Elektronische Patientenakte (ePA): Identifikation per Video ist jetzt möglich
von André Westphal | 32 Kommentare
Kehrtwende bei der elektronischen Patientenakte (ePA): Ursprünglich hatte die verantwortliche Gematik die Identifikation per Video zur Aktivierung in einer Krankenkassen-App aus Sicherheitsgründen ausgeschlossen. Jetzt erlaubt man Video-Ident doch wieder. Allerdings ist fraglich, ob sich die Sicherheit verbessert hat. Man hofft vielmehr (verzweifelt?) auf eine höhere, aktive Nutzung durch diesen Schritt.
Denn bislang nutzen nur sehr wenige Menschen die ePA aktiv, obwohl für das Gros eine digitale Gesundheitsakte angelegt worden ist. Offenbar nimmt die Gematik an, dass dies auch am Aktivierungsverfahren liegt, für das entweder die elektronische Gesundheitskarte (eGK) oder die Online-Ausweisfunktion des Personalausweises (inkl. PIN-Abfrage) verwendet werden musste. Inzwischen geht es auch wieder ohne PIN, nämlich über „Nect Ident mit ePass“, ein Verfahren des Unternehmens Nect aus Hamburg. Das Verfahren darf rückwirkend ab 1. August 2025 für die Freigabe einer Gesundheitskarte oder für die Ausgabe einer PIN für die eGK genutzt werden. Mit der Karte lassen sich dann wiederum eine GesundheitsID und der Login in die elektronische Patientenakte erstellen.
Kurios ist daran, dass die Gematik solche Verfahren 2022 noch als zu unsicher einstufte, was auch ein klares Urteil des Bundesamts für Sicherheit in der Informationstechnik (BSI) unterstrich. So hatte der Chaos Computer Club (CCC) demonstriert, wie leicht sich das Video-Ident-Verfahren überlisten lässt. Doch die Gematik begründet ihren Sinneswandel laut Netzpolitik damit, dass „bei dem ‚Nect ePass‘-Verfahren zusätzlich zur Personenidentifikation Ausweisdokumente (z. B. Personalausweis oder Reisepass) elektronisch ausgelesen“ werden. Dadurch sei das Verfahren sicher genug.
Konkret müssen die Nutzer beim ePass-Verfahren von Nect sich einer vollautomatisierten Dokumentenprüfung unterziehen und zusätzlich den NFC-Chip ihres Ausweisdokuments mit dem Smartphone auslesen, plus ein Video-Selfie erstellen und dabei zwei zufällig ausgewählte Worte nennen. Am Ende hat die Gematik hier aber die eigenen Sicherheitsvorgaben angepasst. Brauchten die Versicherten bislang definitiv eine PIN zur Bestätigung der eigenen Identität, so entfällt dies. Sie können sich vielmehr auch ohne PIN per Video-Ident identifizieren.
Video-Ident – sicher oder unsicher?
Sicherheitsforscher stufen die neue Option als eine Art 1,5-Faktor-Authentifizierung ein. Zwar werde weiterhin geprüft, ob ein plausibler Ausweis vorliege, die Videoanalyse könne man aber nur als halb-sicher einstufen. Hat jemand also euren Ausweis geklaut, kann es schon gefährlich werden. Zumal KI-Identifikationsverfahren, wie sie Nect einsetzt, ein Verfallsdatum haben dürften, weil zeitgleich die KI-Generierung von Bildern und Videos rasant besser werde. Man muss annehmen, dass die Gematik hier weniger danach entschieden hat, ob das eingesetzte Video-Ident-Verfahren sicher genug ist und mehr danach, wie man mehr aktive Nutzer drankriegen könnte.
Weitere Kritik der Sicherheitsforscher: Die Gematik gehe geradezu „klassisch“ vor: Im Hintergrund wurde ein Verfahren vorbereitet und ohne Transparenz plötzlich eingeführt. Es fehle aber an einer ernsthaften Risikobewertung und -aufklärung. Leidtragende seien mal wieder die Patienten.
![Lenovo [Tasche] 15,6 Zoll Casual Topload Laptop Tasche T210 (wasserabweisend), works with Chromebook (WWCB),...](https://m.media-amazon.com/images/I/412mKqdD68L._SL160_.jpg)
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Es ist einfacher, einen 10.000€ Kredit online zu bekommen als sich für die ePa freischalten zu lassen.
Anfangs wollte die Krankenkasse doch in der Tat, das ich zu ner Geschäftsstelle fahre, dort meine Ausweis vorlegen muss um zu beweisen das ich auch wirklich ich bin um dann die Pin zu bekommen, die dann per Post (!) zugeschickt wird. Hab dann dankend abgelehnt – mittlerweile geht das zum Glück ja online.
Aber auch die ganez Bedienung der ePA ist ein Witz, kein Wunder das die kaum einer nutzen will.
Digitalisierung in Deutschland – auf dem Stand von 1982
Wer die ePA nutzt, der hat die Kontrolle über sein Leben verloren!
Meanwhile auf der anderen Seite des Atlantik:
> ICE Is Searching a Massive Insurance and Medical Bill Database to Find Deportation Targets
Was kann schon schief gehen. 😀
Bleibt die Akte so ungeordnet mit nichtssagenden Dokumententiteln und nicht durchsuchbar wie sie jetzt ist wird sowieso niemand sie
benutzen. Wenn sie gehackt wird kennt jeder im Internet die Krankengeschichte.
Die Idee der ePA in allen Ehren, aber ich fand sie von Beginn an nicht vertrauenswürdig und habe abgewartet. Die Gematik tut bisher einfach alles auf eine Art und Weise, die eine ePA für mich weiterhin ausschließt.
Nach einem Arbeitsunfall hatte ich mal eine elektronische Fallakte bei der zuständigen BG, die haben das ganz wunderbar verwaltet und alles Notwendige zielgerichtet den Fachbereichen und Stellen übermittelt. Aber gut, Äpfel und Bananen.
Entscheidet für der Erfolg der ePA wird sein, ob wirklich auch alle Befunde von Praxen und Krankenhäusern eingepflegt werden. Soll am Oktober der Fall sein. Im Moment ist bei mir noch nichts zu sehen.
HTC M8
Yeah, das ist mir auch sofort aufgefallen – ein Relikt aus längst vergessenen Tagen 😉
Schön noch einmal ein HTC Smartphone zu sehen 😉
Passend zum Stand der ePA
oh mann ich habe es gerade versucht und bin dann am Versuch gescheitert meine Krankenkarten nfc einzulesen weil der PIN automatisch nach zuvielen versuchen automatisch gesperrt wird und ich keinen Puk bekommen habe
Die ePA hab ich zwar abbestellt, aber diese Nect-Bude ist mit in Zusammenhang mit der Gesundheitskarte schon mal begegnet.
Meine Krankenkasse, die Barmer, hat mir (ich meine) letztes Jahr eine neue Gesundheitskarte mit NfC-Chip geschickt. Die PIN dazu gab es aber nicht automatisch, das wäre ja zu einfach gewesen. Die war entweder persönlich in der (reichliche 30km entfernten) Geschäftsstelle zu den üblichen Nimm-dir-einen-Tag-frei-Öffnungszeiten zu beantragen oder Online mit dem elektronischen Personalausweis. Fein, dann eben mit dem Ausweis – dachte ich.
Das lief aber nicht über die übliche AusweisApp, sondern ich musste eine App von dieser Nect-Bude installieren. Das Authentifizierungsverfahren sah dann so aus, dass man in dieser Nect-App erstmal mit dem Ausweis vor der Kamera rumwackeln musste wie bei VideoIdent vor 10 Jahren und dann auch tatsächlich die PIN vom Personalausweis eingeben konnte/sollte/musste. Danach wurde die PIN dann auf totem Baum per Sackpost verschickt.
Da packt an sich doch an den Hintern, weil der Kopf dafür zu schade ist. Also entweder sitzen an den entscheidenden Stellen bei dieser Krankenkasse nur Nieten, die sich jeden Murks andrehen lassen, oder diese Nect GmbH liegt mit dem ganzen digitalen Gesundheitssumpf ganz dicke im Bett. Anders ist es nicht zu erklären, auch nur in Erwägung zu ziehen, so ein Gewürge auf den Kunden loszulassen.
Hmm, puh, du.. keine Ahnung https://www.lobbyregister.bundestag.de/suche?q=Nect+GmbH
Interessant wird es bei einem Kassenwechsel zwischen RISE/21c/Bitmarck-Kassen und IBM/oscare/AOK-Systems-Kassen. Hier bestehen durchaus Fehler in der ePA-Mitnahme bzw. in nicht oder doppelt angelegten ePAs.
Hier eine Liste der verschiedenen Faktoren die potenziell zum Einsatz kommen:
Personalausweis mit Transport-PIN / PIN / PUK / Sperrkennwort
Krankenkassen Account mit Login / Passwort / App PIN
Krankenkassen Karte mit PIN / CAN
GesundheitsID OpenID von der Krankenkasse verwaltet
Ausweis App zum Auslesen des ePersos
VideoIdent App eines Drittanbieters
Und natürlich ein aktuelles Smartphone
Kein Wunder, dass einige da schon beim Gedanken daran kapitulieren.
Verstehe auch nicht, warum man für die Nutzung des ePersos zwingend eine separate App von einem Drittanbieter benötigt. Sollte diese Funktion nicht einfach in der App der eigenen Krankenkasse eingebaut sein?
Die haben ihre Vertrauenswürdigkeit einfach so krass verspielt.
– Sicherheitsprobleme, die nicht ernsthaft angegangen werden
– Patientendaten, die nur pseudonymisiert werden, anstatt sie ordentlich zu anonymisieren für die Forschung
– Verscherbeln der Patientendaten an US-Bigtech Unternehmen für die „Forschung“
– Zwangseinführung mit Opt-out
– Fehlende Granularität bei den Zugriffeinstellungen, viel weniger als vorher angekündigt
– Verweigerungshaltung von Ärzten die Akte mit Daten zu füllen
– Unglaublich komplizierter Registrierungsprozess (Meine Erfahrung bei der TK: 2 Apps, 2 PINs die getrennt beantragt werden und getrennt per Post kommen, mehrere verschiedene Passwörter)
– Und jetzt Einführung von Videoident, was vorher angeblich zu unsicher war
Wirklich komisch, dass die Nutzerzahlen schlecht so sind.
Ich nehme an, dass es nicht nur eine Annahme ist, dass die geringe Akzeptanz der ePA auch auf das Aktivierungsverfahren zurückzuführen ist. Aber auch das ist natürlich nur einen Annahme … 🙂
Was waren das schöne HTC Telefone 🙂
In Deutschland funktioniert da nichts. Habe letztens per elektronisches Rezept versucht meine Medizin zu bekommen – Deutschlandweite Störung: da sind die Apotheken überhaupt nicht drauf vorbereitet. Musst dann einfach nochmal kommen wenn es irgendwann geht…sonst bekommst du halt deine Medizin nicht…unfassbar lächerlich alles. Aber so ist das halt, wenn Billionen von Steuergeldern in fragwürdige Projekte gesteckt werden und nicht im Interesse des eigenen Landes. Niemals wieder Altparteien!
Gerade das E-Rezept funktioniert meiner Meinung nach noch am besten und war bisher vergleichsweise solide. Hab das neulich verwendet und es war total easy. Karte einstecken, fertig.
Das Problem an der Gematik ist, dass zu viele Köche mitkochen. Da hat nicht nur der Bund das sagen, sondern auch acht Interessenverbände von den Ärzten über die Krankenkassen bis zu den Patienten. Kein Wunder, dass die Jahre brauchen um sich bei technischen Details zu einigen.
Wenn du mir noch auseinanderlegst, was die sogenannten „Altparteien“ mit einer technischen Störung beim E-Rezept zu tun haben, wäre das nett. Ich vermute mal, du wählst nicht auch wegen jeder Störung deines Internetanschlusses gleich radikal?
Zwar hätte ich es nicht formuliert wie der Vorposter, aber wenn man der AfD und der BSW etwas nicht vorwerfen kann, dann ist das großer Einfluss auf die deutsche Gesundheitspolitik und ihre Reformen.
Als Fachmann auf dem Gebiet kann ich dir sagen: Gott sei Dank! Alle sind froh, wenn diese Parteien sich aufgrund ihrer offensichtlichen Ahnungslosigkeit nicht einmischen.
Du meinst sicherlich die aktuell laut Umfrageergebnissen stärkste Partei in Deutschland? Der Untergang der Altparteien kommt noch 🙂 und was das eine mit dem anderen zu tun hat, steht ja in meinem Post schon. Man erkennt: nicht nur die Altparteien sind ein Problem, aber auch dass mündige Wähler nicht gewillt sind selbstständig zu denken. Kein Wunder also, dass das Gesamtergebnis so mies ist. „Nichts hat mit nichts zu tun“.
Müssen nur noch 75 % der Bundesbürger überzeugt werden.
Nur 51% müssen überzeugt sein – das ist nicht unrealistisch mein Freund 🙂
Ich kapiere die epA Irgendwie nicht oder die DAK verstekct alles. Ich bin längst freigeschaltet und nutze die ePA app auch seit längerem. Auch weil ich hier rückwirkend Daten direkt der Krankenkasse abfragen kann. Es Stehe bereits auch einige meiner Ärtzte drin, aber darunter sind nie irgendwelche Dokumente einsehbar. Oder geht das nur von Arzt zu Arzt dann? Dachte als Patient selber kann man auch was einsehen
Meine Hausarztpraxis fängt erst ab Oktober an Dokumente in die ePA zu laden. Ob vorgesehen ist, dass Dokumente rückwirkend eingestellt werden, weiß ich nicht. Wäre tatsächlich eine interessante Frage. Jedenfalls sind viele Praxen technisch einfach noch nicht so weit.
Hat schon jemand das neue Video-Identverfahren ausprobiert? Sicher nicht, denn das übertrifft alle unsinnigen Identverfahren, die es schon gibt. Außerdem dauert es noch Monate, bis man es vielleicht nutzen kann. Dieses Identverfahren der Krankenkassen verhindert die Nutzung der ePA. Das muss viel eifacher gehen. Wer steckt hinter diesem Verfahren? Soll damit die Befüllung der ePA am 1. Oktober endgültig verhindert werden? Vielleicht sollte sich endlich der Bundesdigitalminister mit dem Thema beschäftigen – oder das Bundesverfassungsgericht.
Hallo Thomas,
ja, gern das Bundesverfassungsgericht.
Von wegen Sicherheit der persönlichen Daten und vor allem Datenauswertung für Pharmaunternehmen und -forschung. Die beiden letzeren Dinge sollten entweder optin werden oder ganz aus dem EPA-Konzept gestrichen werden.
Wenn es darum geht ärzten und medizinischen Dienstleistern für ihre _unmittelbare Arbeit am Patienten_ Anamnesedaten schnell und zuverlässig digital zur Verfügung zu stellen, braucht es keinen Zugriff für Industrie und Forschung.
So lange das Teil des EPA Grundkonzepts bleibt bleibt mein Widerspruch bestehen. Meine Daten gehören mir .
Sogar der Pro-Apotheken Blog Apotheke-adhoc hat geschrieben, dass nur die Ärzte einen Vorteil von der ePA haben. Nachdem die Dokumente darin nicht chronologisch sondern mit wildwuchernden Namen darin liegen, hat kein Arzt die Zeit und Muße die Dokumente des Patienten noch durchzugehen. Tolle ePA!
Tja, ist der Ruf wegen Sicherheitslücken erst einmal ruiniert, will niemand mit etwas Ahnung den Dienst nutzen. Das ist nicht nur bei der ePA so.