36C3 Vorspannmusik Herald: Unser 3. Vortrag in diesem Block an Tag 3 des 36. Chaos Communication Congress. Wir erfahren über 15 Jahre deutsche Telematikinfrastruktur. Irgendwann wurde die elektronische Gesundheitskarte eingeführt mit Versprechungen und Plänen darauf, nicht nur persönliche Daten zu speichern, sondern auch Rezepte, Diagnosen, möglicherweise sogar Dokumente. Wie viel davon tatsächlich heute umgesetzt wurde, wie sich die Technik in letzter Zeit entwickelt hat in den letzten Jahren. Ob die vollmundigen Versprechen eingehalten wurden, ob die überhaupt eine gute Idee waren? Das wird uns jetzt Christoph erklären. Er ist Mitarbeiter an der FH Münster und wird uns einen Überblick über die Entwicklung der letzten Jahre der Technologie. Herzlich willkommen, Christoph! Applaus Christoph: Ja, Dankeschön und willkommen hier. Jetzt zu der fortgeschrittenen Zeit, möchte ich noch einmal kurz über die Telematikinfrastruktur reden. Wir hatten vor 2 Tagen schon einen kleinen Talk über die EPA. Was ich heute Abend machen möchte, ist, ein bisschen über den technischen Spezifikationen zu reden, das heißt ich möchte einen kleinen Überblick euch geben. Das kann auch nur ein kleiner sein, weil wenn man sich anschaut, wenn man sich die Spezifikationen mal anschaut, man kann die runterladen. Auf dem Fachportal gematik.de findet man so ZIP- Dateien. Es sind aktuell 97. Das sind 8000 PDF-Seiten. Dazu kommen noch ein/zwei Tausend Seiten Konzepte und Feldtestdokumente und ähnliches. Das heißt, hier kann man wirklich nur einen kleinen Überblick geben und ich möchte anregen, zu einer informierten Diskussion über die Telematikinfrastruktur, allerdings auch eine objektive und eine faktenbasierte. Und ich werde später nochmal kurz drauf eingehen. Es gibt relativ viele Berichte, aktuell oder in den letzten Monaten, im letzten Jahr vor allem, über die EPA, Telematikinfrastruktur. Aber meines Erachtens war nicht alles so ganz korrekt, vom Technischen her, dass da halt einige Halbwahrheiten teilweise herum schwirren. Und da möchte ich ein bisschen informieren heute. Das heißt, fangen wir an. Die Telematikinfrastruktur: Worüber reden wir da eigentlich? Und hier sieht man links sind die IT-Systeme Heilberufler. Das ist quasi die Praxis, das ist das Praxisnetzwerk. Meistens ist es ja ein bestehendes Netzwerk. Viele Ärzte sind ja schon vernetzt oder haben zumindest digitale Systeme. Und was kommt jetzt dazu durch die TI? Wir haben die Kartenterminals, damit die Versichertenkarte gesteckt werden können. Wir haben dann auch noch natürlich verschiedene andere Karten, wie z.B. den Heilberufsausweis und wir haben diesen Konnektor. Dieser Konnektor verbindet das bestehende Netz, der Ärztin oder des Arztes, über das Internet mit dem zentralen TI-Netzwerk. Das ist diese zentrale Zone. Dort finden wir verschiedene Dienste wie beispielsweise PKI-Dienste. Wir haben da eine eigene CA für die Telematikinfrastruktur. Wir haben noch weitere zentrale Dienste wie beispielsweise so ein Zeitserver, DNS Auflösung.Wir haben auch ein Verzeichnisdienst, also sprich einen LDAP- Server. Und was man hier auch sieht, es ist kein transparentes Netz. Es ist ein bisschen abgeschottet. Also es ist kein eigenes separates Netz hier, sondern es ist trotzdem noch so ein bisschen getrennt durch Sicherheitsmaßnahmen. Und dann haben die Provider-Zone. Das ist diese Zone, wo beispielsweise die Hersteller, wenn wir später über die elektronische Patientenakte reden, dort wird sie gehostet werden, das heißt in diese Zone kommen dann die Hersteller mit ihrem Fachanwendungsdiensten und ganz interessant ist noch, ganz rechts das sind, da steht jetzt nur Bestandssystem, das ist so, die Telematikinfrastruktur ist nicht das Erste und auch nicht die Einzige medizinische Vernetzung in Deutschland. Es gibt schon weitere Netze, wie beispielsweise das sichere Netz der KVK. Das wird aktuell benutzt. Ich glaube seit 2015 ist es Pflicht, wenn die Vertragsärzte abrechnen. Das heißt ihre Honorarforderung geltend machen. Dann rechnen Sie das durch dieses sichere Netz der KVK ab. Das geht beispielsweise durch einen VPN-Konnektor, das heißt viele Praxen haben heutzutage schon einen VPN-Konnektor und haben das schon jahrelang in ihrem Netzwerk drinstehen. Was man sich überlegt hat für die TI. Nun wir wollen jetzt nicht verschiedene Konnektoren und verschiedene Zugänge machen, deswegen koppeln wir die alle an die Telematikinfrastruktur, dass wir nur noch ein Konnektor brauchen. Wenn wir uns mal auf die Akteure, wenn wir mal gucken, wer macht überhaupt was? Wo kommt die Telematikinfrastruktur her? Haben wir natürlich das Bundesministerium für Gesundheit. Das ist mir mit dem aktuellen Minister Jens Spahn seit dem Mai dieses Jahres ist das BMG auch Mehrheitsgesellschafter mit 51 Prozent an dieser Gematik GmbH. Gleichzeitig mit dem Gesetz zu diesen 51 Prozent wurde verabschiedet, dass für Entscheidungen nur noch eine einfache Mehrheit nötig ist. Das war früher anders. Da brauchte man mehr, das heißt früher mussten sich nicht wirklich alle KVK Gesellschafter zusammen setzen. Man braucht einen gemeinsamen Konsens. Das wurde geändert, das heißt jetzt kann das BMG, wenn es will, wirklich bei der Gematik quasi hart durchgreifen und Sachen voranpushen. Das hat man gemacht und insbesondere Jens Spahn wollte das Ganze, Telematikinfrastruktur, ein bisschen verschnellern und hat das dadurch gemacht. Die Gematik in der Mitte spezifiziert die Telematikinfrastruktur an sich, die Dienste, die Komponenten, die Fachanwendungen. Das macht sie nicht alleine. Das macht sie in enger Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik. Das BSI überprüft die Spezifikation nochmal oder schreibt auch technische Richtlinien, das heißt die Gematik handelt da nicht alleine. Das BSI macht da mit. Die Gematik stellt allerdings keine Komponenten her, sie betreibt auch keine Dienste oder Server. Das wird dann durch die Privatwirtschaft abgebildet. Und hier sehen wir zum Beispiel die großen Player: T-Systems, arvato Bertelsmann oder die CGM Group sind dabei. Diese Hersteller betreiben die Dienste, Server oder erstellen oder produzieren die Konnektoren zum Beispiel. Dafür brauchen Sie eine Zulassung. Für diese Zulassung brauchen Sie eine Zertifizierung wieder vom BSI. Das BSI wiederum prüft allerdings auch nicht selber, sondern hat verschiedene Prüfstellen, wie zum Beispiel TÜViT. Und dafür gibt es diese Evaluierung, beispielsweise Common Criteria. Interessant, wenn es vielleicht nur die Dienstleister können sich normalerweise die Prüfstellen aussuchen und müssen diese Prüfstellen nachher auch noch zahlen. Das muss man bei der Common Criteria wissen. Es gibt da so ein kleines Abhängigkeitsverhältnis zwischen den Prüfstellen und den Dienstleistern. Um das so ein bisschen geradezurücken, gibt es die Auditierung und die Anerkennung des BSIs. Die Prüfstellen müssen sich anerkennen lassen durch so einen Prüfungsprozess durch und sich auch wieder reevaluieren lassen. Kommen wir zu den Fachanwendungen, das heißt, dass sind die Anwendungen, die später vom Patienten und Ärzten benutzt werden sollen. Das Ding mit dem langen Wort nennt sich Versichertenstammdatenmanagement, kurz VSDM. Und was wir hier haben, ist eigentlich nur ein Online Update der Versichertendaten, das heißt früher war es so: "Ich bin umgezogen. Ich habe eine neue Adresse bekommen." Ich habe der Krankenkasse gesagt: "Ja, ich wohne jetzt woanders. Ich brauche eine neue Karte." Dann habe ich eine neue Karte bekommen. Das soll wegfallen. Und zwar durch dieses Online Update, das heißt ich sag der Krankenkasse Bescheid. Ich kriege eine neue Adresse und gehe dann zum Arzt hin. Steckt die Karte rein und mit diesem einstecken der Karte wird eine Onlineverbindung aufgebaut zum Krankenkassen-Server und die Daten werden dann über das Internet geschoben und auf der Karte aktualisiert. Bis jetzt, so nach 15 Jahren Entwicklung ist das auch quasi die einzige produktive Anwendung in der TI die wir soweit haben. Immerhin. Immerhin. Applaus Ja das dachte ich auch, da haben wir schonmal ne Anwendung, da kann ich das mal ausprobieren. Ich bin vor ein paar Monaten umgezogen, dachte mir Cool, kann ich mal gucken, was passiert. Hab meiner Kasse geschickt: Hier ich habe eine neue Adresse. Ich brauch eine neue Karte oder bzw. ich brauche Online Update. Und ja aber Pustekuchen. 3 Tage später hatte ich die neue Karte im Briefkasten. Also es wird aktuell noch gar nicht richtig benutzt. Und zwar folgender Weise, und zwar aus folgendem Grund. Es gibt noch nicht genug Praxen, die angeschlossen sind. Wir haben in Deutschland 177.000 Arztpraxen, davon sind aktuell, glaube ich, angeschlossene, so ungefähr 122.000, das heißt die Kasse kann nur sichergehen, dass die Karte wirklich upgedatet wird. Daher wird's aktuell noch gar nicht benutzt. Also zumindest nicht zum Update der Karte benutzt. Könnte dann wahrscheinlich nächstes Jahr irgendwann kommen. Aber jetzt habe wir hier natürlich diese personenbezogenen Daten. Wir haben Stammdaten. Wir haben noch ein, zwei kritische Daten wie spezielle Kennzeichnung für Disease-​Management- Programme, das heißt wir haben so ein teilweise medizinische Daten, das heißt wir brauchen hier gute Sicherheit. Jetzt gucken wir uns mal in der Spezifikation um. Was haben wir da? Wie gesagt mein Talk ist jetzt so ein bisschen technischer, also die Spezifikation, die Prozesse hatten wir vor zwei Tagen und da haben gesehen, da gibts viel aufzuholen. Aber was haben wir bei der Technik? Hier haben wir wirklich echtes Ende zu Ende, das heißt wir haben ganz rechts einen Versicherungsserver VSDD hier in der Spezifikation und ganz links ist die Karte. In der Mitte haben wir das VPN. Das ist hier der VPN Konnektor im Internet. Dann haben wir noch zwischen dem Kartenterminal und dem Krankenkassenserver eine Eins-zu-Eins TLS-Verbindung. Und auch das letzte Gap noch so zu schließen zwischen dem Terminal und der eGK Karte nutzt man hier das Secure Messaging Verfahren. Das ist ein Verfahren aus dem ISO-Standard aus dem ISO-Smartcard- Standard und ist in diesem Fall wirklich eine symmetrische Verschlüsselung mit AES und einem anschließenden MAC. Das heißt, sie haben wirklich echtes Ende-zu-Ende. Zwischen den Krankenkassenserver und der Karte, das heißt die Daten werden wirklich erst auf der Karte auf dem Sicherheitschip entschlüsselt. Gucken wir uns die zweite Anwendung an: Kommunikation Leistungserbringer, kurz KOM-LE. Und was wir hier haben, ist eine sichere Email- Kommunikation zwischen den Leistungserbringern, also beispielsweise Ärzte oder Apothekern. Das Ganze basiert auf Zertifikaten, das heißt, ich habe diesen Adressdienst, den LDAP-Server. Dort sind dann die Ärzte später, also nächstes Jahr irgendwann, das startet bald. Haben wir diese die registrierten E-Mail- Adressen der Ärzte samt Zertifikaten und Public Keys, das heißt als Arzt oder Apotheker oder Psychotherapeut kann ich später einfach jeden Arzt suchen, den ich anschreiben möchte und ihm dann verschlüsselt und signiert die Daten zukommen zu lassen, also die Email. Wenn man sie jetzt anschaut PGP oder S/MIME ist ein bisschen anders, weil hier hat man sich überlegt: Okay, wir wollen im Betreff auf jeden Fall mit sichern und wir wollen auf jeden Fall moderne Krypto, das heißt wir wollen wirklich auch MAC dabei und deshalb haben sie überlegt, man macht das Ganze noch ein bisschen anders. Man nimmt im Betreff mit in die Krypto mit rein und nutzt auch AES-GCM. Wenn man sich jetzt S/MIME nochmal in Erinnerung ruft oder PGP, dort haben wir halt kein GCM und haben dann meistens CBC mit einem MAC oder sowas ähnliches bei PGP. Und wenn man sich jetzt noch 1 Jahr zurückerinnert, Efail war ein großes Problem oder ist auch noch ein großes Problem. Das haben wir hier gar nicht. Das ist hier rausgenommen, weil wir halt eine andere Krypto haben. Im Genauen sieht so aus, wir haben hier links den Client, dass kann der Thunderbird sein oder Outlook oder auch das Praxisverwaltungssystem vom Arzt, wo dann per Klick einfach Röntgenbilder verschicken kann beispielsweise und die Originalnachricht. Diese sehr schützenswerte Nachricht wird dann verpackt in eine neue Nachricht und die die Originalnachricht, die dann gekapselt wird, die wir verschlüsselt und signiert und zwar in der Praxis. Jetzt steht hier die dezentrale Plattform. Das ist der Konnektor, das heißt in der Praxis an sich wird das Ganze eingepackt und dann über den Email-Server zum Arzt hingeschickt. Also auch hier haben wir eine echte Ende- zu-Ende Verschlüsselung zwischen einer Praxis und der Praxis Empfänger zwischen dem einen Konnektor und dem anderen Konnektor. Dann kommen wir zu dem ePA. Das ist die elektronische Patientenakte und das soll so das Meisterstück werden. Es soll quasi die Killeranwendung in der TI werden. Was haben wir hier? Wir haben eine freiwillige patientengeführte Akte. Freiwillig heißt, es ist ein echtes Opt-in als Patient muss ich zu meiner Versicherung hingehen und sagen: Ich möchte die ePA haben. Ich möchte das Antragsformular haben und muss anschließend nochmal zum Arzt gehen oder eine Karte stecken, um das zu bestätigen. Und es ist patientengeführt, das heißt der Patient muss dem Arzt explizit einwilligen, dass er dort Zugriff hat. Es wird auch keine Leere ePA erstellt oder ähnliches für die Patienten. Sie wird wirklich erst beim Arzt erstellt und der Zugangsschlüssel auch erst beim Arzt freigegeben, für diesen einen Arzt. Das it zeitlich limitiert, kann man sagen 7 Tage bis zu 18 Monate geht's. Und weil es patientengeführt ist, kann der Patient selber Daten lesen. Da kann er was schreiben. Kann beispielsweise ein Krankheitstagebuch führen? Er kann aber auch Sachen löschen, das heißt falls er mal den Psychotherapeuten Zugriff gegeben hat und er dort eine Diagnose reingestellt hat und man möchte jetzt, ein Jahr später, das raus haben, kann der Patient das löschen. Das heißt natürlich auch ein Arzt kann sich nicht darauf verlassen, dass wirklich alle Daten drin sind. Das muss man wissen, dass es einen patientengeführte Akte. Ist quasi wie heute, wo ich meine Auskünfte vom Arzt sammeln kann, per CD, DVD oder per Brief oder Post. Hier kann ich es digital speichern. Die Daten liegen dann bei dem patientengewählten Dienstleister, also einer dieser privatwirtschaftlichen Hersteller, nicht auf der eGK, auch nicht bei der Krankenkasse udn sie werden beim Arzt verschlüsselt oder im Handy. Jetzt haben wir ein Problem. Wir haben gute Krypto. Was passiert denn, wenn der Schlüssel verloren geht? Die erste Idee war, man kann den Schlüssel speichern auf der eGK. Da er relativ fest. Da kann man ihn nicht exportierbar markieren. Das kriegen wir gut hin, aber wenn die Karte verloren geht, was anscheinend relativ häufig passiert, dann haben wir das Problem, dass die ePA wertlos ist. Die Daten werden weg, das selbst geschriebene Buch wäre weg und ich müsste zu allen Ärzten wiederum und die Daten wieder sammeln, wenn ich diese ePA nutzen möchte. Jetzt kommt die Lösung dieses Schlüssel- Backup. Das haben wir vor zwei Tagen schon mal kurz gehört, oder wer dabei war beim Talk. Der Aktenschlüssel wird genauso hochgeladen wie die ePA. Da denkt man natürlich: Okay, das klingt gefährlich. Deswegen hat man den Schlüssel noch einmal verschlüsselt. Das sieht jetzt hier so aus. Das kann man am besten nochmal nachlesen. Die Spezifikation liest sich sehr gut, es ist relativ gut erklärt. Aber im Grunde genommen geht es so, dass der Client, also beispielsweise die Handy-App lädt sich dann vom Schlüsselgenerierungsdienst 1 einen Schlüssel und vom SGD 2 auch nochmal und verschlüsselt diesen Masterschlüssel und damit wird die ePA dann verschlüsselt und mit diesem Masterschlüssel der wird auch nochmal verschlüsselt. Und zwar zweimal mit Key 1 und 2. Zweimal, weil wir haben SGD 1 und 2 sind strikt getrennt, personell, juristisch zwei Firmen, auch nicht der gleiche Konzern, auch nicht die gleichen Administratoren. Man möchte hier ein bisschen so eine Art Knowledge sharing oder das Secret sharing einführen, dass ich nicht als einzelner Angreifer, quasi die ePA rausholen kann, das heißt das sieht dann so aus: Wenn wir einen Angreifer haben, ohne Autorisierung. Nochmal zurück, 2 Tage. Wir haben bei der Autorisierung ein Problem. Technisch ist es aber so, ich bräuchte jetzt ein Key- Backup. Ich bräuchte die verschlüsselte ePA und dann müsste ich halt die beiden Schlüssel vom SGD 1 und 2 mir irgendwie besorgen, das heißt hier hat man versucht, eine nutzbare Möglichkeit zu erschaffen vom ePA, das auch falls der Schlüssel mal verloren geht, das sie trotzdem noch ankommen, aber das die Sicherheit möglichst hoch zu haben. Weiterer Knackpunkt ist die App. Das heißt, der Patient soll ja über sein Smartphone die ganzen Sachen steuern können. Hier wird der Hersteller auditiert und zugelassen, wie wir es am Anfang gesehen haben mit einer Common Criteria Überprüfung. Allerdings es wird nicht jedes Update nicht neu zertifiziert. Ist der Hersteller einmal zertifiziert und zugelassen, kann er weitere Updates quasi in dem Google Play Store reinpushen, ohne dass diese neu zertifiziert werden müssen. Die Hersteller mussten Erklärung abgeben, er hat alles gut getestet, aber es wird nicht von einer unabhängigen Stelle überprüft, das heißt hier muss noch mal nachgucken, in der Praxis. Wie sieht das aus? Wir haben ja letztes Jahr gesehen auf dem 35C3 Gesundheits-Apps sehen nicht immer ganz gut aus. Da bin ich mal gespannt, wie die Updates aussehen. Jetzt bin ich neben meiner Arbeit an der FH Münster, betreue ich noch eine kleine Zahnarztpraxis IT- Technik mit, das heißt ich habe das Ganze auch live gesehen und weiß wie es so abläuft manchmal. Oftmals ist es wirklich unverschlüsselt, man arbeitet viel mit Faxen. Röntgenbilder werden meistens per Email verschickt und das ist oft unverschlüsselt. Seit der DSGVO Einführung da gab es relativ viele Diskussionen: Was kann man machen? Da gibt es ein paar Empfehlungen, teilweise von den Zahnärztekammer, das ist ein CryptFile oder CryptShare, die haben aber auch so ein paar Probleme. Bei CryptFile ist die Usability nicht so toll. Bei CryptShare habe ich das Problem: Ich muss meine Daten im Klartext auf einem Server schicken, wieder außerhalb der Praxis, das heißt hier DSGVO auch mindestens bedenklich. Gucken wir weiter, wenn man noch so Empfehlung, sich heraussucht hier aus dem Handbuch von CryptFile. Was soll man machen? Man muss ein Passwort wählen. Dann verschickt man die verschlüsselte Datei per E-Mail und soll dann eine zweite Email hinterher schicken mit dem Klartext- Passwort. Dann kann man sich dies auch sparen. Diese Sicherheitsmodell, dass der Angreifer nur eine E-Mail kriegt. Ich weiß nicht, ob das so valide ist. Was passiert, wenn ich jetzt die Praxis anschließen möchte? Ich brauche Kartenterminal. Dann lese ich das Handbuch und dann sehe ich so, dass um das Gerät im Umkreis von einem Meter darf keine Kamera sein, kein Festnetztelefon, auch kein Mobiltelefon. Und da überlegt man sich jetzt. Später soll der Patient ja auch die Pin eintippen, das heißt er muss aufpassen, dass das Smartphone mindestens einen Meter weit weg ist und sich so ein bisschen verrenkten, damit das wirklich im zugelassenen Betrieb läuft. Weiterhin darf ich natürlich nicht zu nah an einer Wand das Gerät aufstellen, weil dahinter könnte eine EM-Sonde sein und die elektromagnetische Abstrahlung herausfischen und durch Seitenkanalangriffen die PIN rauskriegen. Dann betreibe ich das Gerät. Ich habe also meinen sicheren Standort gefunden und muss dann vor Inbetriebnahme, das heißt morgens und auch nach dem Mittagessen nochmal kurz mein Gerät überprüfen, das heißt in die Hand nehmen, schauen ob es irgendwelche neuen Löcher drin sind, oder sowas, ob da ein Angreifer in der Mittagspause ein Loch reingebohrt hat und Geräte manipuliert hat. Ich muss die Siegel überprüfen. Das Gerät hat 3 Siegel. Ich habe mir natürlich vorher alle Siegelnummern auf meine Liste geschrieben und kontrolliere die. Anschließend öffne ich dann meine Schreibtischschublade, hole meine UV- Schwarzlichlampe raus und überprüfe die ganzen Siegel, ob ich diese Hologramme auch alle sehen kann. Ich habe mal ein bisschen rumgefragt. Ich habe einfach keinen Arzt gefunden, der das wirklich macht. In der Praxis wird das alles ... funktioniert so nicht. Das sind hier diese 4 Seiten Allgemeine Regeln und Anforderungen. Die muss man alle natürlich gut beachten. Das ist allerdings leider natürlich realitätsfremd. Zur Erklärung das Ganze kommt aus diesem Common Criteria Schutzprofil. Wir haben hier die Stufe 5 bei dem Angriffspotenzial und das ist auch die höchste Stufe, das heißt sie haben ein Angreiferpotenzial, irgendwo kurz unter Geheimdienst. Kann man sich überlegen, ob das wirklich der leichteste Angriff ist. Ob ich mit der EM- Sonde durch die Wand, ein Meter weiter die PIN abfische oder ich frag mal kurz den Arzt oder jemand aus dem Praxis-Team, ob das nicht schneller geht. Wahrscheinlich nähmlich. Dann habe ich dem VPN-Konnektor, den muss ich mir auch in meine Praxis stellen. Da gab es dieses Jahr auch viele Diskussionen über diesen Anschluss. Da gibt es seriell, das heißt ich steckten VPN-Konnektor zwischen meiner Praxis und dem Internetanschluss. Wenn ich Internet haben möchte, geht das auch noch über die gestrichelte Linie hab ich so eingezeichnet. Das geht dann über den sicheren Internetzugang, das heißt der VPN-Zuganganbieter bietet mir ein Internet an. Allerdings geht das dann natürlich durch den VPN-Dienst nochmal durch, das heißt wenn ich das so mache, habe ich meinen kompletten Internet-Traffic einmal durch, beispielsweise arvato Bertelsmann, nun mal durchgeroutet. Kann man machen, sollte man sich mal überlegen, ob man das wirklich machen möchte. Andere Möglichkeit ist, ich habe das parallele Installationsmodell. Ich habe meine Praxisnetzwerk ganz normal wie immer, Internet und ich habe den VPN-Konnektor parallel angeschaltet, das heißt die TI- Anfragen gehen durch den VPN-Konnektor. Die normalen Anfragen ans Internet gehen hingegen parallel. Diese beiden Möglichkeiten gibts im Grunde genommen. Der Anschluss selber läuft meistens durch den sogenannten Dienstleister vor Ort. Es gab einen vertraulichen Bericht dieses Jahr von der Gematik. Dort wurde gesagt 90 Prozent der Praxen sind parallel angeschlossen. Wenn man das Google 90 Prozent Telematik Gematik findet man gerne 90 Prozent der Arztpraxen sind unsicher angeschlossen. Möchte ich auch kurz erwähnen, weil das ist nicht automatisch unsicher, wenn ich sowieso schon ein Netzwerk habe, was im Internet drin ist. Ich habe eine gute Firewall. Ich habe mir Gedanken gemacht und ich habe ein paar Dienste. Ich hab einen Email-Client zum Beispiel. Dann bin ich eventuell im Internet und dann möchte ich den Konnektor anschließen. Dann würde ich persönlich auch parallel machen. Ich möchte nicht meinen kompletten Traffic einmal über arvato routen, wenn ich eh schon Internet habe. Problem ist allerdings, wenn ich die Praxis noch nicht am Internet habe, dann habe ich wirklich Probleme und wenn dann so ein externer Dienstleister kommt und der wird meistens pauschal bezahlt, das heißt er möchte schnell wieder raus aus der Praxis?. Der wird sich nicht viele Gedanken machen. Der stöpselt das Gerät parallel ein und verschwindet wieder und was bleibt, ist dieses Netzwerk, das nie im Internet war, plötzlich im Internet drin ist, das heißt das ist wirklich problematisch. Aber diese 90 Prozent sind nicht per se unsicher. Aber was passiert denn, wenn der DVO da ist? Nun der hat ein Technikerhandbuch, dass geht er durch. Guckt sich seine Beispielkonfiguration an und das erste oder das elfte was er macht ist dann TLS und Authentifizierung ausschalten, weil das macht ja nur Probleme. Da steht halt so live in diesen vertraulichen Technikerhandbuch drin, ist aber nur zur LAN-Seite, aber trotzdem immerhin. Warum macht man es pauschal aus? Wenn es drinsteht, wird es der Techniker machen! Anschließend. Es gibt noch einen akustischen Pinschutz, dass ist auch wieder so Geheimdienstniveau. Das Gerät rauscht wie Hulle, wenn ich es anmache, wenn ich eine PIN eintippen muss. Das wird erst einmal ausgemacht. In Absprache mit dem Arzt. Der Arzt wird sagen: Ich habe keine Ahnung! Was machst du da? Mach doch einfach! Ist ja ganz schön laut, mach's aus! Gucken wir wieder ins Handbuch. Ja, das darf ich. Kann ich machen. Ich arbeite dann gegen die Spezifikation. Noch kurz ein, zwei Punkte zu der TI in der Öffentlichkeit. Dieses Jahr war die Telematikinfrastruktur relativ häufig dort. Was haben wir gesehen? Zum Beispiel haben wir diesen ZDF Zoom-Beitrag gesehen. Was dort passiert ist oder was dort gemacht wurde, das war ein Szenario. Ich hätte einen Trojaner auf dem Praxissystem und dann wurde gezeigt, wenn der Trojaner auf dem Praxissystem ist, dann kann ich die Stammdaten von der elektronischen Gesundheitskarte mitlesen. Da frage ich mich aber wenn nicht ein Trojaner auf dem Rechner habe, habe ich das sowieso eigentlich Zugriff auf das Praxisverwaltungssystem und dann sind die paar Stammdaten nicht mehr so richtig relevant, meiner Meinung nach und vor allem anschließend wurde noch behauptet, ab 2021 werden auch noch alle Befunde aller Ärzte auf der eGK Karte drauf und auch das ist nicht ganz richtig. Was ich hiermit ausdrücken möchte ist, wir sollten eine faktenbasierte Diskussion haben. Wir sollten das diskutieren. Wir haben Probleme gefunden oder es wurden Probleme aufgedeckt, keine Frage, aber es sollte ein bisschen Korrekter laufen. Andere Sache ist. Ich habe ja schon gesagt, es gibt weitere Vernetzungsprojekte. Hier ist der MEDIVERBUND genannt. Die haben auch eine Klage am Laufen und haben relativ viele Pressemitteilungen und Interviews gegen die TI und sagen Vieles ist unsicher und sprechen sich auch explizit gegen diese zentrale Datenspeicherung aus, das heißt diese ePA, dass das bei einem Dienstleister ist, verschlüsselt hin oder her. Man sollte zentrale Datenspeicherung nicht machen, sagen sie. Das hat der MEDIVERBUND, genau das ist auch freiwillig, ich finde es auch gut. Ich wünsche mir eine ePA, wo ich freiwillig das dezentral speichern könnte, auf meinem Gerät selber, aber okay.Der MEDIVERBUND sagt: Zentrale Datenspeicherung geht nicht. Hat allerdings ein eigenes Hausärztevernetzungsprogramm und sagt: Wir speichern die Daten auch zentral. Hier möchte ich sagen, dass ist ein bisschen irreführend. Man kann nicht auf der einen Seite sagen, man darf nicht machen, zentral auf der anderen Seite es aber selber machen, das heißt man muss auch immer gucken, wenn Kritik kommt, wo kommt die her, von welcher Seite.Vielleicht gibt es noch andere Beweggründe. Das ist jetzt mein Fazit zu der Telematikinfrastruktur. Ich finde, der Anschluss, der muss wesentlich besser spezifiziert werden. Da gibt es Probleme. Es kann nicht sein, dass ein Techniker eine Stunde hinfährt und irgendwas reinstöpselt und wegfährt und alles ist gut. Das funktioniert nicht, das haben wir gesehen. Das muss nachgebessert werden. Das Problem ist: Wir haben jetzt schon 120.000 Praxen dran, das heißt wir hätten hier einmal die super Chance gehabt, alle deutschen Praxen auf ein hohes Sicherheitsniveau zu heben. Wir hätten was Verpflichtendes machen können. Irgendwelche dokumentierten Vorabanalysen, die einfach ausgeführt werden müssen. Das haben wir verpasst. Es gab irgendwelche Techniker, die haben dann 10 Stunden Schulung bekommen. Ich habe gehört, teilweise waren die Schulungen auch mehr eine Verkaufsshow statt einer Schulung. Und da steht wir nun mit teilweise schlecht angeschlossenen Praxen oder zumindest, wo die IT-Sicherheit verbessert hätte werden können. Was man auch machen muss. Man muss die Ärzte besser reinholen, auch ins Boot. Die Spezifikationen haben wir gesehen, dieses Kartenterminal, das funktioniert in der Praxis nicht und wer sowas ins Handbuch reinschreibt. Das funktioniert nicht, das ist irreführend. Und auch wenn man den Arzt mit ins Boot holt und ihn überzeugt, wird er auch die Patienten überzeugen. Daher frage ich mich, warum man das so macht. Warum man nicht besser mit den Ärzten das irgendwie abspricht. Persönlich würde ich mir mehr Transparenz wünschen. Es gibt zum Beispiel von der Gematik so ein Sicherheitsbericht. Wer den gelesen hat, oder wer mal rein schaut, der ist relativ dünn. Da sind 10 PDF-Seiten. Dann kommt da noch ein bisschen Impressum, Inhaltsverzeichnis und effektiv kommen wir da auf 6 Seiten mit mehr als ein bisschen: Ja, es ist alles sicher. Wenn alles sicher ist, hätte ich gerne, zum Beispiel die Pentest- Ergebnisse. Die gibts. Die könnte man nochmal veröffentlichen. Als Schlußphase würde ich sagen: eHealth das werden wir nicht aufhalten können. Das wird digitaler werden, auch in einer Arztpraxis. Niemand möchte mehr Röntgenbilder verschicken oder zumindest wäre es leichter, wenn sie digital verschickt werden. Ich persönlich möchte es auch nicht, nicht überall aufhalten. Ich möchte es aber so sicher wie möglich machen, das heißt wir sollten gucken wie ist der Stand der Technik, wie ist Stand der Prozesse. Passt das so? Was müssen wir verändern? Warum haben wir die Zentrale ePA? Kann man das nicht vielleicht noch freiwillig dezentral machen? Das heißt, wir sollten als Community die Sachen anschauen und so sicher wie möglich machen. Damit vielen Dank. Applaus H: Dankeschön, Christoph! Jetzt haben wir viel erfahren über ein Thema, was uns alle im Alltag betrifft. Wir haben alle so eine Gesundheitskarte in der Tasche. Ich bin mir sicher, es gibt einige Fragen. Bitte wer aus dem Auditorium eine Frage stellen möchte, stellt sich an den Saalmikrofonen an. Ich rufe die dann auf und in der Zwischenzeit werden wir unseren Signal Angel nach einer Frage aus dem Internet befragen. Signal Angel: Gibt es bei der TI eine Art lawful interception bzw. kommt Sicherheitsbehörden an Patientendaten oder die ePA ran? C: Ich spreche immer nur über die aktuelle Spezifikation, was in der Zukunft ist, weiß man natürlich nicht. Gesetze können sich ändern, keine Frage, aber aktuell ist es nicht so. Die ePA, also ich denke, die Frage zielt auf die ePA ab. Ist wirklich so spezifiziert, dass nur der Patient ran kann und nur der Patient die Freigaben erstellen kann. Auch dieser Schlüsselgenerierungsdienste haben dedizierte zertifizierte HSMs drin. Der Schlüssel ist nicht per se exportierbar, er ist exportiertbar, damit er gebackupt werden soll. Aber auch dieser Schlüsselexport von diesen HSMs ist auch noch mal gekoppelt mit Shamir Secret Sharing Schema, das heißt es ist nicht spezifiziert, dass es eine lawful interception gibt. H: Mikrofon 6, dahinten, bitte! Mikrofon 6: Was mir dabei immer nicht so ganz klar ist. Wird nicht der Arzt als allererstes die Daten in sein internes Praxissystem übernehmen? Und wie ist das dann, wenn ich meine, wenn ich die Zustimmung zurücknehmen, später? C: Wenn ich die Zustimmung erteile, kann der Arzt natürlich die Daten einsehen und kopieren. Wenn ich die allerdings später zurücknehme von der ePA, kann es sein, dass die Daten noch beim Arzt sind, das stimmt, das heißt das muss man sich vorher bewusst machen, dass man die Daten wirklich freigibt und der Arzt sie kopieren kann.Selbstverständlich kann man auch auf Grund der DSGVO mit dem Arzt reden, dass er eventuell die Daten korrigieren kann oder korrigieren muss, wenn sie falsch sind. Aber ja, die Daten können kopiert werden. H: Dankeschön. Mikrofon 7, hier außen. Mikrofon 7: Danke für den Talk. Eine Frage zu den VPN-Appliances, die dann aber jedem Arzt stehen sollen. Wie sieht das aus bezüglich Backups und Konfigurationsupdates und Firmware- Updates. Also wir hatten da ja letztens den Fall bei der Telekom, wo die paar Ports übersehen wurden, nicht das durch ... ist da eine Spezifikation vorgegeben? Kommt das zentral aus der Telematikinfrastruktur die Updates und Konfigurationsverwaltung oder wird das Lokal von dem Dienstleister gemacht? C: Die Updates für die Geräte wie dem Kartenlesegerät und dem Konnektor können zentral eingespielt werden. Es ist nicht so, also sie können nicht verpflichtend eingespielt werden. Die Gematik kann es nicht pushen und der Hersteller auch nicht. Man muss immer noch lokal vor Ort auf Okay drücken. Das macht im Zweifel der Arzt selber oder auch der DVO vor Ort, je nachdem, was man für Service-Agreement- Verträge hat, man kann die Daten allerdings auch wirklich aus der TI runterladen, das heißt man kann das durchklicken auf der Konnektoroberfläche und die kommt dann rein. Bei dem Konnektor ist es so, dass die Updates auch zertifiziert werden müssen. Ich hoffe, dass beantwortet die Frage. Mikrofon 7: Ja, danke. H: Die nächste Frage vom Signal Angel bitte. S: Mit Blick auf das IT-Knowhow und der aktuellen demographischen Situation. Wie ist denn so die erwartete Nutzung in Prozent, bei der elektronischen Patientenakte? C: Gute Frage. Persönlich denke ich, dass natürlich eher die Jüngeren nutzen werden. Ich weiß es allerdings. Ich kann es auch nur schätzen. Ich weiß jetzt keine Zahlen. Es gibt vorab mal Vorabfeldteststudien, die hab ich jetzt aber nicht im Kopf, die Zahlen, wie die vermutete Nutzung ist. H: Mikrofon 8 bitte. Mikrofon 8: Danke für den Talk. Wie sieht es denn aus, wenn ich sagen würde: Ich schreib mir halt meine ePA-App selbst? Oder da gibt's ein Open-Source-Projekt. Es kompiliere ich mir und ich übernehme selbst Verantwortung dafür. Ist das vorgesehen? Muss ich mich denn zertifizieren lassen? Muss das Projekt sich irgendwie zertifizieren lassen? C: Das ist nicht vorgesehen, dass man es selber machen kann. Das ist nur durch die Herstellerzulassung, durch die Gematik und dem BSI vorgesehen. Ich brauche diesen Zugang zur TI und den krieg ich nicht ohne diese Zulassung, das heißt, ich muss dann zur Gematik hingehen und die wollen dann natürlich die Common Criteria-Überprüfung haben. Das wird auf jeden Fall aufwendig und das kostet jede Menge Geld. Es ist nicht vorgesehen, dass man Open-Source Tools nutzen kann. Mikrofon 8: Danke. H: Mikrofon 3 bitte. Mikrofon 3: Vorhin wars vorgegeben mit besserer Krypto für E-Mail. Wer kann denn die nutzen? Wie kann ich mit meinem Arzt das verwenden? C: Das ist aktuell nicht für den Patienten vorgesehen. Ist wirklich nur eine Kommunikation Leistungserbringer, das heißt die Ärzte können untereinander z.B. Arztbriefe austauschen. In einer Zahnarztpraxis sind es häufig Röntgenbilder. Die werden kurzfristig telefonisch angefordert, weil der Patient gerade als Notfall da ist oder ein Arzt gewechselt hat. Und dann, in dem Fall, können die Ärzte untereinander kommunizieren. Für Patienten ist es gar nicht vorgesehen. Das könnte vielleicht sich irgendwann mal öffnen. Ich finde es begrüßenswert. Allerdings ist es nicht vorgesehen, mit dem Patienten zu kommunizieren, über KOM-LE. Mikrofon 3: Okay. H: Mikrofon 1, hier vorne bitte. Mikrofon 1: Ich habe 2 Fragen. Und zwar: So, wie ich das verstanden habe, ist das ja doch nicht für alle, sondern letztendlich für die gesetzlich Versicherten, das heißt ich habe keine Möglichkeiten privatversicherten Daten darüber zu schleifen. Und die zweite Frage ist: Was passiert, wenn ich aus irgendeinem Grund eine Verwechslung der Karte habe? Also spricht der Klassiker irgendwie, Oma im Demenzheim stürzt und kommt ins Krankenhaus, ist nicht befragbar und wird dort zugeordnet. Kriege ich dann irgendwo einen riesen Daten Mischmasch, den nachher keiner mehr auseinander klamüsern kann, weil er keine Zugriffsrechte hat? C: Also zu Frage 1: Die privaten Kassen sind, ich glaube es war 2009 aus dem Projekt ausgestiegen. Am Anfang waren sie dabei, sind dann ausgestiegen. Aktuell gibt es so langsam wieder Annäherungsversuche und es wird gesprochen darüber, dass die Privaten wieder mit ins Boot kommen. Das wird man sehen, wie es läuft. Aktuell ist es nicht spezifiziert oder vorgesehen. Technisch gesehen ist es definitiv machbar, diese Karten auszugeben für Private. Ob das kommt, muss verhandelt werden. Zur zweiten Frage: Wenn die Karte natürlich falsch zugeordnet wird und im Praxisverwaltungssystem die Karte gesteckt wird und das mit einem falschen Patienten verknüpft wird, dann kriege ich ein Daten Mischmasch klar, dann werden die Daten falsch zugeordnet. Also hab ich den Zugriff zur ePA zum Beispiel, wenn die Frage darauf zukommt. Kann ich dort natürlich auch fehlerhafte Berichte hochladen oder Berichte von anderen Leuten. Da gibt es keine Kontrolle. Niemand kontrolliert, ob das zusammenpasst. Mikrofon 1: Genau kann ich es zurückholen? C: Als Patient kann ich es, kann ich es auf jeden Fall löschen. Mikrofon 1: Der Patient kann das nicht, der ist aus dem Pflegeheim. C: Es gibt auch noch einen Vertreter, aber wenn der Patient sich kann, muss er die Freigabe geben, das heißt er muss ja erst einmal aktiv drauf hingehen und sagen: Der Arzt darf jetzt zugreifen. Es gibt da eine Vertreterregelung, dass ich im Vorderbein sagen kann Okay, Vertreter X, mein Sohn zum Beispiel, meine Tochter darf darüber verwalten und ob der Arzt jetzt seine eigenen Sachen wieder löschen darf, müsste ich nachgucken. Kann ich nicht auswendig sagen. Mikrofon 1: Okay. Danke. H: So wir haben noch 5 Minuten Zeit. Ich sehe 6 Leute an Mikrofonen. Also Fragen bitte etwas kürzer diesmal. Nummer 4 vier, hier vorne. Mikrofon 4: Vielen Dank für den Vortrag. Ich hätte gerne ein paar motivierende Worte, warum man das Ganze überhaupt weiterverfolgen soll? So vor 15 Jahren. Ist es als Berater ... hat das schon mal irgendwie meinen Weg gekreuzt. Ich bin selber Patient, brauch regelmäßig irgendwelche teuren Medikamente und wusste, dass neulich alles wieder analog, als ich in Berlin das Medikament brauchte und der Arzt in Hamburg war bekommen. Und wenn ich dann sehe wer beteiligt ist, seit 15 Jahren dadran, dann ist das Ganze doch wirklich ein gigantisches totes Pferd, was Milliarden verschlingt, oder? Jetzt von deiner Seite: Vielleicht hast du noch mal ein paar motivierende Worte. Wird dabei irgendwas Nützliches rauskommen oder wird es einfach vergammeln, das tote Pferd? C: Also ja, es ist je nach Schätzung zwischen 1,5 Milliarden und 3 Milliarden, hat es schon so verschlungen diese 15 Jahre Projekt. Das liegt unter anderem dadurch durch wechselhafte Anforderungen, durch eine blockierende Gesellschafterversammlung bei der Gematik, aber auch durch die Politik. Beispielsweise, ich glaube, es war unter Rösler, gab es so 2 Jahre quasi Stopp der Entwicklung. Danach ist er wieder angefahren. Das verzögert sich dadurch natürlich auch. Jens Spahn möchte es vorantreiben. Motivierende Worte: KOM-LE. Wie gesagt, aktuelle Kommunikation, unverschlüsselte Emails und verschiedene Insellösung. Das ist so das Ding, worauf ich warte, persönlich als Datenschutzbeauftragter, weil das klingt gut, klingt praktisch. ePA. Ich finde es gut, wenn die Patienten selber Einblick kriegen in ihre Daten und auch ein bisschen leichter. Wer es einmal probiert, hat beim Arzt sich so Sachen rausgeben. Ich hatte da manchmal Probleme, mit vollständigen Daten zu kriegen, wenn das irgendwie spezifiziert ist, finde ich es gut. Es muss nicht von mir aus so eine ePA sein. Wie gesagt dezentrale, leichte Möglichkeiten wären auch möglich. Hauptsache, es passiert irgendwie. In den letzten Monaten oder Jahren geht es aber schon schneller voran. Meine Sichtweise und ich hoffe, jetzt fährt das Ganze so richtig los und hoffentlich auch so sicher wie möglich, da heißt da muss man auch definitiv daran arbeiten, wir gesehen haben. H: Dann noch eine Frage vom Signal Angel. Signal Angel: Die Daten liegen also verschlüsselt bei privaten Anbietern. Für wie viele Jahre ist die gute Krypto denn noch als gut anzusehen? Sind Leaks der verschlüsselten Daten auszuschließen, die später möglicherweise entschlüsselt werden können? Besteht nicht die Gefahr, dass mit zunehmender Rechenpower die Krypto in einigen Jahren geknackt werden kan? C: Das besteht immer, also 100 Prozent Sicherheit gibt es natürlich nicht. Wir haben aktuell AES256. Jetzt kann man darüber spekulieren, ob das irgendwann gebrochen wird oder nicht. Die ePA soll eine lebenslange Akte werden. Es wird aber mit dem nächsten Release auch so vorgesehen, dass die ePA regelmäßig umgeschlüsselt wird und mit diesem Verfahren kann man auch den Algorithmus wechseln, das heißt man könnte in folgende Spezifikation, wenn man sieht, hier gibt es einige Angriffe auf AES, könnte man umswitchen auf ein anderes Verschlüsselungsverfahren. Das es möglich, das wird gerade gemacht. Es wird gerade von RSA auf ECC umgeswitcht. Klar, wenn es einen aktuellen Sicherheits-Breakthrough gibt, beim AES, dann sind meine Daten natürlich dann lesbar, wenn ich jetzt plötzlich durch einen neuartigen Angriff AES knacken kann, komme ich ran. Ja. H: Dann Mikrofon 3, bitte. Mikrofon 3: Der Arzt hat die Verantwortung für die Daten, die bei ihm anfallen, also im Grunde die Schweigepflicht. Wie bringe ich jetzt oder wie kann ein Arzt daran vertrauen, dass dieses System, in der er Daten eingibt, auch sicher ist? C: Rechtlich ist es so, ich bin kein Jurist, allerdings ist es ja so, dass der Patient die Freigabe machen muss, das heißt der Arzt kann sich darauf berufen, dass der Patient mir die Freigabe gemacht hat. Ich denke, von daher ist es rechtlich dadurch sicher, aber ich bin jetzt kein Jurist. Wie kann man sich darauf versichern? Das ist wie bei allen Sachen. Er kann sich natürlich nur die Spezifikation angucken oder den Beteuerungen Glauben schenken. Er kann es schlecht überprüfen wo seine Daten hingehen. Der tippt die Sachen da ein und dann werden die hochgeladen. Es ist wie bei allen IT-Prozessen. Was genau im Hintergrund steht, ist natürlich schwer nachzuprüfen von Ihnen persönlich. Dafür ist die Forschergemeinde, Zertifizierung zuständig und das möglichst sicher zu machen. H: Mikrofon 7. Mikrofon 7: Vielen Dank für den Vortrag und vielen Dank auch für das Aufzeigen der Fehlern im ZDF Bericht. Meine Frage geht an dieses Technikerhandbuch wo du gezeigt hast, dass das TLS ausgemacht werden soll. Von wem ist dieses Technikerhandbuch? Das ist doch weder von der Gematik wahrscheinlich, noch vom Hersteller? Wahrscheinlich gibt es sehr viele Varianten. Wer hat das geschrieben und an wen richtet sich die Kritik? C: Das ist ein vertrauliches Technikerhandbuch. Ich habe es so bekommen von jemandem. Ich möchte lieber nicht sagen, es ist ein großer Hersteller, der Geräte vertreibt und der hat entsprechenden DVOs unter seinen Verträgen hat und die DVOs arbeiten dann in seinem Namen oder für ihn als Subunternehmer. Und stellen das dann so ein wie es im Technikerhandbuch im Zweifel steht. Also es ist ein großer Hersteller, der die Technikerhandbücher rausgebracht hat für seine eigenen Leute. Mikrofon 7: Also war es Eines von mehreren. C: Eines von mehreren. Na ja, genau. Es gibt verschiedene Firmen, verschiedene Schulungen verschiedener Technikerhandbüchern. Eins von mehreren. Mikrofon 7: Danke H: Damit ist unsere Zeit um für diesen Vortrag. Es sind leider nicht alle dazu gekommen, ihre Fragen zu stellen. Kommt dann vielleicht nochmal nach vorne. Ansonsten danke ich für eure Aufmerksamkeit. Danke, dass ihr gekommen seid und wir verabschieden Christoph nochmal mit einem Applaus zum Ende. Applaus Abspannmusik Untertitel erstellt von c3subtitles.de im Jahr 2020. Mach mit und hilf uns!