<i>36C3 Vorspannmusik</i>

Herald: Herzlich willkommen zum nächsten
Talk "Hacker hin oder her - die

elektronische Patientenakte kommt". Unsere
drei Speaker haben sich beschäftigt mit

der Sicherheit und Funktionsweise der
Telematik-Infrastruktur, das ist so ein

bischen das Backend der zukünftigen
elektronischen Patientenakte und damit

auch so der Weg, wie man an die
entsprechenden Daten herankommt. Unsere

Speaker: Von mir aus ganz links. Martin
Tschirsich, er ist Pentester und war zu

dem Thema auch schon mal als
Sachverständiger im Gesundheitsausschuss,

hat da berichtet über das Thema 
IT-Sicherheit in Gesundheits-Apps. Dann

haben wir in der Mitte André Zilch. War
als Sachverständiger im Bundestag zu genau

diesem Thema geladen, beziehungsweise zum
Thema Identifizierung. Und direkt hier,

cbro, Christian Brodowski, ihr kennt ihn
als Arzt hier aus dem CERT.

Tut mir einen Gefallen, empfangt die
drei mit einem wunderbaren Applaus.

<i>Applaus</i>

Martin: Es freut mich, dass so viele zu
dieser frühen Stunde gekommen sind, um

sich einen Talk zu Patientenakte
anzuhören. Viele, nehm ich mal an, wissen

vielleicht noch gar nicht, was die
elektronische Patientenakte eigentlich

sein soll. Die elektronische Patientenakte
kommt, das steht aber fest. Und einfach um

alle auf denselben Stand zu bringen, gibt
es jetzt eine kurze Erklärung, was die

elektronische Patientenakte überhaupt
bringen soll.

Propagandavideo: Die elektronische
Patientenakte, kurz ePA genannt, ist ein

digitales Patientenbuch, in dem lebenslang
alle Gesundheitsdaten gespeichert sind.

Röntgenbilder, Arztberichte, Allergien,
ebenso: Blutwerte, Medikamente, Impfungen

und Vorbehandlungen. Alles an einem Platz.
Und für den Patienten transparent. Denn

nicht nur, dass er vollen Einblick in die
ePA hat. Er allein besitzt die Kontrolle

über seine Daten und bestimmt, wer Zugang
dazu haben darf. Mit der ePA können

mündige Patienten freiwillig ihre
Gesundheitsdaten sicher, online und

effektiv verwalten. Alle
behandlungsrelevanten Informationen stehen

in jeder Lebenslage zur Verfügung, was den
Austausch mit ihren Partnern zur

Gesundheit ungemein erleichtert. Die ganze
Gesundheit auf einen Blick mit der ePA ab

1. Januar 2021.
<i>verhaltener Applaus</i>

Martin: Diese elektronische Patientenakte
ist nicht eine weitere App. Eine weitere

Gesundheitsakte, wie wir sie auch schon
letztes Jahr hier gesehen hatten, sondern

es ist DIE Patientenakte, die
elektronische Patientenakte, die nach

Sozialgesetzbuch 5 allen gesetzlich
Versicherten zur Verfügung gestellt werden

soll. Sie dürfen diese nutzen, um
lebenslänglich ihre Gesundheitsdaten zu

speichern. Das ergibt einige
Fragestellungen. Zum einen, wir wollen

hier drin die Möglichkeit schaffen,
lebenslang unsere Gesundheitsdaten zu

speichern. Das sind Dinge wie
Röntgenbilder, Arztbriefe, Berichte,

Laborwerte. All diese Dinge sollen in
dieser Akte verwaltet werden können. Und

der Patient soll die alleinige Kontrolle
darüber besitzen und auch bestimmen, wer

Zugriff darauf hat. Das heißt, es muss
sicher sein. Kann das funktionieren?

Zwischenruf aus Publikum: NEIN
Martin: Ganz wichtig. Ob das funktionieren kann

oder nicht. Wir müssen diese Anforderung
erfüllen. Die Inkaufnahme von Verstößen in

Einzelfällen, die ist unzulässig. Das
heißt, selbst in Einzelfällen, wir können

nicht sagen "Ein Prozent Verlust ist
okay". Wie das eben der Fall bei

beispielsweise Kontozugängen oder so mal
in Kauf genommen werden könnte, wo man mit

monetären Werten handelt. Hier ist es
absolut unzuverlässig, dass man überhaupt

den Einzelfall zulässt, dass es hier zu
einem Verstoß kommt. Das sagt ein

Landesdatenschützer,
Datenschutzbeauftragter. Und das ist nicht

neu, dass hier hohe Anforderungen stehen.
Das ist auch Herrn, unserem

Gesundheitsminister, Herrn Spahn bekannt.
Der sagt, dass der Datenschutz, besonders

die Datensicherheit, die Achillesferse für
diese Anwendung ist. Denn wird es hier zu

einem Vorfall kommen, wird natürlich die
Akzeptanz dieser Anwendung und auch alle

weiteren Anwendungen der digitalen
Gesundheitsversorgung wirklich ruiniert.

Und das gefährdet auch dieses
Vertrauensverhältnis: Arzt, Patient, in

der Sprechstunde natürlich. Diese
ärztliche Schweigepflicht würde, wenn es

hier zu einem Vorfall kommt, aufgehoben.
Herr Spahn sagt aber auch, dass er zu dem

Thema mehr Geschwindigkeit reinbringen
will, Hacker hin oder her. Und weil es so

ein bisschen ambivalent ist, haben wir
gedacht wir schauen uns das mal an. Um das

zu verstehen und auch die Sicherheit
bewerten zu können, müssen wir 10000

Seiten Spezifikation lesen. Die sind alle
unter dem Fachportal der Gematik, die

Gesellschaft, die dafür zuständig ist,
öffentlich verfügbar. Das sind einmal die

Spezifikation der Gematik und dann noch
die Spezifikation der Sektororganisation

unseres Gesundheitswesens. Denn unser
Gesundheitswesen ist ja ziemlich

zersplittert in verschiedenste
Einzelereiche. Das haben wir getan,

beziehungsweise nicht ganz. Aber mal
überflogen und haben dann diese tolle

Grafik hier für euch vorbereitet, um euch
zu zeigen, wie diese Gesundheitsakte

aussieht, diese Patientenakte. Zunächst
einmal der Versicherte mit seiner

Gesundheitskarte. Die kennen die meisten
von euch. Mit dieser Gesundheitskarte und

einem Zugangsgerät, das kann zukünftig
auch ein Smartphone sein, wenn es NFC

fähige Gesundheitskarte gibt, kann der
Versicherte über das Internet auf ein

zentrales Zugangsgateway dahinter
liegendes Aktensystem zugreifen. Und auf

diesem Aktensystem sollen dann die
Gesundheitsdaten liegen, diese lebenslang

verfügbar gehaltenen Gesundheitsdaten. Die
sind aber verschlüsselt. Man spricht hier

von Ende zu Ende Verschlüsselung. Der
Schlüssel zu diesen Daten der liegt auch

auf diesem Aktensystem.
<i>lachen</i>

Aber noch nicht, noch nicht lachen. Dieser
Schlüssel, der ist verschlüsselt. Der ist

verschlüsselt. Das hat auch alles seine
Berechtigung. Nur ist jetzt die Frage, wir

haben das Problem nicht gelöst. Wo ist der
Schlüssel für den Schlüssel? Da müssen wir

ein bisschen weitergehen. Da müssen wir
schauen, dass wir hierüber an die

Telematik-Infrastruktur angebunden werden.
Die Telematik-Infrastruktur ist das

zentrale Netzwerk, an das inzwischen schon
115.000 Arztpraxen, zukünftig auch

Apotheken, Krankenhäuser und andere
Einrichtungen des Gesundheitswesens

angeschlossen werden. Es ist ein
sogenanntes spezielles VPN-Netzwerk mit

eigenem Vertrauensraum. Dieses Netzwerk
hält folgende zwei Dienste bereit: Den

Schlüsselgenerierungsdienst 1 und den
Schlüsselgenerierungsdienst 2. Das sind

Dienste, die uns einen Schlüssel
generieren. Und zwar einen berechtigten

Schlüssel. Wir müssen also mit unserer
Gesundheitskarte zu den

Schlüsselgenerierungsdiensten gehen und
uns diese blauen Berechtigten-Schlüssel

abholen, indem wir uns ausweisen als
Versicherter. Dann nehmen wir diese blauen

Berechtigtenschlüssel und entschlüsseln
damit diesen pinken Aktenschlüssel. Und

dann kommen wir an die Gesundheitsdaten.
Für Ärzte, die ja auch auf diese Akte

zugreifen müssen, um Dokumente des
Versicherten dort einzustellen,

beispielsweise ein Arztbrief oder ein
Untersuchungsergebnis, sieht das von der

anderen Seite fast genauso aus. Nur dass
dort noch ein spezielles Zugangsgerät

verwendet wird. Jede Arztpraxis, die an
diese Telematik-Infrastruktur angebunden

wird, benötigt einen sogenannten
Connector. Das ist ein spezieller VPN

Router mit weiteren Funktionen, der den
Zugang in dieses geschützte Netz

ermöglicht. Und während der Versicherte
sich mit der Gesundheitskarte ausweist, um

auf diese Schlüsselgenerierungsdienste
zugreifen zu können und sich seinen

Schlüssel generieren zu können, greift der
Arzt oder die Ärztin mit ihrem

Praxisausweis und auch mit
Heilberufsausweisen auf dieses Netz zu

bzw. auf Anwendung, die darauf laufen. Das
ist also symmetrisch. Sowohl der Patient

als auch Ärzte haben Chipkarten, mit denen
sie sich hier ausweisen und Anwendungen

gegenüber authentisieren. Um das Risiko
dieses Netzwerkes ein bisschen zu ...

vereinfacht darzustellen, schauen wir uns
mal an, wie viele Teile es denn davon

gibt: Es gibt 73 Millionen Versicherte. Es
gibt in etwa 4 Anbieter von dieser

Patientenakte, die sich jetzt schon
aktuell in der Entwicklung befindet. Denn

in zwölf Monaten soll sie ja uns allen zur
Verfügung stehen. Und es gibt eine einzige

zentrale Telematik-Infrastruktur. Und dann
gibt es halt diese 115.000 Arztpraxen, die

jetzt schon angeschlossen sind bzw. ganz
grob geschätzt 170.000 Einrichtungen, die

irgendwann mal dort angeschlossen sein
sollen. Die Prozesse, wie diese Chipkarten

verteilt werden, das sind auch Prozesse
der zentralen Telematik-Infrastruktur.

Problem bei diesem
Schlüsselgenerierungsdienst ist: Der

Versicherte oder die Ärztin weisen sich
jeweils nur noch aus mit einer Karte und

bekommen dann einen Schlüssel. Das hat das
Problem, dass wir hier zwar weiterhin von

Ende zu Ende Verschlüsselung hören, aber
der Schlüssel ist nicht mehr unter

Kontrolle des Versicherten. Das heißt: Wer
sich ausweisen kann, auch mit einem

Nachfolgeausweis, der bekommt Zugriff, der
bekommt den Schlüssel und kommt damit an

die Daten. Auch das BSI hat dazu schon
eine Anmerkung gemacht und hat gesagt:

"Wenn dieses Authentisierungsverfahren
dieses Schlüsselgenerierungsdienstes

überwunden wird, kann auf den gesamten
Akteninhalt zugegriffen werden." Die

Gematik leitet daraus ab, dass die
Korrektheit dieser rot markierten

Kartenherausgabeprozesse, die ich eben mit
diesen roten Pfeilen dargestellt hatte,

Grundvoraussetzung für den sicheren
Betrieb dieser Anwendung ist.

Kartenherausgabeprozesse, das bedeutet:
die Überführung von einer real

existierenden Person, auch einer
juristischen Person wie eine Arztpraxis,

in die digitale Welt. Um das sicher
gewährleisten zu können, muss Folgendes

erfüllt sein: Ich muss die Person
identifizieren. Versicherte, Ärzte,

Arztpraxen müssen zuverlässig
identifiziert werden und die Attribute, ob

sie nun zugelassener Arzt,
niedergelassener Arzt oder Versicherte mit

einer bestimmten Versichertennummer sind,
die müssen sicher, rechtssicher bestätigt

werden. Und der Empfang des Zertifikats
und des privaten Schlüssels, also dieser

digitalen Identität, die mir da zugeordnet
wird, also des Ausweises, der Karte, die

muss sicher nachvollzogen werden können.
Also die bestätigte Schlüsselübergabe.

Wenn das alles so läuft, dann funktioniert
das System sicher, weil dann dieser

Ausweis wirklich nur in der Hand des
Berechtigten ist. Die Gematik weiß das

ebenso und spricht deswegen sehr häufig
von dieser Anforderung der zuverlässigen

Identifizierung. Also: Man liest das
wirklich häufig. Die Identifizierung muss

zuverlässig sein, muss notwendig, zwingend
notwendig, Grundvoraussetzungen und, und,

und, und. Was für Identitäten gibt es
denn. Wir haben schon drei Karten gesehen.

Es gibt die Gesundheitskarte, es gibt ein
Heilberufsausweis. Es gibt den

Praxisausweis. Und dann gibt es noch den
Connector. Das ist dieser Hardware-VPN-

Router, von dem ich sprach. Und die alle
tragen kryptographische Identitäten in

Form von Zertifikaten und privaten
Schlüsseln, die auf Chipkarten gespeichert

sind. Und was wir gemacht haben, ist: Wir
haben uns angeschaut, ob diese Herausgabe

denn sicher ist? Denn das ist der zentrale
Angriffspunkt. Wenn wir die Ende-zu-Ende-

Verschlüsselung nur noch durch eine
Authentisierung sicher garantieren können,

dann greifen wir die Authentisierung an.
Ist das möglich?

Christian: Danke Martin! Ich wollte ganz
kurz einschieben, wie wir uns eigentlich

kennengelernt haben. Als Vertragsarzt
hatte man letztes Jahr oder auch dieses

Jahr das Problem, dass einem diese
Telematik-Infrastruktur so ein bisschen

übergeholfen wurde. Mittlerweile bekommt
man Honorareabzüge, wenn man sie nicht

installiert hat. Und da war ich so ein
bisschen unglücklich drüber. Habe dann

erst den md, den Markus Dränger
angeschrieben und angesprochen. Wir

erinnern uns: beA ... ich sehe da viele
Parallelen. Der hatte aber gerade eine

wichtigere Aufgabe und deswegen hat er
mich an den Martin Tschirsich weiter

verwiesen und uns zusammengebracht. Und
wir haben uns dann zusammen diese

einzelnen Komponenten mal angeschaut. Ich
fange mal an mit diesem

Institutionsausweis, auch Praxisausweis
oder SMC-B Karte genannt. Wenn man sich

den ... wenn man so einen haben will, muss
man online einen Antrag stellen. Da gibt's

mehrere Anbieter für. Wir haben uns mal
für den entschieden. Der hat so ein

Formular, das kann man im Web ausfüllen -
übrigens auch über TOR; funktioniert auch

- und muss da verschiedene Daten eingeben.
Abgeglichen werden insbesondere diese 5,

die ihr hier seht: die Betriebsstätten-
Nummer, Geburtsdatum des Arztes, die

lebenslange Arzt-Nummer, der Name und die
Profession. Also, was für ein Arzt das

ist. Das geht jetzt gerade nicht so gut
... ups ... doch ... zack. Das

Geburtsdatum ist die einzige dieser
Angaben, die nicht auf jedem Rezept und

jeder Überweisung steht, die ihr von eurem
Arzt bekommt.

<i>Gelächter</i><i>Klatschen</i>
Und Geburtsdatum: Seriously, also: Jede

Gemeinschaftspraxis hat irgendeine
Rechtsform. Meistens sind die

Partnerschafts-Register eingetragen und da
stehen das Geburtsdatum und manchmal auch

der Geburtsort. Damit hat man alles
beisammen, was man da eingeben muss. Dann

gleicht medisign dieses Formular mit der
entsprechenden kassenärztlichen

Vereinigung ab und die KV sagt: Jo, so ein
Arzt mit dem Namen und den Nummern ist bei

uns registriert. Daraufhin stellt medisign
dann einen dieser SMCB-Karten, dieser

Praxisausweise aus und verschickt ihn an
den ... ne, nicht an den Arzt. Das wäre ja

doof, wenn der in Praxis landen würde. Man
kann da auch alternativ eine Lieferadresse

angeben.
<i>Gelächter</i>

Da kommt er dann an. Oder man kann auch
bei der Lieferadresse, wenn da gerade

niemand zu Hause ist -- so war das in
unserem Fall -- das Ganze auch dann mit

der Postvollmacht bei der Post abholen.
Sieht dann so aus: Die muss man dann

online freischalten, das geht in so einem
Webformular und dann, dazu braucht man

diesen PIN-Brief. Der ist auch bei der
Lieferadresse letzlich angekommen. Und

damit konnten wir in Praxis-Ausweis dann
aktivieren und letztlich auch registrieren

und damit einen Vorgang in der Telematik
Infrastruktur auslösen, nämlich dass

Versicherten-Stammdatenmanagement. Also
sprich: Ich habe meine Karte mit dieser

SMCB-Karte, meine Versichertenkarte,
nochmal abgeglichen, ja mit den

Krankenkassendaten. Was kann man mit
dieser SMCB-Karte alles anstellen, wenn

man jetzt damit nichts Gutes tun möchte?
Man hat uneingeschränkten Zugang zur

Telematik-Infrastruktur, das heißt, dieser
geschützte Vertrauensraum, von dem

gesprochen wird, der ist damit gebrochen.
Ich kann darin Dinge tun. Ich habe Zugriff

auf verschiedene Anwendungen. Die EPA
kommt erst noch. In einigen Regionen gibt

es aber schon den elektronischen
Medikationsplan und den Notfalldatensatz,

die von der Karte des Versicherten
abgelesen ... ausgelesen werden können.

Darauf kann ich mit der Karte zugreifen.
Und ich kann Nachrichten bald -- das ist

auch noch nicht freigeschaltet -- in der
sicheren Kommunikation der

Leistungserbringer empfangen und absenden
im Namen der Arztpraxis, mit der ich das

gemacht habe. Ja, also anfangs werden da
glaube ich PDFs hin- und hergeschickt.

PDF-Fraud, glaube ich, ist noch ein
anderer Talk. Wo ist das grundlegende

Problem? Es gibt drei Anbieter und die
verschicken im Prinzip auf die gleiche Art

und Weise diese Karten. Also, bei dem
Anbieter, bei dem wir das geprüft haben,

war das problemlos möglich sowohl die
Anfrage entsprechend zu stellen, als auch

die Auslieferung entsprechend umzuleiten,
um an diese Karte zu kommen. medisign hat

allein schon 80 000 Institutions-Ausweise
-- Stand vor drei Monaten ungefähr --

ausgegeben. In den Spezifikationen der
Gematik steht drin, dass möglicherweise

kompromittierte Zertifikate zurückgezogen
werden müssen. Letztlich ist es dazu

gekommen, weil die Kassenärztliche
Bundesvereinigung, die ja dafür zuständig

ist, diese Prozesse zu spezifizieren,
diesen Prozess eben nicht richtig

spezifiziert hat. Der Trust Service
Provider, in dem Fall mediSign, hat Fehler

bei der Umsetzung gemacht. Und die Gematik
als übergeordnete Behörde hat diesen

Prozess und diesen Service Provider so
zugelassen und eben nicht geguckt, was der

wirklich macht. Aber ist ja nur EIN
Ausweis. Nehmen wir den nächsten

Heilberufsausweis oder Arztausweis. Wenn
man den beantragen möchte, braucht man

eine persönliche Identifikation, bevor
dieser Ausweis geliefert wird. Braucht

man? Braucht man nicht.
<i>vereinzeltes Lachen im Publikum</i>

Es gibt da das sogenannte Bankident-
Verfahren. Erkläre ich auch gern kurz. Ein

Arzt, eine Ärztin geht irgendwann zu ihrer
Bank. Die Deutsche Apo-Bank bietet das an.

Die ist auch gesellschaftlich mit der
Gematik verbandelt und öffnet dort ein

Konto oder schaut noch mal so vorbei,
zeigt ihren Personalausweis oder Reisepass

und hat dann den ersten Teil dieses Ident-
Verfahrens durchlaufen. Ein Angreifer geht

wieder zu einer dieser Trust-Service-
Provider, gibt die Daten der Ärztin ein.

Die Bank sagt: Jo, die kennen wir. Die hat
bei uns ein Konto. Und die Ärztekammer

sagt: Jo, die kennen wir, die ist bei uns
Ärztin für Anästhesiologie, was auch

immer. Was macht medisign dann? Stellt
einen Arztausweis aus und schickt ihn zu.

Auch hier wieder Lieferung an
Lieferadresse. Alles bequem. Kein Problem.

Der PIN wird netterweise auch gleich dahin
geschickt. Und so konnten wir den

Heilberufe Ausweis dann auch online
freischalten. Da gibt's dann so'n ein

kleines Tool, was man sich runterladen
muss von der Homepage und dann hat man so

ein gültiges, Benutzer-Zertifikat. Dafür
ist eine Unterschrift notwendig. Ich habe

eben schon davon gesprochen, wo wir die
Arztnummern her hatten. Die

Arztunterschrift ist da auch meistens
drunter, wenn man sie überhaupt lesen

kann. In vielen Fällen ist es auch so, zum
Beispiel bei der Postabholung, dass die

Original-Arztunterschrift auch nirgendwo
hinterlegt ist. Das heißt, da ist halt ein

so ein Krakeel drunter und ... also meine
Unterschrift kann man wirklich nicht

lesen. Das ist nicht mein Name. Das wäre
relativ sehr leicht zu imitieren. Auch

hier wieder, wo ist das Problem? Es gibt
zwei Anbieter, gibt insgesamt vier

Verifikationsverfahren. Postident und
Kammerident sind nach den Spezifikationen

so in Ordnung. Die beiden Verfahren, in
denen eine zweiseitige Identifikation

stattfindet, klappen nicht so gut. Das ist
einmal das Bankident-Verfahren und zum

anderen das Vorab-Kammerident-Verfahren,
bei dem auch eine zweiseitige

Identifikation stattfindet. Das heißt, der
Arzt geht irgendwo hin, zeigt seinen

Ausweis, und irgendwann später kommt
jemand online und sagt: Hallo, ich bin

dieser Arzt oder diese Ärztin, und es gibt
keine Möglichkeit, diese beiden

Identitäten zusammenzuführen und
abzugleichen, ob derjenige, der sich

online einklickt, wirklich derjenige ist,
der seinen Ausweis hochgehalten hat. Das

sind bei medisign 31 Prozent der
Heilberufsausweise, weil es eben so ein

bequemes Verfahren ist. Bei den anderen
Providern wissen wir nicht, wie viele

Ausweise über dieses Verfahren ausgestellt
wurden. Und damit zu unserem Spezialisten

für die elektronische Gesundheitskarte.
Martin: Damit hat man also gezeigt, wie

man auf diese zwei Karten sehr einfach
zugreifen kann. Also wie man sie sich

erschleichen kann, diese Karten, auf einen
anderen Namen. Aber es fehlte die

Gesundheitskarte in diesem, sagen wir
Quartett an Identitäten. Ich glaube, ich

hatte damals bei Google eingegeben:
Gesundheitskarte erschleichen oder so.

Macht man ja mal. Dann sind wir auf den
Experten für Erschleichen von

Gesundheitskarten gestoßen. <i>lacht</i> Der
André Zilch, und der wird euch jetzt mal

erzählen, wie das geht.
André: Danke. Die Gesundheitskarte ist

genau das Aquivalent zu dem
Institutionsausweis und zu dem

Heilberufeausweis für die Versicherten.
Viele von Ihnen werden es kennen und es

ist der zentrale Zugangsschlüssel für die
Versicherten in diese Telematik-

Infrastruktur. Eine Frage, die in den
vergangenen Jahren immer wieder diskutiert

wurde, ist: Ist denn die Gesundheitskarte
Identitätsnachweis? Ist es kein

Identitätsnachweis? Bestätigt sie die
rechtliche Identität oder ist das einfach

nur so etwas wie eine Kundenkarte? Welche
Auswirkungen hat es denn, wenn es kein

Identitätsnachweis wäre? Spielt das eine
Rolle? Jeder Arzt kennt seinen

Versicherten. Ist das tatsächlich so oder
hat es eine andere Funktion? Vor der

elektronischen Gesundheitskarte gab es die
sogenannte Krankenversicherten-Karte. Die

hatte allein die Aufgabe, zur
Abrechnungszwecken zu dienen. Damit

konnten Ärzte gegenüber den Kassen
letztendlich ihre Rechnungen stellen und

so wurden sie bezahlt. Bei der
Gesundheitskarte ist es als äquivalent zu

Heilberufeausweisen oder auch zur
Institutionskarte und ist der zentrale

Zugangsschlüssel für die Versicherten ins
Gesundheitswesen. Im Rahmen der

Digitalisierung werden immer mehr
Leistungen im Gesundheitswesen

arbeitsteilig erbracht und immer mehr
digitalisiert. Im Rahmen der Einführung

der elektronischen Gesundheitskarte gab es
auch die sogenannten Paragraph 291a SGB 5

Anwendung, das heißt medizinische
Anwendung: Was soll mit der

Gesundheitskarte noch alles gemacht
werden? Es soll so weit gehen, dass sogar

der Ort gespeichert wird, wo der Patient
die Zustimmung zu seiner Organspende

abgelegt hat. Also nicht die Zustimmung
selbst, sondern allein: Wo ist der Ort?

Und natürlich, wir haben es vorhin schon
gehört, der zentrale Zugangsschlüssel für

die elektronische Patientenakte. Darüber
hinaus bleiben und kommen Anwendungen

hinzu, wie zum Beispiel bei Direkt-
Krankenkassen, die gar keine

Geschäftsstellen mehr haben. Die müssen ja
irgendwie elektronisch mit ihren

Versicherten kommunizieren. Die
Anforderung, wir hatten es vorhin gehört,

ist: Selbst in Einzelfällen darf es nicht
möglich sein, auf die Gesundheitsdaten

zuzugreifen. Aber es gibt solche
Instrumente wie eine Patienten-Quittung.

Und in dieser Patienten-Quittung steht
drin, was die Krankenkassen für die

einzelnen Versicherten in den vergangenen
18 Monaten gezahlt haben. Hier kommen wir

auf das zurück, was Martin anfangs sagte.
Die Identität des Verfahrens-Betroffenen

muss vor Übermittlung von Sozialdaten
festgestellt werden. Das ist ein ganz

zentraler Punkt und der sich ganz
wesentlich davon unterscheidet, was wir

aus anderen Bereichen kennen. In anderen
Bereichen kann es ausreichend sein, dass

man im Nachhinein feststellt: Ach du liebe
Zeit, da ist ja etwas schief gelaufen, und

wir korrigieren das. Wir gleichen das
Konto aus, wir ziehen das alles wieder

gerade. Hier, bei der Übermittlung von
Sozialdaten, von Gesundheitsdaten, wird

Wissen übermittelt. Es geht Wissen aus den
Krankenkassen raus. Was haben die

Patienten, welche Leistungen wurden
erbracht? Dieses Wissen ist nicht

zurückzunehmen. Wenn es einmal draußen ist
und in den Händen der falschen Person

gelangt ist, ist es weg. Deswegen sind so
klassische Verfahren und Drohpotenziale:

Ich kann hinterher feststellen, wem
irgendwelche Informationen zugegangen

sind, hier nicht hilfreich. Als
verschärfende Maßnahme kommen ... oder

verschärfendes Element kommt hinzu, dass
eben in Einzelfällen schon verhindert

werden muss, dass man auf diese Daten
zugreift. Und deswegen sagen die

Datenschützer: Es müssen Verfahrenswege
vorgegeben werden, die gar nicht erst die

Gefahr bergen, gegen das soziale Geheimnis
zu verstoßen. Das heißt, diese Verfahren

müssen wirklich wasserdicht sein, sodass
man von vornherein ausschließen kann, dass

diese Informationen an die Unberechtigten
ausgegeben werden. Weil das so ein

zentrales Element ist, wurde schon sehr
früh bei der Einführung der

Gesundheitskarte, bzw. das war noch vorher,
nämlich bei der Definition der

Sicherheitsarchitektur bereits im Jahr
2003 und 2004, festgelegt, dass einerseits

der Schutzbedarf sehr hoch ist. Deutlich
höher als zum Beispiel bei Finanzdaten.

Und es wurde auch bestimmt, dass
Identitäten, die als Basis für

elektronische Zertifikate dienen, genau
auf demselben Schutzbedarfsniveau erfasst

und bestätigt werden müssen wie diese
Zertifikate. Das macht ja Sinn, weil das

schwächste Glied bestimmt die Kette.
Daraufhin wurde festgelegt, dass die

Verfahren wie Krankenkassen die alten
Krankenversicherten-Karten ausgegeben

haben, dass das nicht mehr ausreichend
ist. Nämlich damals wurden einfach diese

Versicherten-Karten auf Zuruf "Meine Karte
ist defekt, ich habe verloren, ich habe

meine Krankenkasse gewechselt", wurden
diese Karten neu ausgegeben, und hier

wurde bestimmt, dass die Fachverfahren
zwischen dem Versicherten und der

Krankenkasse auf das neue Niveau
anzupassen sind und es wurden explizit die

Worte Identifizierung und Registrierung
genutzt. Bei den ganzen Aufwendungen, die

man im Rahmen der letzten Jahre
durchgeführt hat, hat man einen sehr

starken Fokus auf die technische
Realisierbarkeit gelegt. Die

organisatorischen Prozesse und Abläufe
sind dort leider an manchen Stellen nicht

so umgesetzt worden, wie es vorgegeben
war. Im Jahr 2016 hat die CDU-

Bundestagsfraktion einen Kongress
durchgeführt zum Thema eHealth. Und in

seinem Beitrag zu diesem Thema hat Herr
Kauder damals gesagt: "Es reicht ein

einziger Vorgang, um das Vertrauen der
Menschen in dieses digitale

Gesundheitswesen erheblich zu
erschüttern." Und weiter hat er

ausgeführt: "Davon wird der Erfolg
abhängen, diese Digitalisierung im

Gesundheitswesen, dass die Sicherheit
gelingt." Die ganzen Vorteile sind nett

und schön und erstrebenswert. Aber wenn
die Sicherheit nicht gelingt, dann wird es

keine Akzeptanz in der Bevölkerung finden.
Wir haben uns das Ganze mal etwas genauer

angeguckt. Martin sagte, das Thema
elektronische Gesundheitskarte begleitet

mich selbst schon einige Jahre. Hier sieht
man, wann in welchem Jahr es mir gelungen

ist, mit einfachsten organisatorischen
Anläufen jeweils in Besitz einer

Gesundheitskarte zu gelangen. 2014, 2015,
2016, 2017 -- letztes Jahr habe ich darauf

verzichtet -- und dieses Jahr wieder. Die
Angriffsszenarien, die wir durchgeführt

haben, unterscheiden sich nur unwesentlich
gegenüber dem, wie es anfangs war. Reichte

es anfangs aus, dass ich einfach irgendwo
bei einer Krankenkasse angerufen habe und

sagte: "Ich bin umgezogen" wurde mir eine
neue Karte zugeschickt. Das hat sich über

einige Jahre durchgezogen. Nun ist es
etwas komplizierter geworden. Wir müssen

eine E-Mail schreiben.
<i>Lachen im Publikum</i>

Und wesentlich um in diesen Besitz der
Karte zu gelangen, ist es, dass wir die

Adresse ändern. Es gibt zwei wesentliche
Angriffsszenarien, die aus unserer Sicht

möglich sind. Nämlich einerseits die
Adressänderung durch einen Versicherten

und die Adressänderung durch Arbeitgeber.
Es gibt ein Meldeverfahren, bei dem

Arbeitgeber Informationen über ihre
Arbeitnehmer an die

Sozialversicherungsträger senden. In einer
Richtlinie, die veröffentlicht wurde

Anfang des Jahres, wurde beschrieben, dass
Daten, die über den Arbeitgeber an die

Versicherung, Sozialversicherungsträger
gesendet werden, als wahr angenommen

werden. Hinzu, man muss ja einfach an der
Stelle berücksichtigen, wenn man sich die

entsprechenden Richtlinien vom BSI
ansieht, wird dort formuliert, dass

identitätsbestätigende Stellen besondere
Sicherheitsmaßnahmen durchzuführen haben.

Sie müssen geschult sein müssen, müssen
ein Sicherheitskonzept haben und das --

unterstellt man -- wird vom Arbeitgeber
automatisch durchgeführt. Wir haben darauf

verzichtet, diesen Angriff durchzuführen.
Wir haben uns erst mal wieder auf die

Adressänderung durch den Versicherten
fokussiert. Wir haben uns mal angeguckt:

Wie macht es denn die AOK Hessen? Und wie
Sie sehen: Wir müssen eine E-Mail

schreiben. Und es heißt: "aus
Datenschutzgründen", "und kein Missbrauch

durch Dritte Erfolgen kann", "nur
schriftlich oder persönlich zu

übermitteln", "entweder in einem Brief
oder Fax oder per eingescannten Brief in

einer E-Mail". Der Sicherheitsgewinn eines
eingescannten Brief per E-Mail zu

verschicken ist gering bis null. Und es
ist nicht alleine damit getan, dass ich

dann einfach eine Adresse ändere. Nein,
ich kann auch noch direkt online der

Einfachheit halber trotz bestehenden
Versicherten-Stammdaten-Abgleich über den

auch eine Adressänderung möglich wäre,
kann ich mir gleich eine neue

Gesundheitskarte bestellen. Das heißt hier
haben wir eine ganz einfache Möglichkeit,

eine E-Mail zu schicken mit einem völlig
unverbindlichen Schreiben. Und dann,

wenige Tage später, kommt an eine neue
Adresse eine Gesundheitskarte und diese

Gesundheitskarte, wie ich vorhin sagte,
ist der zentrale Zugangspunkt für die

gesamte Telematik-Infrastruktur. Das
heißt, einer der Schwachpunkte ist die

nicht sicherheitsrelevante oder nicht
entsprechend der Sicherheitsanforderungen

durchgeführte Adressänderung durch den
Versicherten selbst.

Martin: Was dazu noch zu sagen ist, gehen
wir nochmal eine Folie zurück. Wir haben

ja die Aussage des Bundesamts für
Gesundheit, dass diese Telematik-

Infrastruktur insbesondere deswegen jetzt
unbedingt eingeführt werden muss, weil das

Fax ja so unsicher ist. Wir wollen was,
was zumindest sicherer ist als das Fax.

Damit hat man auch schon eine
Pressemitteilung ausgegeben und die

Ärzteblätter haben geschrieben: Telematik-
Infrastruktur, diese neue Gesundheitsnetz,

ist sicherer als das Fax. Wenn man das
unbedingt will, gut, kann man sagen. Das

Lustige ist: Wir haben auch bei Christians
Beantragung, die Sachen immer schön per

Fax abgeschickt. Genauso hier. (flüsternd)
Wir müssen uns beeilen.

André: Jetzt haben wir eine Aussage, eine
AOK, es ist nicht die AOK Hessen, es ist

die AOK Rheinland-Pfalz, die gesagt hat:
"Im Sinne kundenorientierte Prozesse

müssten Krankenkassen im Rahmen einer
vertrauensvolle Kundenbeziehung

Postadressen grundsätzlich als wahr
annehmen." Okay, kann man machen. Die

Gesundheitsministerin aus Rheinland-Pfalz
sagte, dass, bevor nun auf medizinische

Daten zugegriffen wird, unbedingt vorher
eine Identitätsprüfung stattfinden muss.

Wir wissen, dass nächstes Jahr Zugriff auf
elektronische Patientenakten stattfinden

soll. Nicht einer von Ihnen hat irgendeine
Identitätsprüfung für seine Krankenkasse

durchgeführt. Das hat diese Anfrage, diese
Anfrage hat das ZDF an die

Gesundheitsministerin gestellt und es kam,
die Antwort war: "Das wussten die

allerdings auch schon vorher." Und diese
Aussage, diese Aussage war nicht von

diesem Jahr, sondern die ist von 2015.
Geändert hat sich bis jetzt wenig. Gas

geben. Soll ich das überspingen? Wir haben
so viele. Also, zum Thema Gesundheitskarte

und Identitätsnachweis noch eins: Es wurde
gesagt, dass die Identitätsnachweis ein

eingeschränkt, die Gesundheitskarte ein
eingeschränkter Identitätsnachweis ist.

Was ist das? Vorname zu 60 Prozent?
<i>Vereinzeltes Lachen</i>

Einen eingeschränkten Identitätsnachweis
gibt es nicht. Es gibt entweder nur

bestätigt oder nicht finden. Und auch ein
PIN ändert an dieser Aussage der

Identitätsbestätigung nichts. Und damit
die Gesundheitskarte eingesetzt werden

kann, muss das Ganze mit einem
ordnungsgemäßen Identitätsnachweis

verknüpft sein. Wenn diese...
Martin: Sorry, ich muss kurz vorgehen. Wir

haben nämlich so viele Dinge zu zeigen,
wir heben uns die Folie für die Fragen

auf, wenn da halt konkret Fragen dazu
sind. Und ich würde sagen, wir gehen jetzt

zum zweiten Teil, zum letzten Teil, zum
vierten Teil, zum Korrektor und kommen

dann nochmal auf das, was wir heute
eigentlich gelernt haben.

Christian: Jetzt könnte man uns vorwerfen,
wir hätten ja nur ein Teil der TI uns

besorgt und uns angeschaut. Das Herzstück,
also hat es unser Gesundheitsminister mal

bezeichnet, der Connector. Dieses schöne
Gerät verbindet praktisch die Praxis mit

der TI. Und um uns das genauer
anzuschauen, muss man es natürlich auch

bestellen, erstmal. Die Dinger sind
allerdings meistens nur im Paket zu haben,

ist sauteuer, so knapp zweieinhalb Tausend
Euro. So viel wollte ich als Hobby-IT-Sec-

Mensch jetzt doch nicht investieren. Aber
wir haben einen Anbieter gefunden, der das

Ganze, auch den Konnector, einzeln
verkauft. Das war ein relativ einfaches

Prozedere, ein einseitiges Fax an die
Firma. Dann hat es ein wenig gedauert.

Also seriously, lieben beide Firmen, drei
Monate Lieferzeit, das gibt nur einen

Stern, und deswegen haben wir euch auch
die Disclosure-Frist ein wenig gekürzt.

Dann wurde dieser Konnector mit der
sicheren TNT-Express-Lieferkette geliefert

an eine vertrauenswürdige Person,
natürlich wie immer.

<i>Lachen</i>
<i>Applaus</i>

M: Ja, damit hatten wir sie alle, das
Quartett, auf dem die Sicherheit dieser

Telematikinfrastruktur beruht. Die
zentrale Sicherheitsfunktion oder

Sicherheit dieser Telematikinfrastruktur
beruht auf der Sicherheit dieser

Kartenherausgabeprozesse. Wir haben
gesehen, die sind alle etwas

verbesserungsbedürftig. Wir konnten uns
ohne Probleme all diese Dinge verschaffen,

auf Identität anderer Menschen, anderer
Ärzte. Was bedeutet das? Naja, zum ersten

Mal bedeutet das, dass diese großen
Hoffnungen bzw. Versprechungen, die

gemacht worden sind, dass die wohl nicht
viel wert sind bzw. dass die nicht ehrlich

waren. Versprechungen wie der Gematik,
dass wir europaweit ein einzigartiges

Sicherheitsniveau hätten oder auch des
Bundesverbands der Vertragspsychologen,

die sagen, ja, der Chaos Computer Club,
dem ist es ja auch nicht gelungen, da

einzudringen, ja deswegen ist es sicher.
Ich frag mich auch, woher die so ein

Statement nehmen, ja. Also so etwas sollte
niemand in die Welt setzen. Das ist ganz

gefährlich.
<i>Applaus</i>

M: Das Bundesministerium für Gesundheit
ist natürlich absolut von der Sicherheit

überzeugt. Wir wissen ja alle: Absolute
Sicherheit gibt es nicht. Und deswegen,

das sagen auch andere, muss man doch, wenn
man hier etwas kommuniziert, was Nutzen

hat, aber auch die Risiken bitte betonen
und nicht nur von Absolutem reden, sondern

sagen: Gut, es kann etwas passieren. Wir
haben das Risiko eingeschätzt, wir haben

es quantifiziert, und wenn etwas passiert,
dann sind wir vorbereitet. Wir können

diese Risiken mitigieren. Wir können dann
den Schaden ausgleichen, etwas derart,

also wie der Versicherte oder der Nutzer,
der Patient hier geschützt werden kann.

Das fehlt völlig bei dieser Absolutheit-
beherrschten Diskussion von: Wir sind ja

absolut sicher, wir sind Weltspitze. Das
System weltweit, sagen die Hersteller

dann, einzigartige Sicherheit. Wir haben
ja gesehen, soweit, ich glaube, vielleicht

in Leipzig, vielleicht Spitze, oder, ja.
Das Spannende ist auch, dass diese Fehler,

die wir hier gesehen haben, die sind nicht
neu. Die Bundesdruckerei weiß schon sehr

lange, das veröffentlichen die in ihrem
eigenen, in einem eigenen Expertise, wo

sie ihre eigenen Produkte wieder anbieten
wollen, dass es in der

Telematikinfrastruktur ja gar nicht so
sicher ist. Die Bundesdruckerei sagt, dass

diese postalischen Ausgabewege, dieses
Verschicken von irgendwelchen hoch-

sicheren Karten, dass das ja gar nicht so
gut ist mit der Deutschen Post, die Sachen

einfach durch die Luft zu schicken.
Einfach ein Nachsendeauftrag reicht, und

schon hab ich die Dinge bei mir, an meine
Adresse. Und das weiß die Bundesdruckerei.

Und die gibt trotzdem diese Karten heraus.
Also, da muss man sich fragen: Wenn das

Wissen da ist, wo ist die Verantwortung?
Und dann wissen wir, dass es nicht nur die

Patientenakte ist oder die jetzt
spezifizierten Dienste, die nach

Sozialgesetzbuch kommen sollen, die wir
alle eben gehört haben. Ganz viele

zusätzliche private Anbieter wollen diese
Telematikinfrastruktur nutzen, um darüber

mit ihren Heilberuflern zu sprechen, um
darüber die Versicherten, mit denen sie

sprechen wollen, diese zu identifizieren.
Das funktioniert doch alles nicht, wenn

wir diese Basisinfrastruktur schon so
kaputt vorfinden. Die Idee ist ja gut.

Aber da müssen wir sie auch richtig
machen. Aber da kommen wir zu den

positiven Aspekten. Denn bevor wir zu dem
Gesamtfazit kommen, soll man ja sagen, es

gibt ja auch positive Aspekte. Und da
möchte ich dem André Zirlich nochmal das

Wort geben.
A:Also wir sehen, dass die wesentlichen

gesetzlichen Rahmenbedingungen so
geschaffen wurden, dass auch eine

Digitalisierung stattfinden kann. Und die
Gematik hat ganz viel richtig

spezifiziert. Und wir finden es auch
richtig, dass die Infrastruktur durch

staatliche Stellen kontrolliert wird und
dass Anbieter, private Anbieter, die diese

Infrastruktur nutzen sollen, um weitere
Dienste anzubieten. Denn ohne diese

Infrastruktur stehen die privaten Anbieter
alle vor derselben Frage, die durch kleine

Unternehmen einfach nicht zu leisten sind.
Wie schaffe ich es, real existierende

Personen sicher, zuverlässig,
rechtsverbindlich in die digitale Welt

rein zu bekommen? Das ist einmal aufwendig
und zum anderen für die Betroffene oder

diejenigen, die mitmachen wollen, immer
lästig, weil wir immer irgendwo hinlaufen.

Deswegen ist es richtig. Jeder von Ihnen
hat auch nur einen Personalausweis.

Hoffentlich. Genau dieses, dieses zentrale
Element, eines, einer digitalen Identität

für das Gesundheitswesen zu haben und
diese für alle Anwendungen zu nutzen. Das

ist genau richtig. Und als notwendige
Maßnahmen zur Schadensbegrenzung dessen,

was wir jetzt aufgezeigt haben. Auch dort
hat die Gematik schon einiges richtig

gemacht. Sie hat spezifiziert, dass, wenn
Angriffe auf den Vertrauensraum

stattfinden, dass die Gematik dann
schlicht und ergreifend prüfen muss, ob

die Zulassung für diese Anbieter bestehen
bleiben oder ob sie, weil sie als

kompromittiert anzusehen sind, zurück
entzogen werden müssen. Das A und O, und

ich denke, das haben wir in den
vergangenen Minuten gezeigt, ist, dass die

Beantragung, Identifikation und die
Ausgabe entsprechend dem Schutzbedarf von

Gesundheits. und Sozialdaten durchgeführt
werden. Diese Prozesse müssen so sein,

dass sie sicher sind und eben nicht wie
für eine Kundenkarte. Was sich in den

vergangenen Jahren gezeigt habe und immer
wieder Thema ist: Die Gesundheitskarte ist

ein Identitätsnachweis und muss auch so
bezeichnet werden und so ausgegeben

werden. Und um das Ganze zu machen,
durchzuführen, ist es nicht nur notwendig,

dass man jetzt an irgendeiner
Stellschraube macht, sondern es sind

organisatorische Prozesse neu zu
definieren. Diese organisatorischen

Prozesse müssen genehmigt, implementiert
werden. Und dann kommt leider der

geschwindigkeitsbestimmende Schritt, dass
ganz viele Personen real von diesen

Prozessen betroffen sind und persönlich
irgendwo hingehen müssen. Sie können es

nicht online machen. Wir haben es gezeigt,
sie können nicht online, sondern... Das

ist einfach ein
geschwindigkeitsbestimmender Schritt. Und

das wird viel Zeit in Anspruch nehmen. Und
was wir im Laufe unserer Diskussionen auch

immer wieder festgestellt haben, ist, dass
es eine organisierte

Verantwortungslosigkeit gibt. Es gibt sehr
viele Teilbereiche, die für Teilabläufe

und technische Lösungen zuständig sind.
Aber die Gesamtverantwortung von: Nicht

nur eine Ende-zu-Ende-Verschlüsselung im
technischen Sinne, sondern auch, dass man

eine Ende-zu-Ende-Betrachtung der
organisatorischen Prozesse durchführt. Das

ist total wichtig, und das ist
entscheidend, damit auch die Menschen, die

real existieren und nicht nur irgendein
elektronisches Abbild sind, die

Telematikinfrastruktur vernünftig nutzen
können.

M: Damit sind wir schon fast am Ende, das
sind die zentralen Statements. Eigentlich

hätten wir diesen Talk mit dieser Folie
hier heute zeigen können und wären dann

auch fertig gewesen. Stattdessen haben wir
jetzt 55 oder 50 Minuten geredet. Aber

trotzdem: Ich hoffe, es hat gefallen, denn
das sind die zentralen Statements. Man

braucht, um diese Telematik-Infrastruktur
sicher gestalten zu können höchste

Sicherheit und Datenschutzanforderungen.
Die Anforderungen sind auch da. Die sind

allen bekannt. Grundvoraussetzungen, das
steht in diesen Anforderungen, ist die

zweifelsfreie Identifikation aller
Teilnehmer. Das haben wir ja gesehen, weil

man sich ja nur noch ausweisen muss, um
auf diese Daten zugreifen zu können. Was

haben wir herausgefunden? Identifikation
findet nicht statt. Diese Schlussfolgerung

ist so banal, dass man sich doch fragen
muss: Wie konnte das passieren? Wie könnte

man vergessen, diesen wichtigste Schritt
hier implementieren? Und wie konnte das

nicht auffallen, selbst nach
Sicherheitsaudits? Ursprünglich war mein

Ziel ja, sich die Technik anzuschauen und
sich diese Komponenten zu bestellen,

vielleicht mit dem Christian zusammen, der
autorisiert ist, der Arzt ist. Wir haben

schon beim Bestellprozess aufhören müssen,
weil da waren wir schon durch. Vielleicht

kommen wir ja nächstes Jahr dann dazu,
wenn diese notwendigen Maßnahmen umgesetzt

sind, uns dann noch einmal tief in die
Eingeweide zu begeben. Aber für heute

haben wir unser Ziel schon erreicht
gehabt. Und jetzt ist erst einmal, ganz

wichtig, Arbeit angesagt bei den
Betroffenen, bei den Beteiligten, bei den

Verantwortlichen, diese hier geforderten
Maßnahmen erstmal umzusetzen. Bevor wir

dann nochmal neu an diese Patientenakte
gehen, und uns dann daran wagen,

vielleicht mit einer etwas moderateren
Aussage diese Akte einzuführen. Und auch

eine ein bisschen ehrlichere
Selbsteinschätzung zu dem Thema, das würde

ich mir wünschen für das Jahr 2020. Das
wird 2021 dann trotzdem in den Nutzen

können für medizinische Anwendungen, aber
nicht so eben. Das haben wir jetzt

gesehen. Also so darf das nicht laufen.
Ich würde sagen, wir haben noch ein

bisschen Zeit für Fragen. Dann würden wir
jetzt die Fragen angehen.

<i>Applaus</i>
Herald: Vielen Dank Martin, Christian und

André. Wunderbarer Talk. Wenn ihr Fragen
habt, stellt euch bitte an den Mikrofonen

auf oder nutzt die Möglichkeit, die Fragen
online zu stellen. Signal-Angel, gibt es

Fragen aus dem Netz?
Signal-Angel: Ja, die gibt es. Hier fragt

der User "Space" an den Martin Tschirsich:
Kann ich irgendwo Ärzte finden, die sich

nicht an die Telematik angeschlossen
haben? Also es geht im IRC darum, dass es

dann in Anführungszeichen nur einen
Honorarabschlag geben sollte.

M: Ich glaube, das ist eine Frage, die
tatsächlich lieber ein Arzt selber

beantwortet. Vielleicht gebe ich die Frage
direkt an den Christian weiter.

C: Also ja, es gibt Ärzte, die sich nicht
an die TI angeschlossen haben. Wenn ihr

das googelt: Es gibt mehrere Initiativen
von Ärzten, die sich weigern, sich

anschließen zu lassen, und diese
Honorarabschläge in Kauf nehmen. Also die

bezahlen dafür, dass eure Daten sicher
sind. Ich habe die Homepage leider gerade

nicht auswendig im Kopf. Googlet es
einfach mal, ihr werdet es finden.

Irgendwie "TI frei" oder ähnliches. Das
findet ihr.

Herald: Dankeschön. Mikrofon Nr. 4, deine
Frage, bitte!

Frage: Danke für den Talk! Meine Frage
ist: In dem schönen Video am Anfang hat es

ja geheißen, dass das alles in Kontrolle
des Patienten ist. Wie funktioniert das?

Kann der Arzt einfach einen beliebigen
Schlüssel anfragen von dieser

Infrastruktur oder wie gibt der Patient
sein Einverständnis dafür?

M: Der Patient soll sein Einverständnis
über die App geben können oder auch mit

seiner Gesundheitskarte beim Arzt direkt.
Das ist die einfachste Variante. Also der

Patient geht zum Arzt steckt seine
Gesundheitskarte, gibt eine PIN ein, die

einige jetzt schon bekommen haben, alle
anderen dann nächstes Jahr oder zumindest

bevor diese Patientenakte da ist, und gibt
dem Arzt damit Zugriff auf seine

Patientenakte. Für einen gewissen
Zeitraum, den darf er sich selber

aussuchen und damit hat der Arzt Zugriff.
Für den Arzt wird dann dieser

Aktenschlüssel spezifisch für seine
berechtigten Schlüssel verschlüsselt

hinterlegt beim Aktenanbieter. So
funktioniert das technisch. Auf das

Technische können wir dann nach dem Talk
auch gerne nochmal eingehen. Das ist alles

sehr kompliziert. Es ist symmetrische
Verschlüsselung und nicht so

handelsüblich.
Herald: Danke! Mikrofon Nr. 8, deine

Frage!
Frage: Jo, danke für eure Arbeit für die

Gesellschaft. Gibt es einen Opt-Out für
Patienten?

M: Die Patientenakte soll freiwillig sein.
Das heißt, es ist ein Opt-In. Noch bzw.

aktuell. Es gibt aber verschiedene
Sachverständige, Gruppierungen,

Expertisen, die fordern, es muss ein Opt-
Out werden, weil mit Opt-In wirklich nicht

ausreichend Menschen diese Akte nutzen
werden und dann die positiven Effekte für

die Versorgung ausbleiben. Und wenn man
diese Akte ja schon mal hat und man die

träge Masse gerne mitnehmen will, dann
möchte man gerne zum Opt-Out-Verfahren,

wie das auch schon in anderen Ländern
passiert ist. Ich meine, in Österreich ist

ein Opt-Out, in Australien ist auch ein
Opt-Out, wobei auch dort, meine ich,

früher mal von einem Opt-In die Rede war.
Das heißt, auch hier besteht diese

Möglichkeit, dass das zukünftig einmal
eine Gesetzesänderung geben könnte, kann

man sich alles vorstellen, und dass das
dann zum Opt-Out geht. Ich möchte darauf

aufmerksam machen, dass ich weiterhin
dafür plädiere, dass die Einsetzung für

alle Opt-In bleibt. Denn wer diese träge
Masse, all die, die nicht die Zeit oder

die Expertise haben, sich das anzuschauen,
wer diese mitnehmen möchte, indem er auf

ein Opt-Out geht, der muss auch die
Verantwortung dafür übernehmen für diese

Daten. Und das will aber keiner. Wenn man
das so formuliert, ich glaube, da bleiben

wir länger beim Opt-In.
Herald: Dankeschön. Mikrofon Nummer 7! Was

möchtest du wissen?
Mikrofon 7: Ich hoffe, dass ich jetzt

nicht Äpfel und Birnen vergleiche. Aber
ich kenne jetzt aus dem Gesundheits- und

Pflegebereich ein ganz massives
Überlastungsproblem, was eben

Dokumentationspflichten,
Abrechnungspflichten, etc. mit den

Krankenkassen, mit dem Nachweis der
Professionalität der Arbeit in

Krankenhäusern, in externen Pflegediensten
usw. dann eben angeht. Und ich habe den

Verdacht, wenn man da keine
Digitalisierung reinbringt, ist das ein

unglaublicher Overhead, der momentan
massiv zulasten der Patienten und der

Pflegenden geht. Seht ihr irgendeine
Chance, dass man da tatsächlich effiziente

digitale Abläufe reinbringt, die wirklich
eine Dokumentation beim Patienten, eine

Abrechnung bei der KV, etc. irgendwie
schnell und zügig machen – und nicht

irgendwie einen halben Arbeitstag einer
Pflegerin, die meinetwegen etwas anderes

machen will, mit Papierkram daneben
blockiert?

C: Also, ich gebe dir Recht, ich arbeite
auch in Krankenhäusern, freiberuflich oder

kurzzeitig angestellt. Ich habe da in den
letzten 15 Jahren durch Digitalisierung

nicht erlebt, dass dadurch mehr Zeit für
Patienten entstanden wäre. Es gibt ein

paar minimale Verbesserungen, z. B. bei
Röntgenaufnahmen, die ja früher nur

singulär auf einer einzigen Folie waren,
dass die jetzt verschickt und kopiert

werden können. Die Fortschritte sind sehr
gering. Also die Versprechen sind

natürlich da: Wenn sie digitalisieren,
haben sie mehr Zeit für Patienten. Dass es

in der Praxis aber wirklich so große
Effekte bringt wie versprochen, würde ich

eher nicht erwarten und auch noch nicht
sehen für die nähere Zukunft.

M: Unabhängig davon ist die aktuelle
Patientenakte eine Versorgungsakte. Das

heißt, für die Versorgung geplant und
hauptsächlich für die Information des

Patienten selber. Ob die tatsächlich
diesen revolutionären Effekt jetzt in

unsere Versorgung bringt und diesen
Nutzen, das weiß man nicht. Das will ich

aber auch nicht bewerten. Ich bin nur
dafür, dass man neben dem Nutzen, der auch

sehr positiv von einigen Seiten
herausgestellt wird, der auch evaluiert

und wissenschaftlich begleitet evaluiert
wird, auch die Risiken transparent macht,

ja? Beides muss passieren. Und dann muss
man abwägen können: Wenn man Nutzen und

Risiken kennt – will man das machen? Und
es gibt einige Anwendungen, beispielsweise

verschlüsselte Kommunikation unter Ärzten,
damit die sich gegenseitig Arztbriefe

schicken können, die wirklich einfach
umzusetzen sind, die auch sehr sicher

kommen werden und die auch einen sehr
hohen Nutzen bringen. Also ich denke

schon, es gibt Anwendungen, die Nutzen
bringen. Nur: Wir haben hier mehrfach

gehört, der Einzelfall genügt, um das
Vertrauen in dieses System zu reduzieren.

Und dann muss man halt sich überlegen, ob
das, was man hier gemacht hat, nicht doch

irgendwie besser geht. Und auf jeden Fall
geht das besser! Dass man so ganz

grundlegende Schritte beachten muss. Und
deswegen haben wir unsere Maßnahmen

dargelegt, unter denen wir uns dann
vorstellen können, dass man dann ruhig mal

anfängt mit vielleicht Diensten, die nicht
so ganz so kritisch sind wie die

Patientenakte, sondern das KOM-LE-
Verfahren. Also so was wie S/MIME unter

Ärzten. Und dann schaut, ob das
funktioniert und dann halt Schritt für

Schritt weitergeht. Kann ich mir schon
vorstellen so etwas.

Herald: Dankeschön! Mikrofon 5, bitte.
Mikrofon 5: Ja. Unterstützt ihr die

aktuell laufende Online-Petition gegen den
TI-Zwang?

M: Die Online-Petition gegen den TI-Zwang
ist, soweit … ich hab sie mir

durchgelesen, nicht begründet mit den
Gründen, die wir hier aufführen, warum wir

aktuell dafür sind, dass man erstmal
gewisse notwendige Maßnahmen umsetzt. Wir

sind hier relativ agnostisch rangegangen,
was den Nutzen angeht, sondern haben die

Risikiodimension beurteilt und bewertet.
Und diese Petition gegen den TI-Zwang, wo

es ja auch verschiedene Gründe gibt, die
gehen hauptsächlich in die Richtung

„Haftungsfragen sind ungeklärt“ und die
Nutzungsfrage wird oft von Gruppen

abgelehnt. Und das, würde ich sagen, muss
man den Fachgruppen überlassen, ja? Also

zumindest ich. Das muss man dann den
Ärzten überlassen, vielleicht kann

Christian dazu eine Aussage …?
C: Ich glaube, wir gehen zur nächsten

Frage.
Herald: OK. Mikrofon 4 hätte ’ne Frage?!

Mikrofon 4: Ja, ich wüsste gerne, ob ihr
wisst, ob es in der Spezifikation

irgendwas zum Umgang mit der PIN gibt.
Also ich hab das in einer Arztpraxis

erlebt, dass dann ein
Dienstleistungsunternehmen kommt, den

Konnektor installiert und zwecks einfacher
Fernwartung den PIN auf eine triviale

Kombination ändert, bei allen gleich, und
das in ein Textdokument auf USB-Stick

rausträgt. Ist das erlaubt nach der
Spezifikation?

C: Ähm … <i>lacht</i> Ich sag jetzt mal so:
Martin ist derjenige von uns, der die

Spezifikation auswendig kann, aber ich sag
mal so grob: Nein. Also es ist leider so,

dass auch im Gesundheitswesen das, was du
ansprichst, häufig relativ schlechte

Passwörter verwendet werden und die auch
an Stellen liegen, wo sie nicht liegen

sollten. Das ist … da müssen wir noch sehr
viel dran arbeiten, auch diesen

Datensicherheitsgedanken unter Ärzte zu
tragen, woran ich unter anderem auch

arbeite – oder wir unter anderem auch
arbeiten.

M: Wobei ich sagen muss: Die Anforderungen
sind sicher da. Also die Anforderungen

sind wirklich hoch. Aber auch die
Anforderungen, die an die Ärzte und diese

ärztliche Umgebung gestellt werden, sind
sehr hoch. Und je höher die Anforderungen

geschraubt werden, desto weiter schiebt
man natürlich die Verantwortung, falls

dann jemand gegen diese Anforderung
verstößt, von sich. Nur diese

Anforderungen erfüllen glaube ich nicht
sehr viele Ärzte, ja? Und da muss man

fragen: Sind das realistische
Anforderungen? Und wie sieht das in der

Praxis aus? So ein bisschen das, was wir
gemacht haben. Also Technik ist da,

Spezifikation ist da, bei der Umsetzung da
hakt es halt noch.

Herald: Signal-Angel. Du hast auch noch
was.

Signal-Angel: Ja, und zwar eine Frage aus
Twitter von @jesafafa: Kann ich mich als

Ärztin davor schützen, dass meine
Identität gestohlen wird? Also

wahrscheinlich zur Erlangung dieser
Heilberufeausweise.

M: Das wäre sehr wünschenswert, dass man
hier weitere – ich sage mal – Brandmauern

einbaut, sodass wenn jemand anderes eine
Karte/Identität in seinem Namen beantragt,

dass dann versucht wird, diese neue
Identität erst freizuschalten, wenn man

sich irgendwie rückversichert hat. Wenn
man einen Nachsendeauftrag bei der Post

stellt beispielsweise, an eine beliebige
Adresse, das kann ich ohne dass ich mich

ausweisen muss. Dann geht zumindest an die
ursprüngliche Adresse ein Brief mit

„Hallo, wir informieren Sie darüber, dass
Ihre Post nun an eine andere Adresse

geht“. So etwas könnte man sich ja auch
hier für diese Praxisausweise noch

wünschen. Bei der Gesundheitskarte gibt’s
sowas in der Art schon, was die

Patientenakte angeht, aber hier müssen wir
glaube ich noch ein bisschen mehr, ich sag

mal, zweite und dritte Verteidigungslinie
einbauen, sodass wenn dieser

Kartenherausgabeprozess kompromittiert
ist, dass man dann nicht sofort mit

gestohlener Identität jemand anderen
ausgestattet hat. Ansonsten: Jetzt ist der

Schutz sehr schwer möglich.
C: Also … Bin ich dran? Was man fordern

muss ist, dass sowohl bei der
Antragsstellung als auch bei der

Auslieferung dieser Identitätsausweise
eine persönliche Anwesenheit des Arztes

notwendig ist. Das heißt, der muss einmal
mindestens hingehen zu der Ärztekammer

oder von mir aus auch die apoBank und sich
dort ausweisen. Und beim Empfang muss der

auch persönlich anwesend sein und sich
ausweisen oder eben wieder da hingehen.

Und da ist die Compliance bei den Ärzten
nicht so hoch.

Herald: Danke für eure Antwort. Mikrofon
Nummer 4, deine Frage!

Mikrofon 4: Da war eigentlich nur ein
Kommentar zu dem, was eben gesagt wurde,

und zwar ist es so, dass ganz viel
Gesundheitsdaten per DVD geschickt werden,

weil das anscheinend sicher ist. Und
eigentlich eine Frage habe ich noch: Was

ist mit dem Stammdatenabgleich?
Funktioniert der jetzt mittlerweile? Weil

letztes Jahr haben sie darüber
nachgedacht, ob sie eine SOAP-

Schnittstelle dafür bauen.
C: Also VSDM funktioniert, wird gemacht.

Machen wir auch, mache ich auch täglich in
meiner Arbeit. Zu den Röntgenbildern: DVD

ist noch nicht so schlimm wie diese ganzen
PACS-Server, die weltweit offen lagen ohne

Passwort, wo man nur die URL eingeben
musste. Also es geht immer noch schlimmer.

Und ja: VSDM funktioniert.
Herald: Dankeschön! Der Signal-Angel

bitte.
Signal-Angel: Eine Frage aus

Twitter: Ob die elektronische
Patientenakte eine eindeutige Patienten-ID

für alle Menschen in Deutschland
beinhaltet?

M: Die Patienten werden in der
elektronischen Patientenakte über ihre

Versichertennummer identifiziert und es
gibt eine zentrale Vergabestelle für diese

Versichertennummer, die auch bei
Kassenwechsel, meine ich, erhalten werden.

Könnte der André jetzt sicher noch was zu
sagen.

A: Also jeder Versicherte hat eine
lebenslange, eindeutige

Versichertennummer, die er dann auch bei
Kassenwechsel mitnimmt. Ja, das heißt, ich

habe dort einen Datensatz, der einer
Person zugeordnet ist. Nur: Das, was wir

heute gezeigt haben, das führt dazu, dass
man eben nicht sicher sein kann, dass da

auch genau dann diese Person tatsächlich
auf diese Information zugreift. Weil hier

einfach bei den Übergabeprozessen und den
Identitätsbestätigungsprozessen nicht

sichergestellt ist, dass tatsächlich die
richtige Person auch in Besitz dieser

Zugangsinformation kommt.
Herald: Dankeschön. Mikrofon Nummer 1.

Deine Frage!
Mikrofon 1: Spricht aus eurer Sicht

irgendwas dagegen, statt der EGK einfach
den neuen Personalausweis zu benutzen?

M: Es gibt tatsächlich einen, bzw. mehrere
Projekte glaube ich, oder

Vorgängerprojekte, die genau das
versuchen: Eine Identität abzuleiten vom

Personalausweis, die man dann auch im
Gesundheitswesen nutzen kann. Ich glaube,

in die Richtung gibt es Gedanken. Es gab
ja auch mal die Idee, eines Bürgerportals

mit BürgerCard. Also da gibt es viele
Überlegungen, den NPa zu nutzen. Nur

momentan haben wir halt eine eigene PKI im
Gesundheitswesen. Also unseren eigenen

Vertrauensraum, der noch ganz abgekoppelt
ist vom NPa. Und das hat auch Gründe, dass

man, wenn man am NPa weitere Attribute
speichern wollte, wie beispielsweise die

Versichertennummer, dass das ein sehr
langwieriger Prozess ist, bis man da die

Spezifikation so geändert hat, dass der
NPa auch so etwas speichert wie eine

Versichertennummer. Ansonsten müsste man
wieder ein Register aufbauen, wo jeder

NPa Bürger irgendwie zugeordnet wird mit
Versichertennummer. Und da ist halt die

Frage: Will man so etwas? Also ich glaube,
aus verschiedenen Gründen hat man sich

dazu entschieden, hier eine eigene
Hierarchie aufzubauen.

A: Es reicht eben nicht aus, dass man in
dem Gesundheitswesen nur sich selbst

identifiziert und sagt: Ich nutze meine
eID-Funktion des NPa um zu sagen: Ich bin

ich. Sondern ich muss auch immer noch die
Information mitbringen, das Attribut

mitbringen, bei wem bin ich versichert.
Und diese Information, bei wem bin ich

versichert, ist aktuell auf dem NPa nicht
abspeicherbar.

Herald: OK. Dankeschön. Mikrofon Nummer 6,
deine Frage!

Mikrofon 6: Ist es irgendwie vorgesehen,
dass mein Arzt, mein Zahnarzt z. B., auf

die gesamte Akte zugreifen kann oder nur
auf den Teil, der überhaupt für ihn

vorgesehen ist?
C: Klares Jein. Also ursprünglich war’s so

vorgesehen, dass man selektiv jede
Information in der Patientenakte dem

speziellen Arzt freischalten kann. Also
dass der Urologe nur die

Geschlechtskrankheiten weiß und der
Zahnarzt nur die Zahnkrankheiten.

Gesundheitsminister Spahn hat aber jetzt
versucht, da Druck zu machen, um das

schneller einzuführen und weil dieses
Rechtemanagement, wissen wir alle, recht

kompliziert ist, wollte er das auf ein
Alles oder Nichts runterdrücken. Was

letztendlich kommt, werden wir in einem
Jahr sehen. Frühestens.

M: Es steht schon fest: Also wir wissen,
dass die elektronische Patientenakte, wie

sie 2021 kommt, erstmal nur eine Alles-
oder-Nichts-Akte ist. Also da muss ich mir

halt überlegen, welchem Arzt ich diese
Akte freigebe. Und bei gewissen ärztlichen

Behandlungen – also beispielsweise
psychotherapeutische Behandlung; würde ich

dann nicht als Patient zum
Psychotherapeuten gehen und bitten,

Gutachten dort einzustellen. Sondern ich
muss das erstmal für Dokumente verwenden,

bei denen ich davon ausgehe, dass sie den
anderen Ärzten, denen ich diese Akte

freigebe, auch gesehen werden können ohne
dass das für mich irgendwelche negativen

Folgen hat. Darüber wird man auch
aufgeklärt. Und dann soll in der zweiten

Version 2022 dieses Rechtemanagement
nachgeliefert werden. Das können wir

allerdings momentan noch nicht beurteilen,
weil die Spezifikation dazu … ist noch

nicht öffentlich. Und ich nehme an, sie
wird ausgearbeitet.

Herald: OK. Vielen Dank euch Dreien fürs
Rede und Antwort Stehen! Verabschiedet die

drei bitte mit einem kräftigen Applaus!

<i>Applaus</i>

C: Ganz herzlichen Dank für die
Moderation!

<i>Abspannmusik</i>

Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!