ePA: 38C3 enthüllt erhebliche Sicherheitslücken in der elektronischen Patientenakte 3.0

Die elektronische Patientenakte (ePA) sollte eigentlich für mehr Sicherheit sorgen, doch der 38C3 zeigt: Das Gegenteil ist der Fall. Martin Tschirsich und Bianca Kastl demonstrierten eindrucksvoll, wie leicht sich die „ePA für alle“ kompromittieren lässt. Durch simple Tricks, wie das Bestellen fremder Gesundheitskarten per Telefon, erhielten sie Zugang zu sensiblen Daten – harter Tobak.

Besonders alarmierend hier: Die neue ePA 3.0 benötigt in Praxen keine PIN mehr, wodurch der physische Besitz einer Gesundheitskarte genügt, um auf die Akte zuzugreifen. Diese und weitere Schwachstellen, die teils seit Jahren bekannt sind, ermöglichen es, auf potenziell alle 70 Millionen Patientenakten zuzugreifen. Die Experten fordern daher mehr Transparenz und eine unabhängige Sicherheitsbewertung. Die Gematik wiegelt zwar ab, doch die gezeigten Angriffe sind durchaus realitätsnah und die Probleme sollten dringend behoben werden.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Nordlicht, Ehemann und Vater. Technik-verliebt und lebt fürs Bloggen. Außerdem: Mail: benjamin@caschys.blog / Mastodon

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

102 Kommentare

  1. Deshalb wird jeder gesunde Mensch sowas auch nicht verwenden. Organspende ebenso.

    • > Organspende ebenso
      LMAO

    • Wo liegt das Problem bei der Organspende? Es kann ja nicht nur, sondern es SOLL sogar jede nur erdenkliche Stelle im Fall der Fälle sicher erkennen können, dass ich Organspender bin. Nicht dass die den ganzen Mist mit meinem Kadaver verscharren… ist dir mal ein Schnitzel im Kühlschrank schlecht geworden? Ich brauche da keinen unnötigen Gammel in der Kiste, wenn es vorbei ist…

      • Ich glaube nicht, dass der Vorposter explizit was gegen Organspende hat, sondern gegen das System der Umsetzung. …also weil der Kontext hier ist ja die Umsetzung der epa.

      • Ob du auch mit deinem Gammel reif für die Kiste gewesen wärst, lässt du also einen gewinnorientierten Arzt entscheiden.
        Ich als Privatpatient habe da so meine Zweifel, dass Ärzte immer nur rein nach medizinischer Notwendigkeit und nicht nach ihrem Portemonnaie entscheiden und handeln.
        Sicher ist nur, wenn Dein Gammel erst mal raus ist, bist du ganz sicher reif für die Kiste.

        • GooglePayFan says:

          Fakt ist, die Entscheidung ob jemand hirntot ist oder nicht, kann nicht finanziell motiviert sein. !*Organentnahmen*! sind nur im optimalen Fall überhaupt kostendeckend für das Krankenhaus. Gewinn macht damit glücklicherweise niemand.

          • Doch!
            Gewinner sind die Menschen, die die Organe erhalten und so weiter leben können.
            Also menschenwürdig weiterleben können oder überhaupt weiter leben können.

        • Dass sich diese Gerüchte über die Organspende immer noch halten.

        • Es genügt schon zu wissen, dass man für die Entnahme noch leben muss. Organe aus toten Körpern kann (oder will) man nämlich nicht mehr verwenden. Dafür hat man den praktischen Umstand Hirntod erfunden. Einfach mal tiefer damit beschäftigen…

          • Warum lässt man einen solch kranken und unreifen Schrott hier als Kommentar zu? Kommt gleich nach Echenmenschen, Flatearth, Volksaustausch und Chemtrails.

            • Es ist für einige Menschen noch immer ganz wichtig die Meinung anderer möglichst großflächig mit diffamierenden Worten zu belegen … Lass Dir gesagt sein Eric: Du wirkst dadurch kein bisschen intelligenter …

              • Du solltest Mal im Duden nachlesen, was „diffamierend“ bedeutet. Deine Äußerung passt da deutlich eher drauf. Das Verbreiten von offensichtlichen Lügen als solches klar zu kennzeichnen hingegen nicht.

                • Ja klar Richard, der Trend geht ja zum Zweitaccount … man macht gemeinhin Lügen nicht mit Attributen wie „kranken und unreifen Schrott“ kenntlich und weder Eric noch du entscheiden was „offensichtliche Lügen“ sind. Ganz abgesehen davon, dass hier auch gleich noch völlig haltlose Unterstellungen getätigt wurden, die die Gleichwertigkeit von einer Meinung zu „Echsenmenschen, Flatearth, Volksaustausch und Chemtrails.“ versucht herzustellen …
                  „Als Diffamierung bezeichnet man allgemein die üble Nachrede und gezielte Verleumdung Dritter. „

                  • Ich habe keinen Zweitaccount, also spar dir doch einfach Mal deine Wahnvorstellungen.

                    Und ja, was Chris da von sich gegeben hat entspricht exakt der Definition von Diffamierung. Der Kommentar von Eric hingegen nicht, weil es eben keine „üble Nachrede“ ist, sondern auf Fakten basiert.

                • … und km Übrigen empfehle ich die Lektüre der Empfehlungen des Ethikrates, der sich zwar für die Anerkennung des Hirntod als Grenze für die Organentnahme ausgesprochen hat, anders als Eric und Richard, Personen anderweitiger Sichtweisen nicht als Anhänger von Verschwörungstheorien peinlich diffamiert, sondern sich mit ihren Sichtweisen und Argumenten ernsthaft und tiefgreifend auseinandersetzt. Im Übrigen hat der Ethikrat keineswegs einstimmig der Definition des Hirntods zugestimmt.
                  Leider ist die Diskussionskultur einiger inzwischen auf einem eher polemisch, agitatorischen Niveau angekommen.

                  https://www.ethikrat.org/fileadmin/Publikationen/Infobrief/Infobrief_0215_Web-neu.pdf

                  • Schön, wie deutlich du zeigst, dass du Schwurbler, die gefährliche und lange widerlegte Lügen verbreiten, gerne als „Personen anderweitiger Sichtweisen“ abtun willst. Das ist deine Entscheidung, aber solchen Lügen nicht entschieden entgegenzutreten sorgt nur dafür, dass sie gehör finden. Daher stellt das zum Glück für sehr viele keine Option dar.

            • Hallo Eric, schau dir doch mal die früher so schönen blauen Himmel heute an, die Streifen, die nach Ausbringung immer breiter werden und dann für einen milchig verschleierten Himmel sorgen, sind KEINE Kodensstreifen! Vielleicht solltest du mal den Blick vom Smartphone nach oben richten?

        • Um da mal als „gewinnorientierter Arzt“ einzuhaken: natürlich arbeiten Ärzte gewinnorientiert, denn meine Wohnung mietet sich nicht von alleine und Lebensmittel klauen ist – soweit ich weiß – immer noch strafbar.
          Aber: ich glaube ich kann die Kernaussage deines Kommentares nachvollziehen. Gerade PKV-Patienten wird häufig ziemlich viel quatsch abgerechnet und es werden auch gerne mal unnötige Untersuchungen durchgeführt. Ging mir selbst schon so, mit der entsprechenden Fachkenntnis interveniert man dann natürlich, als Nichtmediziner ist das aber selbstverständlich schwerer. Und bevor ich im nächsten Absatz ganz weit aushole, Organentnahmen und Transplantationen sind reine „Prestigeprojekte“. Da verdient niemand groß Geld dran. Die Entnahmeklinik geht da vielleicht noch mit einem kleinen Plus raus, die Transplantationskliniken haben aber hohe Kosten und viel Aufwand für ein einzelnes DRG. Ja, z.B. eine Herztransplantation macht am Ende ca. 125.000€ Umsatz für die Klinik, dafür war der Patient aber 6 Stunden mit 3-4 Chirurgen am Tisch im OP (teuer), mehrere Wochen (teils beatmet, ca. 120€/h) auf der Intensivstation (teurer als die Chirurgen), hat vielleicht noch etwas ECMO- Unterstützung gebraucht (sehr viel teuer als die Chirurgen) und war danach noch mehrere Wochen auf Normalstation. Da bleibt bei drei Omis mit dicken Beinen mehr hängen.

          Was aber leider auch die Wahrheit ist: viele niedergelassene Kollegen müssen leider Fließbandmedizin machen oder sich alternativ durch den einen oder anderen Privatpatienten sanieren, da gerade im fachärztlichen Bereich, durch die seit 1996 nicht mehr erhöhte GOÄ/ EBM, Kosten und Einnahmen in keinem wirtschaftlich tragbaren Verhältnis mehr stehen. Ein schönes Beispiel ist immer die ambulante Gastroenterologie. Für eine ambulante Magenspiegelung kann der Facharzt ggü. der gesetzlichen Krankenkasse nur die GOP 13400 abrechnen. Diese hat einen Gegenwert von 108,81€ und verbraucht 878 Punkte (bitte zum völlig irren Punktesystem mal selbst googlen, das würde den Rahmen sprengen. Aber kurz: auch der Facharzt kann eigentlich nicht jedem Patienten der eine bräuchte eine Magenspiegelung anbieten, da er sonst in Regress genommen wird und im nächste Quartal zur Strafe noch weniger Punkte erhält.).
          In den 108,81€ sind enthalten: die Magenspiegelung selbst, die Aufklärung an einem gesonderten Termin vorab, die verabreichten Medikamente, Laborkosten für einen Helicobacter-Nachweis, die Dokumentation und der Versand des Arztbriefes an den Hausarzt sowie die Reinigung und Aufbereitung der Geräte. Für die ÖGD habe ich schon einmal nur für Einwegmaterial am Endoskop, Probenentnahmezange, Zugang, Spritze, Kanüle, etc. Kosten von ca. 25€. Moderne Endoskope sind sehr teuer und deswegen häufig nur geleast. Häufig gibt es Verträge, bei denen pro Nutzung abgerechnet wird, dafür fallen keine Wartungskosten mehr an. Das sind für eine Untersuchung ca. 8-10€. Die Reinigung der Endoskope schlägt auch nochmal mit 2,50€ zu Buche. Dann haben wir für den HP-Nachweis Laborkosten von 16€, sollte dieser positiv ausfallen kommen nochmal 18€ für das Antibiogram hinzu. Die Kosten für den Pathologen sind übrigens nicht aufgeführt, da dieser direkt mit der Krankenkasse abrechnet. Die Medikamente würde ich mit 10€ ansetzen.

          Von den 108€ sind jetzt noch 44€ übrig. Davon wird jetzt für die ca. 20 Minuten Untersuchung eine MFA bezahlt, die Praxisräume müssen angemietet und gereinigt werden, Versicherungsbeiträge, etc. Dazu kommt das Porto für den Versand an den Hausarzt und die Abrechnung mit der Krankenkasse. Wenn man jetzt ganz böse ist rechnet man noch Kreditzinsen mit ein, denn für eine im Januar erbrachte Leistung wir der Arzt in der Regel erst im Juni bezahlt. Er erhält zwar eine kleine Abschlagszahlung basierend auf vorherigen Abrechnungen, diese beträgt (je nach kassenärztlicher Vereinigung) aber nur 10-25%.
          Bleiben unterm Strich 30€. Für diese 30€ hat der Arzt jetzt 10 Minuten aufgeklärt und 20 Minuten gastroskopiert, er hat direkt nach der Untersuchung 5 Minuten einen Befund geschrieben und mitgegeben und nachdem Labor und Pathologie da waren den Befund noch einmal korrigiert und dem Hausarzt geschickt. Dann kam natürlich noch das Finanzamt und hat ihm davon fast Hälfte abgezwackt und in zwei Jahren kommt die DAK an und behauptet bei Oma Brömmelkamp wäre die Gastroskopie im Oktober 2022 gar nicht nötig gewesen, die muss jetzt zurückgezahlt werden. Mit Zinsen.

          Dieses System ist einfach komplett krank. Und sorry für den eigentlich Offtopic-Kommentar, aber viele Leute haben einfach nicht auf dem Schirm unter welchem wirtschaftlichen Druck die niedergelassenen Kollegen stehen. Ich für meinen Teil bleibe da lieber bei Tariflohn in der Klinik. Ich bin bei einem guten kommunalen Träger, muss nicht gar so aufs Geld schauen und muss nur meinem Chef ggü. Rechenschaft ablegen und nicht ggü. einer quasi mafiösen Krankenkasse. Was dann dafür auf dem Konto landet ist zwar in Bezug auf die gearbeiteten Stunden ein Witz, kommt aber Pünktlich und für mich ohne jegliches wirtschaftliches Risiko.

          • 1+++
            Schönes Beispiel, ich würde gerne noch ein paar dranhängen. Das würde hier aber den Rahmen sprengen. Den großteil ist gar nicht bewusst wie wenig Ärzte und Krankenhäuser für die erbrachte Leistungen bekommen.
            Und das sie sogar bei schwierigen Fällen, die sehr viel Zeit in Anspruch nehmen, sogar draufzahlen sieht keiner.

          • Das nenne ich mal einen ausführlichen Kommerntar. Die fachliche Richtigkeit kann ich zwar nicht beurteilen, aber auf den ersten Blich scheinen mir die Behauptungen schlüssig.
            Wenn dem so ist wie geschrieben, muss man ja eigentlich froh sein, nicht als Arzt arbeiten zu müssen. Das wirft ein ganz neues Licht auf meinen durchschnittlichen Job mit durchschnittlichem Einkommen.

          • Ich schimpfe zwar immer auf Ärzte – also immer, wenn sich mir die Möglichkeit bietet, versteht sich – aber hab den Kommentar trotzdem gern gelesen!

            Und so richtig off-topic finde ich ihn auch nicht. Immerhin betrifft es die Anreizstrukturen des Gesundheitssystems in welche wir die epa am Ende vernünftig einbetten wollen.

          • Danke. Ich bin niedergelassener Kollege und du hast recht. Allerdings gibt es einen Fehler. Du rechnest mit den ebm Werten.
            Die Werte bei unserer Fach Disziplin zumindest nochmal pauschal um 20% abgestaffelt. ;(
            Eigentlich muss sich jeder Kassenpatient bei den Privatpatienten bedanken, weil diese eine moderne Medizin für alle ermöglichen.

            • Bei den aufgeführten Kosten würde mich mal interessieren, was ein Arzt durchschnittlich verdient, damit er seine Miete etc. bezahlen kann. Hier müsste man wahrscheinlich zwischen denen mit eigener Praxis und die die im Krankenhaus angestellt sind unterscheiden

              • Zumindest für die Klinikärzte kann ich dir das ganz transparent beantworten, da das alles offen einsehbare Tariflöhne sind.
                Je nach Klinikkonzern oder TvÖD-Region gibt es Unterschiede, die aber nicht besonders Groß ausfallen. Als Assistenzarzt steigst du mit ca. 5.350€ brutto ein und steigerst dich über 6 Jahre auf ca. 6.700€. Als Facharzt machst du dann mit 6.900€ weiter und erreichst in 13 Jahren ca. 9.000€. Dazu kommen noch Zuschläge für Nacht- und Wochenenddienste sowie Bereitschaftszeiten.

                Ich bin im zweiten Jahr Facharzt und damit in der ersten Stufe, Dienste halten sich im Vergleich mit der Assistenzarztzeit in Grenzen, es kommen aber trotzdem noch gut Stunden zusammen. Im Schnitt habe ich dieses Jahr 73 h / Woche gearbeitet und knapp 4.700€ netto rausbekommen. Also definitiv nicht wenig, auf die Arbeitszeit gerechnet aber auch nur ein Stundenlohn von (Zuschläge eingerechnet) 25€ brutto. Da kannst du dich auch in der Industrie ans Band stellen und bekommst ähnliche Stundenlöhne.
                Zumal die Überstunden nie ausbezahlt werden. Momentan habe ich 650 Überstunden stehen und wenn ich das Haus irgendwann verlasse wird man mir anbieten dass ich 1-2 Monate eher gehe und weiter bezahlt werde, oder ich eine „großzügige“ Einmalzahlung von +/- 10.000€ erhalte. Das ist bei Kliniken gängige Praxis. Die vollen Überstunden abfeiern zu können ist aber ein Ding der Unmöglichkeit, das höchste der Gefühle ist mal eine Woche mehr Sommerurlaub oder ein langes Wochenende zum Abbau.

                • Innere?
                  Du Armer…
                  Bin Assistent im 3. Jahr, mache so 55-65 Stunden die Woche und bekomme min. ca. 4300€ ausgezahlt.
                  Ich habe alle paar Wochen mal 1-2 Tage frei um Überstunden abzubauen, oft sage ich zum Chef aber schon „nein“, damit ich überhaupt noch Stunden über habe um mal spontan frei nehmen zu können.

            • Harte Aussage, die vielen Unwissenden den Mund schäumen lässt… aber das ist nunmal die bittere Realität.

            • Sorry Nico, aber ich als vom Gesundheitssystem und den Ärzten mit meinen gesundheitlichen Problemen im Stich gelassener Kassenpatient muss mich nicht bei Privatpatienten bedanken, da die Mehrheit der Privatpatienten und ihrer Leistungen von Steuergeldern bezahlt wird. Klar ist es eine Querfinanzierung, die privatversicherten Beamten erhalten aber auch bessere Leistungen. Ich bin arbeitsunfähig, komplett verzweifelt und am Ende. Dass das die Ärzte nicht juckt, weil das System eben so ist wie es ist, kann ich nachvollziehen. So zu tun als würden Beamte ihr schwer erarbeitetes Geld in die Praxis bringen ist aber lächerlich.

          • danke für diese sachliche und klare Aufschlüsselung und den Einblick aus Praxissicht.

          • Brack Fllo says:

            Danke für diese ausführliche Darstellung.
            Endlich mal einkonkretes Beispiel bekommen zu haben!

    • Wenn es so einfach ist, an eine Gesundheitskarte einer anderen Person zu kommen, liegt das Problem nicht bei der elektronischen Patientenakte.

      • Selbstverständlich ist das Problem auch bei der ePA, da sie diesen Missbrauch nicht durch einen zweiten Faktor absichert.

        Natürlich ist auf jeder KK-Karte ein Bild der Person abgedruckt, aber dieser „zweite Faktor“ zu gerne ad absurdum geführt. Bei der TK habe ich zumindest keine Möglichkeit gefunden, ein auch nur ansatzweise aktuelles Bild hochzuladen für die nächste Karte, wenn die aktuelle abläuft. Auch nicht, wenn man da anruft. Wie lange die TK schon Bilder mit drauf druckt, kann man wahrscheinlich googlen. Dass das Bild nicht auf ewig geeignet sein kann, ob die Person tatsächlich vor einem steht, sollte offensichtlich sein. Natürlich würde das auch noch voraussetzen, dass beim Arzt am Empfang die Leute überhaupt die Zeit haben, so genau drauf zu schauen.

        Wer in den 2020er Jahren noch etwas so zentral wichtiges und schützenswertes nicht einmal mit einem zweiten Faktor absichert, hat absolut versagt, ganz einfach.

        • Peter Lustig says:

          1 Minute googeln hat mich zu der TK Seite für die Aktualisierung des Fotos gebracht und mich zusätzlich darüber informiert dass das Foto alle 10 Jahre aktualisiert wird.

          Ansonsten stimmt es schon: Ein zweiter Faktor gekört zur ePA.

          • Tatsache, inzwischen besteht die Möglichkeit. Wie gesagt, als meine letzte vor ca 3 Jahren abgelaufen ist, gab es keine Möglichkeit. Und da war das Bild auf jeden Fall schon über 10 Jahre alt.

    • Dieter Lehmer says:

      Organspende – würd ich ganz einfach machen. Wer nix spendet bekommt auch nix!

      • Compööh… Grundgesetz sagt: Nein

        • Warum sagt das Grundgesetz da nein?
          Weil alle Menschen sind gleich?
          Ist doch so. Alle Menschen werden gleich behandelt – sie machen bei Organspenden mit, oder nicht.

          • Ne, weil das ist halt Organhandel und das ist nicht drin. …haben sich auch schon eine Million angehende zweitsemester Juristen dran abarbeiten müssen, ist also schon nicht mehr ganz so on the edge die debatte.

      • Sehe ich nicht so. Ich spende meine Organe aber erwarte nicht, dass ein möglicher Empfänger dies auch machen sollte. Hat auch viel mit Angst zu tun und Unwissen. Ich helfe immer, ohne etwas zu erwarten. Ich finde es anders unmoralisch.

      • Alex the 2nd says:

        Sollte dann aber auch fairerweise in OrganHANDEL umbenannt werden.

  2. Tja, was können wir in diesem Land eigentlich noch?

    • Seit hierzulande „Digital first, Bedenken second“ gilt, wird alles kopflos und unseriös durchgestümpert, was man Trümmer-Firmen wie die Gematik vergeben kann. Solange man es kann, sollte man vermeiden, dass diese Truppe die eigenen Daten in die Finger bekommt.

      • Nach meinem Empfinden gilt genau das nicht, deshalb kommen wir digital ja auch nicht wirklich voran.

        • Dann solltest du dich mit dem Thema Mal beschäftigen. Unsere werte Regierung war ja auch völlig versessen, unter dem Deckmantel von Corona die ganze Bevölkerung live tracken zu können. Da mussten dann ausgerechnet Apple und Google einen Riegel vorschieben, damit man etwas funktionierendes in Auftrag gibt. Das eRezept ist ebenso eher eine Katastrophe als etwas sinnvoll geplantes, eben weil man jegliche Bedenken völlig ignoriert. Und dann wundert man sich, dass es niemand nutzen will.

        • Überall sonst heißt es in Deutschland „Erst denken, dann handeln.“ Ausgerechnet bei einer heiklen und komplexen Angelegenheit wie der Digitalisierung will man das irrationalerweise nicht gelten lassen.

          Wenn es nach mir ginge hätte es bereits nach der Sache mit den Konnektoren sofort staatsanwaltschaftliche Ermittlungen wegen möglicher Korruption geben müssen um potenziellen Schaden an der deutschen Bevölkerung zu verhindern.

    • Wir können uns diesem Land so einiges. Allerdings können offensichtlich die öffentlichen Firmen einfach keine Projekte und Software entwickeln. Ob es daran liegt dass sie so unglaublich schlecht bezahlen nach Tarifvertrag? Oder weil eine merkwürdige alte Kultur aus Hierarchie und Gehorsam besteht in den Firmen?

      • Trifft beides zu. Eingestellt wird nach Ausbildungs-/Hochschulabschluss und keinesfalls nach Talent und Fähigkeiten. Wer eine Dissertation rein über die Funktionen der ePA schreibt, bekommt bei diesen Firmen eine viel höhere Position als jemand, der in der Lage ist, Bugs zu finden oder geschützte Daten zu hacken.

        Die beliebtesten/bestbezahlten und am wenigsten arbeitsintensiven Pöstchen werden meistens an Freunde, Schwager oder entfernt Verwandte vergeben. Das lässt sich bis in die Chefetagen dieser Buden beobachten. Sinnvolle Digitalisierung wird es in den meisten Behörden und öffentlich-rechtlichen Unternehmen nicht geben, weil sich viele Verantwortliche damit selbst überflüssig machen würden.

    • Meckern. 😉

    • Regenbogenfahnen überall aufhängen?

    • Korruption. Und diese als Lobbyismus verkaufen. Und natürlich Reiche vor höherer Besteuerung beschützen.

  3. Mab fragt sich wie man dir Zweifler überzeugen will – durch diese Pannen bekommen die ewigen Verweigerer für Digitalisierung neues Futter. Nicht ganz unbegründet wie man bei dem Drama eAkte zugeben muss. Wie realisiert das eigentlich Skandinavien, so allgemein?

    • Ich denke bei so einer schlechten Umsetzung sollten wir die Zweifler gar nicht überzeugen, oder? Eher sollten wir einen Weg finden, die Befürworter zu überzeugen, dass das nicht der richtige Weg ist.

      Eine sichere epa würde voraussetzen, dass ich als Patient der einzige bin, der darüber entscheiden kann wer was in welchem Moment lesen kann. Also braucht es sichere Verschlüsslung bei welcher die Schlüssel beim Patienten liegen.

      Bestenfalls sollte es nur ein Set an Standards sein und ich als Patient kann die vollverschlüsselten Daten auch selbst hosten.

    • Ich bin absolut für so etwas wie die elektronische Krankenakte.
      Aber wie kann es sein dass v3 schlechter ist als v2?
      Das ist alles Schrott bei dem ich nicht mit mache.
      Ich lebe in Dubai, da läuft alles elektronisch und die können das, meine Krankenversicherung läuft über die Allianz und da hab ich jetzt widersprochen.

      • Du lebst in Dubai und die können alles Digitale? Woher weißt du das überhaupt? Gab es dort unabhängige Reviews der Sachen die dort „Digital“ ablaufen. Wurden dort alles „Digitale“ unabhängig getestet? Wenn ja von wem? Sei mir nicht böse ich könne dir dein Dubai, bei aller Kritikwürdigkeit, doch nur weil etwas funktioniert (die können das ja), was es ja bei uns auch erstmal grundsätzlich tut, heißt ja noch lange nicht das es sicher ist. Das gilt hier wie in Dubai auch.

        • Ich glaube, da werden vielfach Fragen, wie sie bei uns aufgeworfen werden, einfach nicht gestellt. Da geht es mehr darum, dass die Dinge funktionieren. Und tatsächlich bin auch ich der Meinung, dass insbesondere datenschutzrechtliche Vorschriften in vielen Bereichen der Funktionalität entgegenstehen. Bevor wieder der Hinweis kommt, dass es nicht am Datenschutz liegt, wenn jemand sagt, es liegt am Datenschutz: Es gibt Dinge, die sind bei Einhaltung der Datenschutzbestimmungen schlicht nicht oder nur deutlich eingeschränkt umsetzbar. Das mag auch in Ordnung sein, natürlich sollen Gesetze und Vorschriften beachtet werden. Aber dann müssen wir auch damit leben, dass wir bestimmte Dinge eben auch nicht haben und nutzen können, wie es in anderen Ländern zum Teil schon seit Jahren üblich ist.

          • Was für „bestimmte Dinge“ sind denn deiner Meinung nach nicht sauber lösbar?

            • Eigentlich nur die Dinge, die explizit durch die DSGVO verhindert werden sollen. Also ungefragt einfach massenhaft Daten absaugen und zum Nachteil der dummen Nutzer weiterverhökern. Alles andere ist umsetzbar, man muss halt nur gewillt sein, es richtig zu machen, statt halbärschig.

  4. Ich habe bei der AOK Plus schon vor einigen Wochen der Erstellung der ePA widersprochen, und so lange der Datenschutz weiterhin vernachlässigt wird, werde ich auf die ePA verzichten.

    • Und du glaubst, dass widersprechen besser funktioniert, als der Datenschutz selbst? Träum weiter.

      • Kostet doch nichts – lieber einmal zu viel widersprochen als einmal zu wenig. Denkst du nicht? 🙂

      • daten_sollen_teuer_sein says:

        Ja, tut es. Alles was in der ePA steht soll nach unserem tollen Gesundheitsminister an die ganzen US Datenkraken zum Spottpreis verhökert werden. Guck dir gerne die Artikelreihe von Herrn Born zu diesem Thema an. Links lass ich hier mal raus, Google hilft gerne weiter.

        • Der Verwendung zu Forschungszwecken kann man gesondert widersprechen ohne der Anlage und Vewendung der ePa generell widersprechen zu müssen.

          • Naja im Moment geht das noch nicht.

            Der Verwendung zu Forschungszwecken soll man in Zukunft widersprechen können. ..und zwar ab Version 3.1, die mutmaßlich im Juli 2025 erscheinen soll.

  5. Ike Broflovski says:

    Bestes Deutschland aller Zeiten.
    Das Gleiche auch bei dem Abfluss von vielen Kfz-Userdaten und Standorten bei VW.

    Wie immer fängt der Kopf an zu stinken. Also schone im Bundestag, Parteien und in der EU beschweren oder richtig wählen. Schlimmer kann es wohl kaum noch werden.

    Ich wette, aber der nächste setzt noch einen darauf, natürlich die gleiche Partei, die alles eingebrockt hat. Zuzusagen schreit der Dieb: „Haltet den Dieb.“

    Jetzt und später aber auch nicht beschweren und jammern!

  6. soeben mein widerspruch eingereicht.
    dacht ich mir schon dass die da nix gefixt haben.

    totale katastrophe das teil. das schlimme is der grose teil wirds nicht merken
    und damit sich nix andern weil beschwert sich ja niemand.

  7. nich falsch verstehen ich finde die idee genial!!

    technisch halt leider mal wieder katastrophal umgesetzt.

    ich frag mich immer wie sowas security technisch durch gehen kann…

    mussen die keine audits machen bevor das auf die menschen losgelassen wird??

    Anscheinend nich…

  8. und es ist der 3. versuch…wtf?? wie geht sowas…? dreimal alles missachten was wichtig is bei security…und trotzdem milliarden kassieren…

    in was fur ner welt leben wir

    • Ich glaube die Idee könnte wohl sein, dass man es so oft in den Sand setzt bis die Politik lethargisch die unsichere Lösung durchwinkt — und dann hat Pharma mehr Daten.

      Wie immer gilt: Wenn die Leute sagen es scheitere am Datenschutz scheitert es nicht am Datenschutz.

  9. Unsere Widersprüche müssten spätestens heute zugestellt sein, und dann kommt auch schon direkt was „womit keiner gerechnet hat“, außer…

    Aber eigentlich auch nicht so schlimm, denn wenn man die Daten einfach auf Masse abzapft bleibt das Schaaf ja in seiner Herde, also dürfte dann ja niemand Unsicherheit verspüren, top. 😀

    • „ Aber eigentlich auch nicht so schlimm, denn wenn man die Daten einfach auf Masse abzapft bleibt das Schaaf ja in seiner Herde, also dürfte dann ja niemand Unsicherheit verspüren, top.“
      … wenn du doch was vermitteln willst, warum dann so verschwurbellt?!?

  10. Widerspruch schon zwei Mal eingereicht bei meiner KK (HKK), immer noch keine Bestätigung nach Wochen.

    Widerspruch ist Pflicht!

    • Man könnte meinen, da sitzen Menschen, die nichts damit anfangen können… mit 14 Gehältern, Tarifverträgen, sicheren Arbeitsplätzen, …

    • Meine Frau und ich sind auch bei der HKK. Haben beide den Widerspruch schon vor 2-3 Monaten eingereicht. Bis heute keine Bestätigung gekommen.

      Der Brief mit der Beitragserhöhung kam hingegen sehr schnell und gleichzeitig ins Haus.

  11. Haha, bei der TK:
    > Ergebnisse für „epa“
    > ePA Wider­spruch
    > Einfach online erle­di­gen:
    > Widerspruch gegen die Einrichtung einer ePA gemäß Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG)

    Gehe ich weiter, muss ich auf einen Brief warten:
    > Wir haben Ihren persönlichen Freischaltcode an Ihre bei uns hinterlegte Adresse verschickt. In wenigen Tagen können Sie Ihn eingeben. Vielen Dank für Ihre Geduld.

  12. Gibt es einen LiveStream? Ich finde nur die Aufzeichnungen wenn die Fertig sind.

  13. Verlinkt doch bitte noch den nichtssagenden Kommentar der verantwortlichen gematik zu dem Thema: https://www.gematik.de/newsroom/news-detail/aktuelles-stellungnahme-zum-ccc-vortrag-zur-epa-fuer-alle

    • > Unberechtigte Zugriffe auf die ePA sind strafbar und können nicht nur Geld-, sondern auch Freiheitsstrafen nach sich ziehen.

      Sie wollen dem Typen, der die Daten am Ende klaut, Angst machen. Das wird bestimmt total gut funktionieren.

      Also etwa ein russischer Hacker denkt sich dann sicherlich: lieber nicht machen, nicht, dass mit am Ende noch die Deutschen mit ihrem Rechtsstaat blühen.

      Haha 😀 :clown:

  14. Ich kann’s mir nicht verkneifen: Ich hab’s doch von vornherein gesagt.

  15. Katastrophe by Design.
    Wenn zum Zugang zu den Daten einer ePa lediglich der physische Besitz der Karte und die eines Arztes notwendig ist, ist einem
    Missbrauch Tür und Tor geöffnet.

    Das Schreiben der Gemantik ist an inhaltsleeren Floskeln nur schwerlich zu überbieten.

  16. Ich hatte schon vor Wochen hier im Blog darauf hingewiesen, dass man besser erstmal der ePA widersprechen sollte! Meine ganze Familie hat widersprochen. Anscheinend hatte ich nicht ganz unrecht mit meinem Tipp zu widersprechen. Unfassbar was hier wieder für ein Murks zusammengeschustert wurde.

  17. GooglePayFan says:

    Sag mal, könnt ihr alle bitte mal darauf klar kommen, was das tatsächliche Problem ist?
    Fremde Personen können sich eure Krankenkassenkarten bestellen!

    Die elektronische Krankenkasse ist nicht per se unsicher, die Hotline eurer Krankenkasse ist es.
    Und dass der Notfalldatensatz eurer ePA auf der Krankenkasse ohne PIN abrufbar sein muss, ist klar. Wenn ihr schwer verletzt seid, soll der Arzt dann nicht wissen, gegen welche Schmerzmittel ihr allergisch seid?

    Das ist ungefähr so, als wenn Hacker bei eurer Handyanbieter eine SIM-Karte mit eurer Nummer anfordern können, sich eine mTAN zuschicken lassen und ihr dann sagt „die Bank ist gehackt worden“.

    Hier kann man jedenfalls wahrscheinlich einfach nachbessern: Krankenkassenkarten nur noch gegen PostIdent ausliefern lassen oder den ersten Zugriff beim Hausarzt immer einmal per PIN und Perso-Vorlage freischalten müssen.

    TL;DR: Ich sehe keine erhebliche Sicherheitslücke in der ePA, ich sehe Probleme in der Organisation bei den Krankenkassen!

    • Doch klar. Die elektronische Patientenakte ist in dieser Form per se unsicher. Das muss man wirklich immer wieder so klar sagen.

      Alle Daten die irgendwo zentral und lesbar abgelegt werden, werden irgendwann geleaked. Die Wahrscheinlichkeit, dass sie an einem spezifischen Tag geleakt werden, steigt mit der Menge und Brisanz der Daten.

      Dass sie die epa zentral und nicht vollverschlüsselt beim Nutzer durchdrücken ist ein fundamentaler Fehler an der Idee.

      Niemand sollte sich einreden lassen, man könnte keine sichere und verantwortungsvolle (damit auch: Demokratie kompatible) Gesundheitsakte implementieren. Man kann! Die technischen Voraussetzungen sind da!

      Wir machen es halt nur einfach nicht.

      • Wir machen es auch deshalb nicht, weil doch ein paar Leute erkannt haben, dass es so einfach nicht funktionieren würde in der Praxis. Wenn die Daten allein beim Nutzer liegen, lokal und verschlüsselt, geht es doch schon damit los, dass die Nutzer den Schlüssel nicht mehr wissen, wenn mal der Zugriff auf die Daten benötigt wird, viele werden auch erst mal fragen, wo die Daten überhaupt gespeichert sind. Regelmäßige Backups für Notfälle wird es zumeist auch nicht geben. Und wenn die Daten automatisch gesichert werden, wissen viele auch nicht, wie sie rankommen.
        Man kann das sicherlich unterschiedlich sehen, aber nach meinem Empfinden ist diese elektronische Patientenakte weniger für den Patienten selbst wichtig und sinnvoll, als vielmehr für Ärzte und Rettungskräfte, denn gerade Letztere müssen da auch mal rankommen können, wenn die betreffende Person bspw. nicht ansprechbar ist. Insofern macht eine zentrale Ablage schon Sinn.

        • Auch das ist wieder einfach nur das wiederholen von Gerüchten.

          Dein erstes „Problem“, das du anführst, ist seit vielen Jahren gelöst und weltweit schon im Einsatz. Deine ganz normalen Windows Bitlocker Keys werden z.b. bei deinem Microsoft Konto gesichert, um dir im Zweifel den Zugriff auf deine Dateien wieder zu ermöglichen. … Also ein Opt-In oder Opt-Out zum Backup der Schlüssel zu einem Dienstleister. Das mal nur als ein Beispiel für eine Lösung, die du vielleicht sogar beim Verfassen deiner Antwort im Einsatz hast.

          Bei dir bin ich was den Nutznießer der aktuellen ePA angeht: dieses System ist ganz explizit nicht(!) darauf angelegt, den Patienten zu ermächtigen. Es geht hier um das Nutzbar machen der Gesundheitsraten Dritter. Man hebt Ressourcen und lädt anderen die Risiken auf, ein bisschen wie bei unsachgemäßem Fracking.

  18. Ist doch letztendlich erstmal Wurscht. Ich war so ehrgeizig, die ePA nutzen zu wollen. Bin bei einer PKV. Die ersten haben ja auch bereits die ePA am Start. Nun hatte ich in den letzten Monaten ein paar Erkrankungen mit Untersuchungen, Besprechungen und Befunden. Jeder Arzt, jede Verwaltung, jedes KH habe ich darauf angesprochen, meine Befunde doch in die ePA zu laden bzw. hatte die Ärzte/KHs berechtigt, bestimmte Unterlagen einzusehen.
    Das waren 3 KHs und 6 Ärzte/Praxen. Niemand hatte Interesse/Zeit/Lust darauf sich mit der ePA in meinem Fall auseinanderzusetzen.

    Ist einfach zu kompliziert, zu sehr diktiert und zu überreguliert. Und jetzt noch das….

    Bleibt einfach eine Totgeburt und ist so nicht mehr zu retten.

    Alles in die Tonne und Neustart…..

    • Das schlimme is das gab’s schon mal genau so vor 10 Jahren. Und was wurde gemacht Neustart und zum dritten Mal verkakckt

      Das schlimme daran is die wollen das alle so also wird sich nix ändern

  19. gibt es irgendwo eine .ics Datei mit den ganzen Vorträgen?

  20. Ich denke immer noch, dass das Problem an anderer Stelle liegt und dort gelöst werden müsste. Wenn es tatsächlich so einfach ist, wie es im Artikel geschildert wird, an eine fremde Gesundheitskarte zu kommen, dann ist doch da erst mal eine Lösung zu finden, das liegt doch nicht an der ePA per se.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.