicherheit.
In der ersten Phase wird der Zugriff auf die digitalen Akten streng limitiert. Nur verifizierte medizinische Einrichtungen in ausgewählten Modell- und Pilotregionen erhalten Zugang zum System. Diese Beschränkung ermöglicht eine kontrollierte Testumgebung, in der Sicherheitsmechanismen unter realen Bedingungen geprüft werden können.
Die Experten von BSI und gematik haben verschiedene Angriffsszenarien analysiert. Ihre Einschätzung zeigt, dass erfolgreiche Attacken auf das System zwar theoretisch möglich sind, aber einen erheblichen technischen Aufwand erfordern würden. Ein Angreifer müsste nicht nur die technischen Hürden überwinden, sondern auch einen Identitätsdiebstahl durchführen, um die notwendigen Zugriffsrechte zu erlangen. Diese mehrschichtige Absicherung macht einen erfolgreichen Angriff in der Praxis unwahrscheinlich.
Vor der bundesweiten Einführung der elektronischen Patientenakte werden zusätzliche Sicherheitsmaßnahmen implementiert. Diese umfassen sowohl technische als auch organisatorische Vorkehrungen. Die schrittweise Einführung erlaubt es den Verantwortlichen, Erfahrungen aus der Pilotphase in die Weiterentwicklung der Sicherheitsarchitektur einfließen zu lassen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
apotheken umschau hats neulich empfohlen besser zu widersprechen, online nachlesbar.
jeder wie er meint, wollte nur entscheidungshilfe geben.
Ich denke auch das die Apotheken Umschau der technische Ratgeber meiner Wahl ist….
Danke für den Hinweis, wenn es dir ehrlicherweise nur um einen Tipp zur Entscheidungshilfe geht. Und warum sollte ich daran per se zweifeln.
Ich kein aufmerksamer Leser der Apothekenrundschau und konnte beim „überfliegen“ der Webseite diese Empfehlung nicht auffinden. Daher meine Frage: Wann hat die Apothekenrundschau diese Empfehlung gegeben? In welchem Artikel genau? Du sagst der Artikel ist auch online lesbar. Kannst du bitte die URL posten?
schnell nebenbei…
es gibt nicht nur technische aspekte, nicht so kraval…
kann grad nicht weiter suchen, aber die haben tatsächlich gewarnt, einer ist der der erkrankten im bereich psychische krankheiten, wobei wohl die idee ist grundsätzlich zu sensibilisieren, dass die daten nicht zugriffs-eingeschränkt sind. also jeder vom apotheker bis zur praxis-empfangsdame alles weiß, von gynäkologischen bis psychiatrischen befunden und dafür reicht einmal im quartal karte durchziehen.
das war wohl einer der beiträge die ich meinte, hab’s bestimmt auch wo anders gelesen.
erklärung geliefert, nicht auf die überschrift und den krankheitsbereich aufhängen!
es ist eher plakativer eyeketcher, um auf grundsetzliches hinzuweisen. weiß nicht mehr, ob dieser artikel auf alle punkte eingeht, aber ich hab es eh jetzt hier angerießen.
weitere muss ich sonst später sehen, sonst deren suchfunktion nutzen…
https://www.apotheken-umschau.de/gesundheitspolitik/elektronische-patientenakte-psychisch-erkrankte-sollten-lieber-widersprechen-1224311.html
Ja aber hier warnt doch nicht die Apothekenrundschau. Hier wird die Vizepräsidentin des Berufsverbands Deutscher Psychologinnen und Psychologen interviewt. Die rät von der ePa (unter bestimmten Voraussetzungen für manche Patienten) ab.
Ich habe nun mehrere Artikel der Rentner-Bravo gesichtet: immer zeigt sich ein ähnliches Bild: die Apothekenrundschau gibt immer nur die Meinungen anderer Experten wieder. Das macht ja auch Sinn. Das sollten Journalisten so tun. Die Journalisten sind ja selbst wohl keine Experten dafür. Insofern bin ich da ganz bei HoBlo. In vielen Artikeln der AU wird übrigens auch Befürwortern der ePa Raum gegeben. Da sagst du aber nicht, dass die Apothekenrundschau den Widerspruch NICHT empfiehlt. Wäre genauso falsch.
Ich will dir gar nicht Böses unterstellen, aber dies ist so ein elendes Meckerthema, wo häufig ohne Fakten oder unredlich diskutiert wird. Daher sollten wir vermeiden, den Eindruck zu erwecken, dass die Apothekenrundschau (womöglich sogar nach einer umfassenden Abwägung unter Einbeziehung von Experten in ihrer Redaktion) eine Empfehlung ausgesprochen hätte.
In der Einleitung hab ich gelesen:
„Die Einführung der elektronischen Patientenakte (ePA) in Deutschland **scheitert** voran“ …
Schön.
Etwas traurig ist, dass die ePA *vor* der flächendeckend Einführung sicherer war. Viele der vom CCC vorgestellten Angriffe hätten damit nicht so einfach funktioniert. In der „alten“ Version konnte man für jedes Dokument und jeden Eintrag eine Sicherheitsstufe festlegen und bestimmen welche Ärzte wie lange Zugriff auf welche Sicherheitsstufe bekommen. Das ist in der neuen Version anders. Hier gibt’s nach Einstecken der Karte erst Mal Zugriff auf alles. Deshalb funktionieren dann auch solche Angriffe wie „Ich Kauf mir Mal ein terminal auf Kleinanzeigen und schaue was ich damit so sehen kann“.
Irgendwie werde ich den Eindruck nicht los, dass die ePA von den Entwicklern selbst und dem BSI abgeschossen wird. Schon in der aktuellen Version ist der Zugang recht kompliziert und fehlerbehaftet. Bei mir hat auf einmal die PIN nicht mehr funktioniert. Nach einigen Versuchen wurde der Zugang dann komplett gesperrt. Außerdem weigern sich ja Ärzte und Behandler die ePA zu befüllen. Man kann ja schon froh sein, wenn die Ärzteschaft es hinbekommt, ein e-Rezept auf die Gesundheitskarte zu schieben.
Das Projekt „elektronische Patientenakte“ ist zum Scheitern verurteilt und bevor noch mehr Geld verschwendet wird, sollte es schnellstmöglich gestoppt werden. Das schreibe ich, obwohl ich die ePA grundsätzlich für gut und richtig halte. Man hätte es von Anfang an richtig machen müssen. Dazu war man anscheinend nicht in der Lage. Was leider absehbar war.
Hat man über die Gesundheitskarte, eAU und eRezept am Anfang auch gemosert und jetzt funktioniert alles drei im Zusammenspiel super bei allen die ich kenne und entgegen der Klischees bekommen auch die Höchstbetagten problemlos hin zu verstehen was ein eRezept ist und dass man nicht mehr für jedes Rezept zum Arzt fahren muss, sondern es reicht direkt in die Apotheke zu gehen, nachdem man das telefonisch beim Arzt bestellt hat. Eine große Erleichterung für Leute für die jeder Weg mühsam ist.
Die eAU + telefonische Krankschreibung löst das uralte Problem, dass du dich mit akutem Durchfall oder Bellhusten in ein Wartezimmer setzen sollst, wenn du einfach nur im Bett bleiben willst, nur um die AU zu bekommen.
Die natürlich für Simulanten schon immer genauso einfach in Person zu bekommen war. Die Diskussion über angebliche Probleme mit telefonischer Krankschreibung, abwegige angebliche Sicherheitsprobleme bei der ePA während wesentlich weniger abgesicherte Systeme in Nordeuropa seit vielen Jahren problemlos funktionieren, zeigen das eigentliche Problem in Deutschland. Eine Fixierung darauf was alles passieren könnte, bis sich alle einig und frustriert genug sind, dass alles so bleibt wie es ist.
Befunde per Fax offen für jeden lesbar der zufällig anwesend ist, jeder kann fremde Briefe aus dem Briefkasten klauen oder sie werden auch mal falsch eingeworfen, die Sprechstundenhilfen brüllen sowieso jeden Befund lauthals am Empfang herum, egal ob sie telefonieren oder live mit einem sprechen, so dass alle anderen Anwesenden genau wissen weswegen du da bist, das störte alles nie jemand in Deutschland, das haben wir schließlich schon immer so gemacht.
Wenn aber jemand in einem komplett abwegigen Szenario mit viel Aufwand herausbekommen könnte, dass ich ein Furunkel habe, dabei soviele Voraussetzungen erfüllt sein müssten und die Frage bleibt „who even cares?“, dann sollen wir die Möglichkeit aufgeben die Medizin zu digitalisieren?
Ich glaube es ist gar nicht klar worum es hier geht. Digitalisierung heißt nicht ein Papierformular auf den Bildschirm anzuzeigen.
Ich fang mal anders an. Vielleicht hast du von der Mayo Clinic in den USA gehört, darauf basiert in gewisser Weise eine Fernsehserie, da gehen Leute hin denen sonst nirgendwo geholfen werden konnte.
Ein wesentlicher Ansatz: Assistenten verbringen viele Stunden damit jeden Arzt abzuklappern bei dem der Patient jemals war, angefangen von der Geburtsklinik, um alle medizinischen Untersuchungen einzuholen die jemals getätigt wurden. Im normalen Gesundheitswesen für die Masse der Menschen unbezahlbar und dafür existieren gar nicht die personellen Kapazitäten.
Dann studieren Ärzte diese Befunde, jeden Laborbericht, jeden Kommentar, jeden Eintrag im Impfpass, alles bis auf die letzte handschriftliche Notiz.
Und das ist zusammen mit aktuellen Untersuchungen die Basis dafür, dass sie selbst die erotischsten Erkrankungen korrekt diagnostizieren und behandeln können.
Eine ePA die nach und nach mit allem befüllt wird, angefangen mit aktuellen Neugeborenen, wird in Zukunft zusammen mit KI diesen Ansatz für alle Patienten ermöglichen. Die Verbesserung der Behandlungsqualität, bei gleichzeitiger Kosteneinsparung weil man weniger Medikamente braucht und die Wurzel des Übels erkennt etc., ist von unschätzbarem Wert. Hier hätte jeder was zu gewinnen, der Patient, die Ärzte, das Gesundheitssystem, jeder.
Darauf dürfen wir einfach nicht verzichten. Und es wird lange dauern bis die Effekte sich zeigen. Was im Zeitraum von Wochen und Monaten passiert ist dafür irrelevant.
Der klapprige Start ist langfristig irrelevant. Und irgendwann müssen wir damit anfangen.
>> Die eAU + telefonische Krankschreibung löst das uralte Problem, dass du dich mit akutem Durchfall oder Bellhusten in ein Wartezimmer setzen sollst, wenn du einfach nur im Bett bleiben willst, nur um die AU zu bekommen.
Das angesprochene Problem wird überhaupt nicht gelöst, wenn die eGK beim Arzt nicht eingelesen wurde. Du kannst in diesem Fall auch telefonisch kein eRezept bestellen. Ganz davon abgesehen, dass Ärzte eine Sorgfaltspflicht haben und ihre Patienten mehr oder weniger oft persönlich sehen wollen.
Die Sprechstundenhilfe bei meinem Hausarzt hat mir sehr deutlich gesagt, dass ich kein (e)Rezept mehr bekomme, wenn der Doc mich nicht mind. 1x im Quartal zu sehen bekommt. Nur hingehen oder jemanden hinschicken und die eGK einlesen lassen, reicht nicht.
Warum braucht man die eGK? Bei jeder anderen Versicherung reicht die Angabe der Versicherungs-Nr. um nachzuweisen, dass man versichert ist. Wieso führt man nicht die vorhandenen Identifikationsmerkmale zusammen? e-Perso, BundID, Elster online usw. Alles Systeme, die sicher sind und mit denen man sich relativ einfach ausweisen kann. Aber die gKV muss ja unbedingt was eigenes machen und kann es einfach nicht.
Hallo Eric,
Was macht mein Verhältnis zu meinm Arzt im Wesentlichen aus?
_Vertrauen_!
Dast ist weit mehr als KI- oder maschinengestützte Aneinanderreihung von Diagnosen und Befunden. Das ist auch mehr als – und vielleicht sogar gar nicht – wirtschaftliche Effizienz.
Das ist das Vertrauen darauf
– daß mein Artz medizinisch kompetent ist (EDV- bzw. technologische Kenntnisse, die über die Bedienung seiner Diagnosegeräte hinausgehen zähle ich nicht dazu, für buchhaltung und Abrechnung gibt es anderes Fachpersonal, mein Artz soll heilen, nicht rechnen , er soll kein Kaufmann sein sondern der Artz der alles, auch notfalls angeblich unwirtschaftliches tut um mich zu heilen.)
– er soll sich fachlich (im obigen Sinne ) auf dem laufenden halten
– er muß menschliche Kompetenz haben, denn ich sitze als Mensch vor ihm nicht als „Fall“ oder „Datensatz“
Bei all dem hilft die EPA nichts. sie macht aus einem schlechten Artz keinen guten nur weil er ein e-Rezept ausstellen kann.
Und vielleicht ist eine telefonisch eingeholte elektronische Arbeitsunfähigkeitsbescheinigung ja nicht der Weisheit wahrer Schluß. Patienten die das Bett oder Haus wegen ihrer Erkrankung nicht verlassen können würde mit einem hausbesuch sicher mehr gedient als mit einem Telefonat. Und nach einem vis-a-Vis mit seinem Patienten weiß der Arzt dann auch was er – notfalls eben auf Papier und mit Füller – aufschreibt.
Medizin ist einer der zutiefst menschlichen Berufe, der von Interaktion zwischen mediziner und Patient lebt. Hier auf Teufel komm raus immer mehr maschinenlesbare vorgänge und sogar distanzmedizin a la Videosprechstunde einführen zu wollen ist dem menschlichen im Verhältnis Arzt-Patient sicher nicht zuträglich.
Und so tolle US-Fernsehserien wie Du sie als Beispiel anführst haben mit dem echten Leben sicher sehr viel zu tun. Zumindest meine Gesundheitsversorgung spielt sich innerhalb eines sehr überschaubaren Personenkreises von Allgemein- und Fachmedizinern ab. Ausnahme Krankenhausaufenthalte , aber die waren bislang glücklicherweise recht selten.
Und auch mit einer papiernen Patientenkartei wurde ich beim Artz meines Vertrauens gut behandelt.
Und wenn die Sprechstundenhilfe mich mit Namen ansprach und mir das Papierrezept mit den Worten „Hier für Ihr blutdruckmittel“ übergab war das für mich nicht schlimm – denn es war die Arztpraxis wo ich seit Jahren bin – und die meisten anderen Patienten die das hören konnten treffe ich eh im Wartezimmer. Da wird manchmal mehr über Krankheiten geredet als im Ordinationszimmer … aber das sind dann Menschen die vor mir sitzen in Fleisch und blut.
Bei der EPA ist jede persönliche Interaktion fort, ich weiß nicht wer und wo alles mit liest, da sind keine Menschen sondern nur noch „Datensender“ und „Empfänger“ also völlig entpersonalisierte „Größen“ im Spiel.
Jedes Vertraute, und damit jede Vertrautheit und jedes Vertrauen fehlt. Darum meine Ablehnung.
Vertrauen schaffen geht nur von mensch zu mensch.
Übrigens: ich habe Deinen Kommentar wirklich genau gelesen, daher fiel mir sogar ein schöner Typo auf : „Und das ist zusammen mit aktuellen Untersuchungen die Basis dafür, dass sie selbst die erotischsten Erkrankungen korrekt diagnostizieren “
danke du hast mich immerhin zum Schmunzeln gebracht.
>> Medizin ist einer der zutiefst menschlichen Berufe, der von Interaktion zwischen mediziner und Patient lebt.
Das mag früher so gewesen sein. Heute musst du froh sein, einen Arzt zu finden, der noch neue Patienten aufnimmt. Du bist quasi dazu verdonnert, bei einem Arzt, dem du evtl. nicht mehr vertraust oder mit dem du menschlich nicht mehr zurechtkommst, zu bleiben. Noch größer kann das Problem bei einer der seltenen Praxisübernahmen werden. Was, wenn du mit dem Nachfolger gar nicht zurechtkommst und er dir, trotz geltendem Recht an deiner Patientenakte, diese nicht herausgibt. Wenn du das Gefühl nicht los wirst, dass der neue Doc vorrangig seine Praxisübernahme finanzieren will und es ihm eigentlich gar nicht um dich als Patienten geht.
Das Gesundheitswesen in DE ist schwer krank. Die erforderliche Digitalisierung verstärkt die Symptome dieses kranken Systems.