WEBVTT

00:00:00.000 --> 00:00:18.646
<i>36C3 Vorspannmusik</i>

00:00:18.646 --> 00:00:22.593
Herald: Herzlich willkommen zum nächsten
Talk "Hacker hin oder her - die

00:00:22.593 --> 00:00:27.330
elektronische Patientenakte kommt". Unsere
drei Speaker haben sich beschäftigt mit

00:00:27.330 --> 00:00:32.870
der Sicherheit und Funktionsweise der
Telematik-Infrastruktur, das ist so ein

00:00:32.870 --> 00:00:36.430
bischen das Backend der zukünftigen
elektronischen Patientenakte und damit

00:00:36.430 --> 00:00:41.320
auch so der Weg, wie man an die
entsprechenden Daten herankommt. Unsere

00:00:41.320 --> 00:00:51.390
Speaker: Von mir aus ganz links. Martin
Tschirsich, er ist Pentester und war zu

00:00:51.390 --> 00:00:55.620
dem Thema auch schon mal als
Sachverständiger im Gesundheitsausschuss,

00:00:55.620 --> 00:01:02.070
hat da berichtet über das Thema 
IT-Sicherheit in Gesundheits-Apps. Dann

00:01:02.070 --> 00:01:10.160
haben wir in der Mitte André Zilch. War
als Sachverständiger im Bundestag zu genau

00:01:10.160 --> 00:01:16.530
diesem Thema geladen, beziehungsweise zum
Thema Identifizierung. Und direkt hier,

00:01:16.530 --> 00:01:21.650
cbro, Christian Brodowski, ihr kennt ihn
als Arzt hier aus dem CERT.

00:01:21.650 --> 00:01:26.520
Tut mir einen Gefallen, empfangt die
drei mit einem wunderbaren Applaus.

00:01:26.520 --> 00:01:33.560
<i>Applaus</i>

00:01:33.560 --> 00:01:40.990
Martin: Es freut mich, dass so viele zu
dieser frühen Stunde gekommen sind, um

00:01:40.990 --> 00:01:45.010
sich einen Talk zu Patientenakte
anzuhören. Viele, nehm ich mal an, wissen

00:01:45.010 --> 00:01:48.220
vielleicht noch gar nicht, was die
elektronische Patientenakte eigentlich

00:01:48.220 --> 00:01:53.531
sein soll. Die elektronische Patientenakte
kommt, das steht aber fest. Und einfach um

00:01:53.531 --> 00:01:57.349
alle auf denselben Stand zu bringen, gibt
es jetzt eine kurze Erklärung, was die

00:01:57.349 --> 00:01:59.750
elektronische Patientenakte überhaupt
bringen soll.

00:01:59.750 --> 00:02:04.140
Propagandavideo: Die elektronische
Patientenakte, kurz ePA genannt, ist ein

00:02:04.140 --> 00:02:09.229
digitales Patientenbuch, in dem lebenslang
alle Gesundheitsdaten gespeichert sind.

00:02:09.229 --> 00:02:15.390
Röntgenbilder, Arztberichte, Allergien,
ebenso: Blutwerte, Medikamente, Impfungen

00:02:15.390 --> 00:02:21.470
und Vorbehandlungen. Alles an einem Platz.
Und für den Patienten transparent. Denn

00:02:21.470 --> 00:02:26.450
nicht nur, dass er vollen Einblick in die
ePA hat. Er allein besitzt die Kontrolle

00:02:26.450 --> 00:02:31.891
über seine Daten und bestimmt, wer Zugang
dazu haben darf. Mit der ePA können

00:02:31.891 --> 00:02:36.280
mündige Patienten freiwillig ihre
Gesundheitsdaten sicher, online und

00:02:36.280 --> 00:02:40.200
effektiv verwalten. Alle
behandlungsrelevanten Informationen stehen

00:02:40.200 --> 00:02:44.250
in jeder Lebenslage zur Verfügung, was den
Austausch mit ihren Partnern zur

00:02:44.250 --> 00:02:52.460
Gesundheit ungemein erleichtert. Die ganze
Gesundheit auf einen Blick mit der ePA ab

00:02:52.460 --> 00:03:00.880
1. Januar 2021.
<i>verhaltener Applaus</i>

00:03:00.880 --> 00:03:06.020
Martin: Diese elektronische Patientenakte
ist nicht eine weitere App. Eine weitere

00:03:06.020 --> 00:03:09.690
Gesundheitsakte, wie wir sie auch schon
letztes Jahr hier gesehen hatten, sondern

00:03:09.690 --> 00:03:13.910
es ist DIE Patientenakte, die
elektronische Patientenakte, die nach

00:03:13.910 --> 00:03:18.010
Sozialgesetzbuch 5 allen gesetzlich
Versicherten zur Verfügung gestellt werden

00:03:18.010 --> 00:03:21.870
soll. Sie dürfen diese nutzen, um
lebenslänglich ihre Gesundheitsdaten zu

00:03:21.870 --> 00:03:27.150
speichern. Das ergibt einige
Fragestellungen. Zum einen, wir wollen

00:03:27.150 --> 00:03:30.531
hier drin die Möglichkeit schaffen,
lebenslang unsere Gesundheitsdaten zu

00:03:30.531 --> 00:03:34.990
speichern. Das sind Dinge wie
Röntgenbilder, Arztbriefe, Berichte,

00:03:34.990 --> 00:03:40.000
Laborwerte. All diese Dinge sollen in
dieser Akte verwaltet werden können. Und

00:03:40.000 --> 00:03:43.960
der Patient soll die alleinige Kontrolle
darüber besitzen und auch bestimmen, wer

00:03:43.960 --> 00:03:49.760
Zugriff darauf hat. Das heißt, es muss
sicher sein. Kann das funktionieren?

00:03:49.760 --> 00:03:56.760
Zwischenruf aus Publikum: NEIN
Martin: Ganz wichtig. Ob das funktionieren kann

00:03:56.760 --> 00:04:02.770
oder nicht. Wir müssen diese Anforderung
erfüllen. Die Inkaufnahme von Verstößen in

00:04:02.770 --> 00:04:06.650
Einzelfällen, die ist unzulässig. Das
heißt, selbst in Einzelfällen, wir können

00:04:06.650 --> 00:04:10.180
nicht sagen "Ein Prozent Verlust ist
okay". Wie das eben der Fall bei

00:04:10.180 --> 00:04:15.610
beispielsweise Kontozugängen oder so mal
in Kauf genommen werden könnte, wo man mit

00:04:15.610 --> 00:04:20.400
monetären Werten handelt. Hier ist es
absolut unzuverlässig, dass man überhaupt

00:04:20.400 --> 00:04:23.350
den Einzelfall zulässt, dass es hier zu
einem Verstoß kommt. Das sagt ein

00:04:23.350 --> 00:04:27.070
Landesdatenschützer,
Datenschutzbeauftragter. Und das ist nicht

00:04:27.070 --> 00:04:30.310
neu, dass hier hohe Anforderungen stehen.
Das ist auch Herrn, unserem

00:04:30.310 --> 00:04:34.260
Gesundheitsminister, Herrn Spahn bekannt.
Der sagt, dass der Datenschutz, besonders

00:04:34.260 --> 00:04:40.180
die Datensicherheit, die Achillesferse für
diese Anwendung ist. Denn wird es hier zu

00:04:40.180 --> 00:04:43.680
einem Vorfall kommen, wird natürlich die
Akzeptanz dieser Anwendung und auch alle

00:04:43.680 --> 00:04:48.900
weiteren Anwendungen der digitalen
Gesundheitsversorgung wirklich ruiniert.

00:04:48.900 --> 00:04:53.050
Und das gefährdet auch dieses
Vertrauensverhältnis: Arzt, Patient, in

00:04:53.050 --> 00:04:56.680
der Sprechstunde natürlich. Diese
ärztliche Schweigepflicht würde, wenn es

00:04:56.680 --> 00:05:02.289
hier zu einem Vorfall kommt, aufgehoben.
Herr Spahn sagt aber auch, dass er zu dem

00:05:02.289 --> 00:05:07.310
Thema mehr Geschwindigkeit reinbringen
will, Hacker hin oder her. Und weil es so

00:05:07.310 --> 00:05:11.229
ein bisschen ambivalent ist, haben wir
gedacht wir schauen uns das mal an. Um das

00:05:11.229 --> 00:05:15.139
zu verstehen und auch die Sicherheit
bewerten zu können, müssen wir 10000

00:05:15.139 --> 00:05:21.749
Seiten Spezifikation lesen. Die sind alle
unter dem Fachportal der Gematik, die

00:05:21.749 --> 00:05:26.259
Gesellschaft, die dafür zuständig ist,
öffentlich verfügbar. Das sind einmal die

00:05:26.259 --> 00:05:29.300
Spezifikation der Gematik und dann noch
die Spezifikation der Sektororganisation

00:05:29.300 --> 00:05:32.340
unseres Gesundheitswesens. Denn unser
Gesundheitswesen ist ja ziemlich

00:05:32.340 --> 00:05:36.530
zersplittert in verschiedenste
Einzelereiche. Das haben wir getan,

00:05:36.530 --> 00:05:42.509
beziehungsweise nicht ganz. Aber mal
überflogen und haben dann diese tolle

00:05:42.509 --> 00:05:46.630
Grafik hier für euch vorbereitet, um euch
zu zeigen, wie diese Gesundheitsakte

00:05:46.630 --> 00:05:51.719
aussieht, diese Patientenakte. Zunächst
einmal der Versicherte mit seiner

00:05:51.719 --> 00:05:55.530
Gesundheitskarte. Die kennen die meisten
von euch. Mit dieser Gesundheitskarte und

00:05:55.530 --> 00:06:00.990
einem Zugangsgerät, das kann zukünftig
auch ein Smartphone sein, wenn es NFC

00:06:00.990 --> 00:06:05.831
fähige Gesundheitskarte gibt, kann der
Versicherte über das Internet auf ein

00:06:05.831 --> 00:06:11.509
zentrales Zugangsgateway dahinter
liegendes Aktensystem zugreifen. Und auf

00:06:11.509 --> 00:06:16.169
diesem Aktensystem sollen dann die
Gesundheitsdaten liegen, diese lebenslang

00:06:16.169 --> 00:06:19.949
verfügbar gehaltenen Gesundheitsdaten. Die
sind aber verschlüsselt. Man spricht hier

00:06:19.949 --> 00:06:25.039
von Ende zu Ende Verschlüsselung. Der
Schlüssel zu diesen Daten der liegt auch

00:06:25.039 --> 00:06:29.710
auf diesem Aktensystem.
<i>lachen</i>

00:06:29.710 --> 00:06:33.809
Aber noch nicht, noch nicht lachen. Dieser
Schlüssel, der ist verschlüsselt. Der ist

00:06:33.809 --> 00:06:37.610
verschlüsselt. Das hat auch alles seine
Berechtigung. Nur ist jetzt die Frage, wir

00:06:37.610 --> 00:06:43.680
haben das Problem nicht gelöst. Wo ist der
Schlüssel für den Schlüssel? Da müssen wir

00:06:43.680 --> 00:06:46.569
ein bisschen weitergehen. Da müssen wir
schauen, dass wir hierüber an die

00:06:46.569 --> 00:06:51.170
Telematik-Infrastruktur angebunden werden.
Die Telematik-Infrastruktur ist das

00:06:51.170 --> 00:06:56.259
zentrale Netzwerk, an das inzwischen schon
115.000 Arztpraxen, zukünftig auch

00:06:56.259 --> 00:07:00.380
Apotheken, Krankenhäuser und andere
Einrichtungen des Gesundheitswesens

00:07:00.380 --> 00:07:04.590
angeschlossen werden. Es ist ein
sogenanntes spezielles VPN-Netzwerk mit

00:07:04.590 --> 00:07:11.869
eigenem Vertrauensraum. Dieses Netzwerk
hält folgende zwei Dienste bereit: Den

00:07:11.869 --> 00:07:16.840
Schlüsselgenerierungsdienst 1 und den
Schlüsselgenerierungsdienst 2. Das sind

00:07:16.840 --> 00:07:21.610
Dienste, die uns einen Schlüssel
generieren. Und zwar einen berechtigten

00:07:21.610 --> 00:07:26.020
Schlüssel. Wir müssen also mit unserer
Gesundheitskarte zu den

00:07:26.020 --> 00:07:29.129
Schlüsselgenerierungsdiensten gehen und
uns diese blauen Berechtigten-Schlüssel

00:07:29.129 --> 00:07:34.830
abholen, indem wir uns ausweisen als
Versicherter. Dann nehmen wir diese blauen

00:07:34.830 --> 00:07:38.819
Berechtigtenschlüssel und entschlüsseln
damit diesen pinken Aktenschlüssel. Und

00:07:38.819 --> 00:07:44.250
dann kommen wir an die Gesundheitsdaten.
Für Ärzte, die ja auch auf diese Akte

00:07:44.250 --> 00:07:47.949
zugreifen müssen, um Dokumente des
Versicherten dort einzustellen,

00:07:47.949 --> 00:07:52.009
beispielsweise ein Arztbrief oder ein
Untersuchungsergebnis, sieht das von der

00:07:52.009 --> 00:07:56.590
anderen Seite fast genauso aus. Nur dass
dort noch ein spezielles Zugangsgerät

00:07:56.590 --> 00:08:01.259
verwendet wird. Jede Arztpraxis, die an
diese Telematik-Infrastruktur angebunden

00:08:01.259 --> 00:08:04.969
wird, benötigt einen sogenannten
Connector. Das ist ein spezieller VPN

00:08:04.969 --> 00:08:08.180
Router mit weiteren Funktionen, der den
Zugang in dieses geschützte Netz

00:08:08.180 --> 00:08:13.300
ermöglicht. Und während der Versicherte
sich mit der Gesundheitskarte ausweist, um

00:08:13.300 --> 00:08:16.639
auf diese Schlüsselgenerierungsdienste
zugreifen zu können und sich seinen

00:08:16.639 --> 00:08:20.529
Schlüssel generieren zu können, greift der
Arzt oder die Ärztin mit ihrem

00:08:20.529 --> 00:08:25.490
Praxisausweis und auch mit
Heilberufsausweisen auf dieses Netz zu

00:08:25.490 --> 00:08:30.740
bzw. auf Anwendung, die darauf laufen. Das
ist also symmetrisch. Sowohl der Patient

00:08:30.740 --> 00:08:36.270
als auch Ärzte haben Chipkarten, mit denen
sie sich hier ausweisen und Anwendungen

00:08:36.270 --> 00:08:41.130
gegenüber authentisieren. Um das Risiko
dieses Netzwerkes ein bisschen zu ...

00:08:41.130 --> 00:08:45.130
vereinfacht darzustellen, schauen wir uns
mal an, wie viele Teile es denn davon

00:08:45.130 --> 00:08:51.310
gibt: Es gibt 73 Millionen Versicherte. Es
gibt in etwa 4 Anbieter von dieser

00:08:51.310 --> 00:08:55.710
Patientenakte, die sich jetzt schon
aktuell in der Entwicklung befindet. Denn

00:08:55.710 --> 00:08:59.820
in zwölf Monaten soll sie ja uns allen zur
Verfügung stehen. Und es gibt eine einzige

00:08:59.820 --> 00:09:04.790
zentrale Telematik-Infrastruktur. Und dann
gibt es halt diese 115.000 Arztpraxen, die

00:09:04.790 --> 00:09:09.270
jetzt schon angeschlossen sind bzw. ganz
grob geschätzt 170.000 Einrichtungen, die

00:09:09.270 --> 00:09:14.570
irgendwann mal dort angeschlossen sein
sollen. Die Prozesse, wie diese Chipkarten

00:09:14.570 --> 00:09:20.040
verteilt werden, das sind auch Prozesse
der zentralen Telematik-Infrastruktur.

00:09:20.040 --> 00:09:23.400
Problem bei diesem
Schlüsselgenerierungsdienst ist: Der

00:09:23.400 --> 00:09:28.620
Versicherte oder die Ärztin weisen sich
jeweils nur noch aus mit einer Karte und

00:09:28.620 --> 00:09:34.330
bekommen dann einen Schlüssel. Das hat das
Problem, dass wir hier zwar weiterhin von

00:09:34.330 --> 00:09:39.120
Ende zu Ende Verschlüsselung hören, aber
der Schlüssel ist nicht mehr unter

00:09:39.120 --> 00:09:44.010
Kontrolle des Versicherten. Das heißt: Wer
sich ausweisen kann, auch mit einem

00:09:44.010 --> 00:09:48.680
Nachfolgeausweis, der bekommt Zugriff, der
bekommt den Schlüssel und kommt damit an

00:09:48.680 --> 00:09:55.060
die Daten. Auch das BSI hat dazu schon
eine Anmerkung gemacht und hat gesagt:

00:09:55.060 --> 00:09:59.440
"Wenn dieses Authentisierungsverfahren
dieses Schlüsselgenerierungsdienstes

00:09:59.440 --> 00:10:06.000
überwunden wird, kann auf den gesamten
Akteninhalt zugegriffen werden." Die

00:10:06.000 --> 00:10:11.320
Gematik leitet daraus ab, dass die
Korrektheit dieser rot markierten

00:10:11.320 --> 00:10:15.260
Kartenherausgabeprozesse, die ich eben mit
diesen roten Pfeilen dargestellt hatte,

00:10:15.260 --> 00:10:18.410
Grundvoraussetzung für den sicheren
Betrieb dieser Anwendung ist.

00:10:18.410 --> 00:10:24.300
Kartenherausgabeprozesse, das bedeutet:
die Überführung von einer real

00:10:24.300 --> 00:10:27.840
existierenden Person, auch einer
juristischen Person wie eine Arztpraxis,

00:10:27.840 --> 00:10:35.440
in die digitale Welt. Um das sicher
gewährleisten zu können, muss Folgendes

00:10:35.440 --> 00:10:40.550
erfüllt sein: Ich muss die Person
identifizieren. Versicherte, Ärzte,

00:10:40.550 --> 00:10:45.700
Arztpraxen müssen zuverlässig
identifiziert werden und die Attribute, ob

00:10:45.700 --> 00:10:50.600
sie nun zugelassener Arzt,
niedergelassener Arzt oder Versicherte mit

00:10:50.600 --> 00:10:54.130
einer bestimmten Versichertennummer sind,
die müssen sicher, rechtssicher bestätigt

00:10:54.130 --> 00:10:58.840
werden. Und der Empfang des Zertifikats
und des privaten Schlüssels, also dieser

00:10:58.840 --> 00:11:04.760
digitalen Identität, die mir da zugeordnet
wird, also des Ausweises, der Karte, die

00:11:04.760 --> 00:11:08.970
muss sicher nachvollzogen werden können.
Also die bestätigte Schlüsselübergabe.

00:11:08.970 --> 00:11:14.720
Wenn das alles so läuft, dann funktioniert
das System sicher, weil dann dieser

00:11:14.720 --> 00:11:19.940
Ausweis wirklich nur in der Hand des
Berechtigten ist. Die Gematik weiß das

00:11:19.940 --> 00:11:24.110
ebenso und spricht deswegen sehr häufig
von dieser Anforderung der zuverlässigen

00:11:24.110 --> 00:11:27.671
Identifizierung. Also: Man liest das
wirklich häufig. Die Identifizierung muss

00:11:27.671 --> 00:11:33.000
zuverlässig sein, muss notwendig, zwingend
notwendig, Grundvoraussetzungen und, und,

00:11:33.000 --> 00:11:38.050
und, und. Was für Identitäten gibt es
denn. Wir haben schon drei Karten gesehen.

00:11:38.050 --> 00:11:40.661
Es gibt die Gesundheitskarte, es gibt ein
Heilberufsausweis. Es gibt den

00:11:40.661 --> 00:11:43.570
Praxisausweis. Und dann gibt es noch den
Connector. Das ist dieser Hardware-VPN-

00:11:43.570 --> 00:11:49.230
Router, von dem ich sprach. Und die alle
tragen kryptographische Identitäten in

00:11:49.230 --> 00:11:52.410
Form von Zertifikaten und privaten
Schlüsseln, die auf Chipkarten gespeichert

00:11:52.410 --> 00:11:58.860
sind. Und was wir gemacht haben, ist: Wir
haben uns angeschaut, ob diese Herausgabe

00:11:58.860 --> 00:12:03.060
denn sicher ist? Denn das ist der zentrale
Angriffspunkt. Wenn wir die Ende-zu-Ende-

00:12:03.060 --> 00:12:06.670
Verschlüsselung nur noch durch eine
Authentisierung sicher garantieren können,

00:12:06.670 --> 00:12:11.710
dann greifen wir die Authentisierung an.
Ist das möglich?

00:12:11.710 --> 00:12:18.110
Christian: Danke Martin! Ich wollte ganz
kurz einschieben, wie wir uns eigentlich

00:12:18.110 --> 00:12:22.120
kennengelernt haben. Als Vertragsarzt
hatte man letztes Jahr oder auch dieses

00:12:22.120 --> 00:12:25.450
Jahr das Problem, dass einem diese
Telematik-Infrastruktur so ein bisschen

00:12:25.450 --> 00:12:29.570
übergeholfen wurde. Mittlerweile bekommt
man Honorareabzüge, wenn man sie nicht

00:12:29.570 --> 00:12:34.030
installiert hat. Und da war ich so ein
bisschen unglücklich drüber. Habe dann

00:12:34.030 --> 00:12:38.310
erst den md, den Markus Dränger
angeschrieben und angesprochen. Wir

00:12:38.310 --> 00:12:42.580
erinnern uns: beA ... ich sehe da viele
Parallelen. Der hatte aber gerade eine

00:12:42.580 --> 00:12:45.870
wichtigere Aufgabe und deswegen hat er
mich an den Martin Tschirsich weiter

00:12:45.870 --> 00:12:50.220
verwiesen und uns zusammengebracht. Und
wir haben uns dann zusammen diese

00:12:50.220 --> 00:12:54.130
einzelnen Komponenten mal angeschaut. Ich
fange mal an mit diesem

00:12:54.130 --> 00:13:01.240
Institutionsausweis, auch Praxisausweis
oder SMC-B Karte genannt. Wenn man sich

00:13:01.240 --> 00:13:05.710
den ... wenn man so einen haben will, muss
man online einen Antrag stellen. Da gibt's

00:13:05.710 --> 00:13:11.780
mehrere Anbieter für. Wir haben uns mal
für den entschieden. Der hat so ein

00:13:11.780 --> 00:13:15.950
Formular, das kann man im Web ausfüllen -
übrigens auch über TOR; funktioniert auch

00:13:15.950 --> 00:13:22.370
- und muss da verschiedene Daten eingeben.
Abgeglichen werden insbesondere diese 5,

00:13:22.370 --> 00:13:26.980
die ihr hier seht: die Betriebsstätten-
Nummer, Geburtsdatum des Arztes, die

00:13:26.980 --> 00:13:32.910
lebenslange Arzt-Nummer, der Name und die
Profession. Also, was für ein Arzt das

00:13:32.910 --> 00:13:40.400
ist. Das geht jetzt gerade nicht so gut
... ups ... doch ... zack. Das

00:13:40.400 --> 00:13:44.790
Geburtsdatum ist die einzige dieser
Angaben, die nicht auf jedem Rezept und

00:13:44.790 --> 00:13:50.800
jeder Überweisung steht, die ihr von eurem
Arzt bekommt.

00:13:50.800 --> 00:13:56.050
<i>Gelächter</i><i>Klatschen</i>
Und Geburtsdatum: Seriously, also: Jede

00:13:56.050 --> 00:13:59.650
Gemeinschaftspraxis hat irgendeine
Rechtsform. Meistens sind die

00:13:59.650 --> 00:14:03.540
Partnerschafts-Register eingetragen und da
stehen das Geburtsdatum und manchmal auch

00:14:03.540 --> 00:14:11.890
der Geburtsort. Damit hat man alles
beisammen, was man da eingeben muss. Dann

00:14:11.890 --> 00:14:15.190
gleicht medisign dieses Formular mit der
entsprechenden kassenärztlichen

00:14:15.190 --> 00:14:19.920
Vereinigung ab und die KV sagt: Jo, so ein
Arzt mit dem Namen und den Nummern ist bei

00:14:19.920 --> 00:14:28.740
uns registriert. Daraufhin stellt medisign
dann einen dieser SMCB-Karten, dieser

00:14:28.740 --> 00:14:35.430
Praxisausweise aus und verschickt ihn an
den ... ne, nicht an den Arzt. Das wäre ja

00:14:35.430 --> 00:14:40.860
doof, wenn der in Praxis landen würde. Man
kann da auch alternativ eine Lieferadresse

00:14:40.860 --> 00:14:43.030
angeben.
<i>Gelächter</i>

00:14:43.030 --> 00:14:51.930
Da kommt er dann an. Oder man kann auch
bei der Lieferadresse, wenn da gerade

00:14:51.930 --> 00:14:56.500
niemand zu Hause ist -- so war das in
unserem Fall -- das Ganze auch dann mit

00:14:56.500 --> 00:15:04.651
der Postvollmacht bei der Post abholen.
Sieht dann so aus: Die muss man dann

00:15:04.651 --> 00:15:10.570
online freischalten, das geht in so einem
Webformular und dann, dazu braucht man

00:15:10.570 --> 00:15:14.060
diesen PIN-Brief. Der ist auch bei der
Lieferadresse letzlich angekommen. Und

00:15:14.060 --> 00:15:23.150
damit konnten wir in Praxis-Ausweis dann
aktivieren und letztlich auch registrieren

00:15:23.150 --> 00:15:28.820
und damit einen Vorgang in der Telematik
Infrastruktur auslösen, nämlich dass

00:15:28.820 --> 00:15:31.920
Versicherten-Stammdatenmanagement. Also
sprich: Ich habe meine Karte mit dieser

00:15:31.920 --> 00:15:39.710
SMCB-Karte, meine Versichertenkarte,
nochmal abgeglichen, ja mit den

00:15:39.710 --> 00:15:47.001
Krankenkassendaten. Was kann man mit
dieser SMCB-Karte alles anstellen, wenn

00:15:47.001 --> 00:15:51.850
man jetzt damit nichts Gutes tun möchte?
Man hat uneingeschränkten Zugang zur

00:15:51.850 --> 00:15:55.310
Telematik-Infrastruktur, das heißt, dieser
geschützte Vertrauensraum, von dem

00:15:55.310 --> 00:16:02.840
gesprochen wird, der ist damit gebrochen.
Ich kann darin Dinge tun. Ich habe Zugriff

00:16:02.840 --> 00:16:07.420
auf verschiedene Anwendungen. Die EPA
kommt erst noch. In einigen Regionen gibt

00:16:07.420 --> 00:16:12.380
es aber schon den elektronischen
Medikationsplan und den Notfalldatensatz,

00:16:12.380 --> 00:16:17.060
die von der Karte des Versicherten
abgelesen ... ausgelesen werden können.

00:16:17.060 --> 00:16:21.940
Darauf kann ich mit der Karte zugreifen.
Und ich kann Nachrichten bald -- das ist

00:16:21.940 --> 00:16:25.790
auch noch nicht freigeschaltet -- in der
sicheren Kommunikation der

00:16:25.790 --> 00:16:31.779
Leistungserbringer empfangen und absenden
im Namen der Arztpraxis, mit der ich das

00:16:31.779 --> 00:16:36.840
gemacht habe. Ja, also anfangs werden da
glaube ich PDFs hin- und hergeschickt.

00:16:36.840 --> 00:16:41.200
PDF-Fraud, glaube ich, ist noch ein
anderer Talk. Wo ist das grundlegende

00:16:41.200 --> 00:16:48.030
Problem? Es gibt drei Anbieter und die
verschicken im Prinzip auf die gleiche Art

00:16:48.030 --> 00:16:53.070
und Weise diese Karten. Also, bei dem
Anbieter, bei dem wir das geprüft haben,

00:16:53.070 --> 00:16:58.040
war das problemlos möglich sowohl die
Anfrage entsprechend zu stellen, als auch

00:16:58.040 --> 00:17:05.101
die Auslieferung entsprechend umzuleiten,
um an diese Karte zu kommen. medisign hat

00:17:05.101 --> 00:17:09.760
allein schon 80 000 Institutions-Ausweise
-- Stand vor drei Monaten ungefähr --

00:17:09.760 --> 00:17:16.650
ausgegeben. In den Spezifikationen der
Gematik steht drin, dass möglicherweise

00:17:16.650 --> 00:17:27.220
kompromittierte Zertifikate zurückgezogen
werden müssen. Letztlich ist es dazu

00:17:27.220 --> 00:17:31.800
gekommen, weil die Kassenärztliche
Bundesvereinigung, die ja dafür zuständig

00:17:31.800 --> 00:17:35.470
ist, diese Prozesse zu spezifizieren,
diesen Prozess eben nicht richtig

00:17:35.470 --> 00:17:40.220
spezifiziert hat. Der Trust Service
Provider, in dem Fall mediSign, hat Fehler

00:17:40.220 --> 00:17:45.809
bei der Umsetzung gemacht. Und die Gematik
als übergeordnete Behörde hat diesen

00:17:45.809 --> 00:17:50.510
Prozess und diesen Service Provider so
zugelassen und eben nicht geguckt, was der

00:17:50.510 --> 00:17:56.370
wirklich macht. Aber ist ja nur EIN
Ausweis. Nehmen wir den nächsten

00:17:56.370 --> 00:18:05.460
Heilberufsausweis oder Arztausweis. Wenn
man den beantragen möchte, braucht man

00:18:05.460 --> 00:18:10.030
eine persönliche Identifikation, bevor
dieser Ausweis geliefert wird. Braucht

00:18:10.030 --> 00:18:14.559
man? Braucht man nicht.
<i>vereinzeltes Lachen im Publikum</i>

00:18:14.559 --> 00:18:20.220
Es gibt da das sogenannte Bankident-
Verfahren. Erkläre ich auch gern kurz. Ein

00:18:20.220 --> 00:18:26.680
Arzt, eine Ärztin geht irgendwann zu ihrer
Bank. Die Deutsche Apo-Bank bietet das an.

00:18:26.680 --> 00:18:31.840
Die ist auch gesellschaftlich mit der
Gematik verbandelt und öffnet dort ein

00:18:31.840 --> 00:18:36.740
Konto oder schaut noch mal so vorbei,
zeigt ihren Personalausweis oder Reisepass

00:18:36.740 --> 00:18:43.680
und hat dann den ersten Teil dieses Ident-
Verfahrens durchlaufen. Ein Angreifer geht

00:18:43.680 --> 00:18:50.750
wieder zu einer dieser Trust-Service-
Provider, gibt die Daten der Ärztin ein.

00:18:50.750 --> 00:18:57.990
Die Bank sagt: Jo, die kennen wir. Die hat
bei uns ein Konto. Und die Ärztekammer

00:18:57.990 --> 00:19:03.280
sagt: Jo, die kennen wir, die ist bei uns
Ärztin für Anästhesiologie, was auch

00:19:03.280 --> 00:19:11.220
immer. Was macht medisign dann? Stellt
einen Arztausweis aus und schickt ihn zu.

00:19:11.220 --> 00:19:17.920
Auch hier wieder Lieferung an
Lieferadresse. Alles bequem. Kein Problem.

00:19:17.920 --> 00:19:26.000
Der PIN wird netterweise auch gleich dahin
geschickt. Und so konnten wir den

00:19:26.000 --> 00:19:29.059
Heilberufe Ausweis dann auch online
freischalten. Da gibt's dann so'n ein

00:19:29.059 --> 00:19:32.370
kleines Tool, was man sich runterladen
muss von der Homepage und dann hat man so

00:19:32.370 --> 00:19:39.340
ein gültiges, Benutzer-Zertifikat. Dafür
ist eine Unterschrift notwendig. Ich habe

00:19:39.340 --> 00:19:42.820
eben schon davon gesprochen, wo wir die
Arztnummern her hatten. Die

00:19:42.820 --> 00:19:45.559
Arztunterschrift ist da auch meistens
drunter, wenn man sie überhaupt lesen

00:19:45.559 --> 00:19:49.680
kann. In vielen Fällen ist es auch so, zum
Beispiel bei der Postabholung, dass die

00:19:49.680 --> 00:19:53.711
Original-Arztunterschrift auch nirgendwo
hinterlegt ist. Das heißt, da ist halt ein

00:19:53.711 --> 00:19:56.460
so ein Krakeel drunter und ... also meine
Unterschrift kann man wirklich nicht

00:19:56.460 --> 00:20:05.380
lesen. Das ist nicht mein Name. Das wäre
relativ sehr leicht zu imitieren. Auch

00:20:05.380 --> 00:20:11.530
hier wieder, wo ist das Problem? Es gibt
zwei Anbieter, gibt insgesamt vier

00:20:11.530 --> 00:20:17.980
Verifikationsverfahren. Postident und
Kammerident sind nach den Spezifikationen

00:20:17.980 --> 00:20:24.720
so in Ordnung. Die beiden Verfahren, in
denen eine zweiseitige Identifikation

00:20:24.720 --> 00:20:30.730
stattfindet, klappen nicht so gut. Das ist
einmal das Bankident-Verfahren und zum

00:20:30.730 --> 00:20:34.890
anderen das Vorab-Kammerident-Verfahren,
bei dem auch eine zweiseitige

00:20:34.890 --> 00:20:38.630
Identifikation stattfindet. Das heißt, der
Arzt geht irgendwo hin, zeigt seinen

00:20:38.630 --> 00:20:42.100
Ausweis, und irgendwann später kommt
jemand online und sagt: Hallo, ich bin

00:20:42.100 --> 00:20:47.280
dieser Arzt oder diese Ärztin, und es gibt
keine Möglichkeit, diese beiden

00:20:47.280 --> 00:20:50.231
Identitäten zusammenzuführen und
abzugleichen, ob derjenige, der sich

00:20:50.231 --> 00:20:54.390
online einklickt, wirklich derjenige ist,
der seinen Ausweis hochgehalten hat. Das

00:20:54.390 --> 00:20:59.861
sind bei medisign 31 Prozent der
Heilberufsausweise, weil es eben so ein

00:20:59.861 --> 00:21:03.090
bequemes Verfahren ist. Bei den anderen
Providern wissen wir nicht, wie viele

00:21:03.090 --> 00:21:11.250
Ausweise über dieses Verfahren ausgestellt
wurden. Und damit zu unserem Spezialisten

00:21:11.250 --> 00:21:18.991
für die elektronische Gesundheitskarte.
Martin: Damit hat man also gezeigt, wie

00:21:18.991 --> 00:21:22.460
man auf diese zwei Karten sehr einfach
zugreifen kann. Also wie man sie sich

00:21:22.460 --> 00:21:27.059
erschleichen kann, diese Karten, auf einen
anderen Namen. Aber es fehlte die

00:21:27.059 --> 00:21:31.860
Gesundheitskarte in diesem, sagen wir
Quartett an Identitäten. Ich glaube, ich

00:21:31.860 --> 00:21:35.070
hatte damals bei Google eingegeben:
Gesundheitskarte erschleichen oder so.

00:21:35.070 --> 00:21:39.890
Macht man ja mal. Dann sind wir auf den
Experten für Erschleichen von

00:21:39.890 --> 00:21:43.020
Gesundheitskarten gestoßen. <i>lacht</i> Der
André Zilch, und der wird euch jetzt mal

00:21:43.020 --> 00:21:48.340
erzählen, wie das geht.
André: Danke. Die Gesundheitskarte ist

00:21:48.340 --> 00:21:52.261
genau das Aquivalent zu dem
Institutionsausweis und zu dem

00:21:52.261 --> 00:21:57.040
Heilberufeausweis für die Versicherten.
Viele von Ihnen werden es kennen und es

00:21:57.040 --> 00:22:00.960
ist der zentrale Zugangsschlüssel für die
Versicherten in diese Telematik-

00:22:00.960 --> 00:22:05.020
Infrastruktur. Eine Frage, die in den
vergangenen Jahren immer wieder diskutiert

00:22:05.020 --> 00:22:10.080
wurde, ist: Ist denn die Gesundheitskarte
Identitätsnachweis? Ist es kein

00:22:10.080 --> 00:22:13.260
Identitätsnachweis? Bestätigt sie die
rechtliche Identität oder ist das einfach

00:22:13.260 --> 00:22:19.140
nur so etwas wie eine Kundenkarte? Welche
Auswirkungen hat es denn, wenn es kein

00:22:19.140 --> 00:22:22.530
Identitätsnachweis wäre? Spielt das eine
Rolle? Jeder Arzt kennt seinen

00:22:22.530 --> 00:22:30.970
Versicherten. Ist das tatsächlich so oder
hat es eine andere Funktion? Vor der

00:22:30.970 --> 00:22:35.350
elektronischen Gesundheitskarte gab es die
sogenannte Krankenversicherten-Karte. Die

00:22:35.350 --> 00:22:40.420
hatte allein die Aufgabe, zur
Abrechnungszwecken zu dienen. Damit

00:22:40.420 --> 00:22:47.450
konnten Ärzte gegenüber den Kassen
letztendlich ihre Rechnungen stellen und

00:22:47.450 --> 00:22:53.110
so wurden sie bezahlt. Bei der
Gesundheitskarte ist es als äquivalent zu

00:22:53.110 --> 00:22:57.620
Heilberufeausweisen oder auch zur
Institutionskarte und ist der zentrale

00:22:57.620 --> 00:23:02.410
Zugangsschlüssel für die Versicherten ins
Gesundheitswesen. Im Rahmen der

00:23:02.410 --> 00:23:06.740
Digitalisierung werden immer mehr
Leistungen im Gesundheitswesen

00:23:06.740 --> 00:23:12.430
arbeitsteilig erbracht und immer mehr
digitalisiert. Im Rahmen der Einführung

00:23:12.430 --> 00:23:19.960
der elektronischen Gesundheitskarte gab es
auch die sogenannten Paragraph 291a SGB 5

00:23:19.960 --> 00:23:22.890
Anwendung, das heißt medizinische
Anwendung: Was soll mit der

00:23:22.890 --> 00:23:26.660
Gesundheitskarte noch alles gemacht
werden? Es soll so weit gehen, dass sogar

00:23:26.660 --> 00:23:34.520
der Ort gespeichert wird, wo der Patient
die Zustimmung zu seiner Organspende

00:23:34.520 --> 00:23:40.950
abgelegt hat. Also nicht die Zustimmung
selbst, sondern allein: Wo ist der Ort?

00:23:40.950 --> 00:23:45.870
Und natürlich, wir haben es vorhin schon
gehört, der zentrale Zugangsschlüssel für

00:23:45.870 --> 00:23:53.820
die elektronische Patientenakte. Darüber
hinaus bleiben und kommen Anwendungen

00:23:53.820 --> 00:23:57.940
hinzu, wie zum Beispiel bei Direkt-
Krankenkassen, die gar keine

00:23:57.940 --> 00:24:01.040
Geschäftsstellen mehr haben. Die müssen ja
irgendwie elektronisch mit ihren

00:24:01.040 --> 00:24:05.030
Versicherten kommunizieren. Die
Anforderung, wir hatten es vorhin gehört,

00:24:05.030 --> 00:24:09.590
ist: Selbst in Einzelfällen darf es nicht
möglich sein, auf die Gesundheitsdaten

00:24:09.590 --> 00:24:14.640
zuzugreifen. Aber es gibt solche
Instrumente wie eine Patienten-Quittung.

00:24:14.640 --> 00:24:19.240
Und in dieser Patienten-Quittung steht
drin, was die Krankenkassen für die

00:24:19.240 --> 00:24:28.860
einzelnen Versicherten in den vergangenen
18 Monaten gezahlt haben. Hier kommen wir

00:24:28.860 --> 00:24:35.580
auf das zurück, was Martin anfangs sagte.
Die Identität des Verfahrens-Betroffenen

00:24:35.580 --> 00:24:40.480
muss vor Übermittlung von Sozialdaten
festgestellt werden. Das ist ein ganz

00:24:40.480 --> 00:24:44.710
zentraler Punkt und der sich ganz
wesentlich davon unterscheidet, was wir

00:24:44.710 --> 00:24:51.620
aus anderen Bereichen kennen. In anderen
Bereichen kann es ausreichend sein, dass

00:24:51.620 --> 00:24:56.520
man im Nachhinein feststellt: Ach du liebe
Zeit, da ist ja etwas schief gelaufen, und

00:24:56.520 --> 00:25:00.500
wir korrigieren das. Wir gleichen das
Konto aus, wir ziehen das alles wieder

00:25:00.500 --> 00:25:06.940
gerade. Hier, bei der Übermittlung von
Sozialdaten, von Gesundheitsdaten, wird

00:25:06.940 --> 00:25:12.870
Wissen übermittelt. Es geht Wissen aus den
Krankenkassen raus. Was haben die

00:25:12.870 --> 00:25:17.420
Patienten, welche Leistungen wurden
erbracht? Dieses Wissen ist nicht

00:25:17.420 --> 00:25:22.620
zurückzunehmen. Wenn es einmal draußen ist
und in den Händen der falschen Person

00:25:22.620 --> 00:25:29.040
gelangt ist, ist es weg. Deswegen sind so
klassische Verfahren und Drohpotenziale:

00:25:29.040 --> 00:25:33.050
Ich kann hinterher feststellen, wem
irgendwelche Informationen zugegangen

00:25:33.050 --> 00:25:37.590
sind, hier nicht hilfreich. Als
verschärfende Maßnahme kommen ... oder

00:25:37.590 --> 00:25:41.440
verschärfendes Element kommt hinzu, dass
eben in Einzelfällen schon verhindert

00:25:41.440 --> 00:25:45.740
werden muss, dass man auf diese Daten
zugreift. Und deswegen sagen die

00:25:45.740 --> 00:25:50.400
Datenschützer: Es müssen Verfahrenswege
vorgegeben werden, die gar nicht erst die

00:25:50.400 --> 00:25:55.460
Gefahr bergen, gegen das soziale Geheimnis
zu verstoßen. Das heißt, diese Verfahren

00:25:55.460 --> 00:25:59.980
müssen wirklich wasserdicht sein, sodass
man von vornherein ausschließen kann, dass

00:25:59.980 --> 00:26:05.461
diese Informationen an die Unberechtigten
ausgegeben werden. Weil das so ein

00:26:05.461 --> 00:26:10.640
zentrales Element ist, wurde schon sehr
früh bei der Einführung der

00:26:10.640 --> 00:26:15.580
Gesundheitskarte, bzw. das war noch vorher,
nämlich bei der Definition der

00:26:15.580 --> 00:26:21.240
Sicherheitsarchitektur bereits im Jahr
2003 und 2004, festgelegt, dass einerseits

00:26:21.240 --> 00:26:27.070
der Schutzbedarf sehr hoch ist. Deutlich
höher als zum Beispiel bei Finanzdaten.

00:26:27.070 --> 00:26:33.730
Und es wurde auch bestimmt, dass
Identitäten, die als Basis für

00:26:33.730 --> 00:26:39.340
elektronische Zertifikate dienen, genau
auf demselben Schutzbedarfsniveau erfasst

00:26:39.340 --> 00:26:43.310
und bestätigt werden müssen wie diese
Zertifikate. Das macht ja Sinn, weil das

00:26:43.310 --> 00:26:57.100
schwächste Glied bestimmt die Kette.
Daraufhin wurde festgelegt, dass die

00:26:57.100 --> 00:27:00.610
Verfahren wie Krankenkassen die alten
Krankenversicherten-Karten ausgegeben

00:27:00.610 --> 00:27:05.240
haben, dass das nicht mehr ausreichend
ist. Nämlich damals wurden einfach diese

00:27:05.240 --> 00:27:10.880
Versicherten-Karten auf Zuruf "Meine Karte
ist defekt, ich habe verloren, ich habe

00:27:10.880 --> 00:27:15.370
meine Krankenkasse gewechselt", wurden
diese Karten neu ausgegeben, und hier

00:27:15.370 --> 00:27:18.640
wurde bestimmt, dass die Fachverfahren
zwischen dem Versicherten und der

00:27:18.640 --> 00:27:22.640
Krankenkasse auf das neue Niveau
anzupassen sind und es wurden explizit die

00:27:22.640 --> 00:27:28.990
Worte Identifizierung und Registrierung
genutzt. Bei den ganzen Aufwendungen, die

00:27:28.990 --> 00:27:33.210
man im Rahmen der letzten Jahre
durchgeführt hat, hat man einen sehr

00:27:33.210 --> 00:27:38.410
starken Fokus auf die technische
Realisierbarkeit gelegt. Die

00:27:38.410 --> 00:27:42.070
organisatorischen Prozesse und Abläufe
sind dort leider an manchen Stellen nicht

00:27:42.070 --> 00:27:50.240
so umgesetzt worden, wie es vorgegeben
war. Im Jahr 2016 hat die CDU-

00:27:50.240 --> 00:27:57.970
Bundestagsfraktion einen Kongress
durchgeführt zum Thema eHealth. Und in

00:27:57.970 --> 00:28:03.250
seinem Beitrag zu diesem Thema hat Herr
Kauder damals gesagt: "Es reicht ein

00:28:03.250 --> 00:28:09.120
einziger Vorgang, um das Vertrauen der
Menschen in dieses digitale

00:28:09.120 --> 00:28:15.940
Gesundheitswesen erheblich zu
erschüttern." Und weiter hat er

00:28:15.940 --> 00:28:21.630
ausgeführt: "Davon wird der Erfolg
abhängen, diese Digitalisierung im

00:28:21.630 --> 00:28:27.370
Gesundheitswesen, dass die Sicherheit
gelingt." Die ganzen Vorteile sind nett

00:28:27.370 --> 00:28:33.720
und schön und erstrebenswert. Aber wenn
die Sicherheit nicht gelingt, dann wird es

00:28:33.720 --> 00:28:42.690
keine Akzeptanz in der Bevölkerung finden.
Wir haben uns das Ganze mal etwas genauer

00:28:42.690 --> 00:28:48.480
angeguckt. Martin sagte, das Thema
elektronische Gesundheitskarte begleitet

00:28:48.480 --> 00:28:56.390
mich selbst schon einige Jahre. Hier sieht
man, wann in welchem Jahr es mir gelungen

00:28:56.390 --> 00:29:01.610
ist, mit einfachsten organisatorischen
Anläufen jeweils in Besitz einer

00:29:01.610 --> 00:29:13.020
Gesundheitskarte zu gelangen. 2014, 2015,
2016, 2017 -- letztes Jahr habe ich darauf

00:29:13.020 --> 00:29:22.840
verzichtet -- und dieses Jahr wieder. Die
Angriffsszenarien, die wir durchgeführt

00:29:22.840 --> 00:29:28.200
haben, unterscheiden sich nur unwesentlich
gegenüber dem, wie es anfangs war. Reichte

00:29:28.200 --> 00:29:32.490
es anfangs aus, dass ich einfach irgendwo
bei einer Krankenkasse angerufen habe und

00:29:32.490 --> 00:29:40.570
sagte: "Ich bin umgezogen" wurde mir eine
neue Karte zugeschickt. Das hat sich über

00:29:40.570 --> 00:29:46.200
einige Jahre durchgezogen. Nun ist es
etwas komplizierter geworden. Wir müssen

00:29:46.200 --> 00:29:50.290
eine E-Mail schreiben.
<i>Lachen im Publikum</i>

00:29:50.290 --> 00:29:57.020
Und wesentlich um in diesen Besitz der
Karte zu gelangen, ist es, dass wir die

00:29:57.020 --> 00:30:03.720
Adresse ändern. Es gibt zwei wesentliche
Angriffsszenarien, die aus unserer Sicht

00:30:03.720 --> 00:30:09.650
möglich sind. Nämlich einerseits die
Adressänderung durch einen Versicherten

00:30:09.650 --> 00:30:16.000
und die Adressänderung durch Arbeitgeber.
Es gibt ein Meldeverfahren, bei dem

00:30:16.000 --> 00:30:21.570
Arbeitgeber Informationen über ihre
Arbeitnehmer an die

00:30:21.570 --> 00:30:29.540
Sozialversicherungsträger senden. In einer
Richtlinie, die veröffentlicht wurde

00:30:29.540 --> 00:30:40.200
Anfang des Jahres, wurde beschrieben, dass
Daten, die über den Arbeitgeber an die

00:30:40.200 --> 00:30:44.020
Versicherung, Sozialversicherungsträger
gesendet werden, als wahr angenommen

00:30:44.020 --> 00:30:51.110
werden. Hinzu, man muss ja einfach an der
Stelle berücksichtigen, wenn man sich die

00:30:51.110 --> 00:30:56.580
entsprechenden Richtlinien vom BSI
ansieht, wird dort formuliert, dass

00:30:56.580 --> 00:31:02.830
identitätsbestätigende Stellen besondere
Sicherheitsmaßnahmen durchzuführen haben.

00:31:02.830 --> 00:31:08.200
Sie müssen geschult sein müssen, müssen
ein Sicherheitskonzept haben und das --

00:31:08.200 --> 00:31:13.150
unterstellt man -- wird vom Arbeitgeber
automatisch durchgeführt. Wir haben darauf

00:31:13.150 --> 00:31:17.500
verzichtet, diesen Angriff durchzuführen.
Wir haben uns erst mal wieder auf die

00:31:17.500 --> 00:31:22.390
Adressänderung durch den Versicherten
fokussiert. Wir haben uns mal angeguckt:

00:31:22.390 --> 00:31:30.230
Wie macht es denn die AOK Hessen? Und wie
Sie sehen: Wir müssen eine E-Mail

00:31:30.230 --> 00:31:41.679
schreiben. Und es heißt: "aus
Datenschutzgründen", "und kein Missbrauch

00:31:41.679 --> 00:31:44.620
durch Dritte Erfolgen kann", "nur
schriftlich oder persönlich zu

00:31:44.620 --> 00:31:50.850
übermitteln", "entweder in einem Brief
oder Fax oder per eingescannten Brief in

00:31:50.850 --> 00:31:59.780
einer E-Mail". Der Sicherheitsgewinn eines
eingescannten Brief per E-Mail zu

00:31:59.780 --> 00:32:07.090
verschicken ist gering bis null. Und es
ist nicht alleine damit getan, dass ich

00:32:07.090 --> 00:32:11.290
dann einfach eine Adresse ändere. Nein,
ich kann auch noch direkt online der

00:32:11.290 --> 00:32:15.240
Einfachheit halber trotz bestehenden
Versicherten-Stammdaten-Abgleich über den

00:32:15.240 --> 00:32:21.500
auch eine Adressänderung möglich wäre,
kann ich mir gleich eine neue

00:32:21.500 --> 00:32:25.550
Gesundheitskarte bestellen. Das heißt hier
haben wir eine ganz einfache Möglichkeit,

00:32:25.550 --> 00:32:31.430
eine E-Mail zu schicken mit einem völlig
unverbindlichen Schreiben. Und dann,

00:32:31.430 --> 00:32:36.201
wenige Tage später, kommt an eine neue
Adresse eine Gesundheitskarte und diese

00:32:36.201 --> 00:32:40.919
Gesundheitskarte, wie ich vorhin sagte,
ist der zentrale Zugangspunkt für die

00:32:40.919 --> 00:32:47.210
gesamte Telematik-Infrastruktur. Das
heißt, einer der Schwachpunkte ist die

00:32:47.210 --> 00:32:52.150
nicht sicherheitsrelevante oder nicht
entsprechend der Sicherheitsanforderungen

00:32:52.150 --> 00:32:55.550
durchgeführte Adressänderung durch den
Versicherten selbst.

00:32:55.550 --> 00:32:59.940
Martin: Was dazu noch zu sagen ist, gehen
wir nochmal eine Folie zurück. Wir haben

00:32:59.940 --> 00:33:02.970
ja die Aussage des Bundesamts für
Gesundheit, dass diese Telematik-

00:33:02.970 --> 00:33:05.530
Infrastruktur insbesondere deswegen jetzt
unbedingt eingeführt werden muss, weil das

00:33:05.530 --> 00:33:09.300
Fax ja so unsicher ist. Wir wollen was,
was zumindest sicherer ist als das Fax.

00:33:09.300 --> 00:33:12.600
Damit hat man auch schon eine
Pressemitteilung ausgegeben und die

00:33:12.600 --> 00:33:15.940
Ärzteblätter haben geschrieben: Telematik-
Infrastruktur, diese neue Gesundheitsnetz,

00:33:15.940 --> 00:33:22.000
ist sicherer als das Fax. Wenn man das
unbedingt will, gut, kann man sagen. Das

00:33:22.000 --> 00:33:27.039
Lustige ist: Wir haben auch bei Christians
Beantragung, die Sachen immer schön per

00:33:27.039 --> 00:33:31.030
Fax abgeschickt. Genauso hier. (flüsternd)
Wir müssen uns beeilen.

00:33:31.030 --> 00:33:37.910
André: Jetzt haben wir eine Aussage, eine
AOK, es ist nicht die AOK Hessen, es ist

00:33:37.910 --> 00:33:42.710
die AOK Rheinland-Pfalz, die gesagt hat:
"Im Sinne kundenorientierte Prozesse

00:33:42.710 --> 00:33:46.150
müssten Krankenkassen im Rahmen einer
vertrauensvolle Kundenbeziehung

00:33:46.150 --> 00:33:52.620
Postadressen grundsätzlich als wahr
annehmen." Okay, kann man machen. Die

00:33:52.620 --> 00:33:59.970
Gesundheitsministerin aus Rheinland-Pfalz
sagte, dass, bevor nun auf medizinische

00:33:59.970 --> 00:34:04.590
Daten zugegriffen wird, unbedingt vorher
eine Identitätsprüfung stattfinden muss.

00:34:04.590 --> 00:34:09.620
Wir wissen, dass nächstes Jahr Zugriff auf
elektronische Patientenakten stattfinden

00:34:09.620 --> 00:34:14.460
soll. Nicht einer von Ihnen hat irgendeine
Identitätsprüfung für seine Krankenkasse

00:34:14.460 --> 00:34:22.049
durchgeführt. Das hat diese Anfrage, diese
Anfrage hat das ZDF an die

00:34:22.049 --> 00:34:29.590
Gesundheitsministerin gestellt und es kam,
die Antwort war: "Das wussten die

00:34:29.590 --> 00:34:34.359
allerdings auch schon vorher." Und diese
Aussage, diese Aussage war nicht von

00:34:34.359 --> 00:34:41.950
diesem Jahr, sondern die ist von 2015.
Geändert hat sich bis jetzt wenig. Gas

00:34:41.950 --> 00:34:57.050
geben. Soll ich das überspingen? Wir haben
so viele. Also, zum Thema Gesundheitskarte

00:34:57.050 --> 00:35:01.520
und Identitätsnachweis noch eins: Es wurde
gesagt, dass die Identitätsnachweis ein

00:35:01.520 --> 00:35:04.600
eingeschränkt, die Gesundheitskarte ein
eingeschränkter Identitätsnachweis ist.

00:35:04.600 --> 00:35:08.030
Was ist das? Vorname zu 60 Prozent?
<i>Vereinzeltes Lachen</i>

00:35:08.030 --> 00:35:12.050
Einen eingeschränkten Identitätsnachweis
gibt es nicht. Es gibt entweder nur

00:35:12.050 --> 00:35:16.790
bestätigt oder nicht finden. Und auch ein
PIN ändert an dieser Aussage der

00:35:16.790 --> 00:35:19.650
Identitätsbestätigung nichts. Und damit
die Gesundheitskarte eingesetzt werden

00:35:19.650 --> 00:35:24.119
kann, muss das Ganze mit einem
ordnungsgemäßen Identitätsnachweis

00:35:24.119 --> 00:35:34.460
verknüpft sein. Wenn diese...
Martin: Sorry, ich muss kurz vorgehen. Wir

00:35:34.460 --> 00:35:38.460
haben nämlich so viele Dinge zu zeigen,
wir heben uns die Folie für die Fragen

00:35:38.460 --> 00:35:41.400
auf, wenn da halt konkret Fragen dazu
sind. Und ich würde sagen, wir gehen jetzt

00:35:41.400 --> 00:35:44.040
zum zweiten Teil, zum letzten Teil, zum
vierten Teil, zum Korrektor und kommen

00:35:44.040 --> 00:35:47.450
dann nochmal auf das, was wir heute
eigentlich gelernt haben.

00:35:47.450 --> 00:35:51.960
Christian: Jetzt könnte man uns vorwerfen,
wir hätten ja nur ein Teil der TI uns

00:35:51.960 --> 00:35:58.930
besorgt und uns angeschaut. Das Herzstück,
also hat es unser Gesundheitsminister mal

00:35:58.930 --> 00:36:03.230
bezeichnet, der Connector. Dieses schöne
Gerät verbindet praktisch die Praxis mit

00:36:03.230 --> 00:36:07.830
der TI. Und um uns das genauer
anzuschauen, muss man es natürlich auch

00:36:07.830 --> 00:36:12.120
bestellen, erstmal. Die Dinger sind
allerdings meistens nur im Paket zu haben,

00:36:12.120 --> 00:36:16.520
ist sauteuer, so knapp zweieinhalb Tausend
Euro. So viel wollte ich als Hobby-IT-Sec-

00:36:16.520 --> 00:36:22.030
Mensch jetzt doch nicht investieren. Aber
wir haben einen Anbieter gefunden, der das

00:36:22.030 --> 00:36:27.130
Ganze, auch den Konnector, einzeln
verkauft. Das war ein relativ einfaches

00:36:27.130 --> 00:36:34.270
Prozedere, ein einseitiges Fax an die
Firma. Dann hat es ein wenig gedauert.

00:36:34.270 --> 00:36:38.000
Also seriously, lieben beide Firmen, drei
Monate Lieferzeit, das gibt nur einen

00:36:38.000 --> 00:36:40.550
Stern, und deswegen haben wir euch auch
die Disclosure-Frist ein wenig gekürzt.

00:36:40.550 --> 00:36:50.840
Dann wurde dieser Konnector mit der
sicheren TNT-Express-Lieferkette geliefert

00:36:50.840 --> 00:36:55.880
an eine vertrauenswürdige Person,
natürlich wie immer.

00:36:55.880 --> 00:36:58.560
<i>Lachen</i>
<i>Applaus</i>

00:36:58.560 --> 00:37:05.230
M: Ja, damit hatten wir sie alle, das
Quartett, auf dem die Sicherheit dieser

00:37:05.230 --> 00:37:09.080
Telematikinfrastruktur beruht. Die
zentrale Sicherheitsfunktion oder

00:37:09.080 --> 00:37:11.890
Sicherheit dieser Telematikinfrastruktur
beruht auf der Sicherheit dieser

00:37:11.890 --> 00:37:14.820
Kartenherausgabeprozesse. Wir haben
gesehen, die sind alle etwas

00:37:14.820 --> 00:37:19.210
verbesserungsbedürftig. Wir konnten uns
ohne Probleme all diese Dinge verschaffen,

00:37:19.210 --> 00:37:25.109
auf Identität anderer Menschen, anderer
Ärzte. Was bedeutet das? Naja, zum ersten

00:37:25.109 --> 00:37:29.440
Mal bedeutet das, dass diese großen
Hoffnungen bzw. Versprechungen, die

00:37:29.440 --> 00:37:34.160
gemacht worden sind, dass die wohl nicht
viel wert sind bzw. dass die nicht ehrlich

00:37:34.160 --> 00:37:38.430
waren. Versprechungen wie der Gematik,
dass wir europaweit ein einzigartiges

00:37:38.430 --> 00:37:43.609
Sicherheitsniveau hätten oder auch des
Bundesverbands der Vertragspsychologen,

00:37:43.609 --> 00:37:46.340
die sagen, ja, der Chaos Computer Club,
dem ist es ja auch nicht gelungen, da

00:37:46.340 --> 00:37:49.280
einzudringen, ja deswegen ist es sicher.
Ich frag mich auch, woher die so ein

00:37:49.280 --> 00:37:53.240
Statement nehmen, ja. Also so etwas sollte
niemand in die Welt setzen. Das ist ganz

00:37:53.240 --> 00:37:56.820
gefährlich.
<i>Applaus</i>

00:37:56.820 --> 00:38:05.850
M: Das Bundesministerium für Gesundheit
ist natürlich absolut von der Sicherheit

00:38:05.850 --> 00:38:09.570
überzeugt. Wir wissen ja alle: Absolute
Sicherheit gibt es nicht. Und deswegen,

00:38:09.570 --> 00:38:14.000
das sagen auch andere, muss man doch, wenn
man hier etwas kommuniziert, was Nutzen

00:38:14.000 --> 00:38:18.820
hat, aber auch die Risiken bitte betonen
und nicht nur von Absolutem reden, sondern

00:38:18.820 --> 00:38:22.960
sagen: Gut, es kann etwas passieren. Wir
haben das Risiko eingeschätzt, wir haben

00:38:22.960 --> 00:38:26.640
es quantifiziert, und wenn etwas passiert,
dann sind wir vorbereitet. Wir können

00:38:26.640 --> 00:38:30.480
diese Risiken mitigieren. Wir können dann
den Schaden ausgleichen, etwas derart,

00:38:30.480 --> 00:38:34.910
also wie der Versicherte oder der Nutzer,
der Patient hier geschützt werden kann.

00:38:34.910 --> 00:38:39.100
Das fehlt völlig bei dieser Absolutheit-
beherrschten Diskussion von: Wir sind ja

00:38:39.100 --> 00:38:42.349
absolut sicher, wir sind Weltspitze. Das
System weltweit, sagen die Hersteller

00:38:42.349 --> 00:38:47.970
dann, einzigartige Sicherheit. Wir haben
ja gesehen, soweit, ich glaube, vielleicht

00:38:47.970 --> 00:38:52.270
in Leipzig, vielleicht Spitze, oder, ja.
Das Spannende ist auch, dass diese Fehler,

00:38:52.270 --> 00:38:56.420
die wir hier gesehen haben, die sind nicht
neu. Die Bundesdruckerei weiß schon sehr

00:38:56.420 --> 00:39:01.100
lange, das veröffentlichen die in ihrem
eigenen, in einem eigenen Expertise, wo

00:39:01.100 --> 00:39:03.359
sie ihre eigenen Produkte wieder anbieten
wollen, dass es in der

00:39:03.359 --> 00:39:07.260
Telematikinfrastruktur ja gar nicht so
sicher ist. Die Bundesdruckerei sagt, dass

00:39:07.260 --> 00:39:11.420
diese postalischen Ausgabewege, dieses
Verschicken von irgendwelchen hoch-

00:39:11.420 --> 00:39:14.450
sicheren Karten, dass das ja gar nicht so
gut ist mit der Deutschen Post, die Sachen

00:39:14.450 --> 00:39:17.700
einfach durch die Luft zu schicken.
Einfach ein Nachsendeauftrag reicht, und

00:39:17.700 --> 00:39:20.850
schon hab ich die Dinge bei mir, an meine
Adresse. Und das weiß die Bundesdruckerei.

00:39:20.850 --> 00:39:25.990
Und die gibt trotzdem diese Karten heraus.
Also, da muss man sich fragen: Wenn das

00:39:25.990 --> 00:39:30.710
Wissen da ist, wo ist die Verantwortung?
Und dann wissen wir, dass es nicht nur die

00:39:30.710 --> 00:39:33.560
Patientenakte ist oder die jetzt
spezifizierten Dienste, die nach

00:39:33.560 --> 00:39:36.910
Sozialgesetzbuch kommen sollen, die wir
alle eben gehört haben. Ganz viele

00:39:36.910 --> 00:39:41.210
zusätzliche private Anbieter wollen diese
Telematikinfrastruktur nutzen, um darüber

00:39:41.210 --> 00:39:44.820
mit ihren Heilberuflern zu sprechen, um
darüber die Versicherten, mit denen sie

00:39:44.820 --> 00:39:48.400
sprechen wollen, diese zu identifizieren.
Das funktioniert doch alles nicht, wenn

00:39:48.400 --> 00:39:53.540
wir diese Basisinfrastruktur schon so
kaputt vorfinden. Die Idee ist ja gut.

00:39:53.540 --> 00:39:57.550
Aber da müssen wir sie auch richtig
machen. Aber da kommen wir zu den

00:39:57.550 --> 00:40:00.660
positiven Aspekten. Denn bevor wir zu dem
Gesamtfazit kommen, soll man ja sagen, es

00:40:00.660 --> 00:40:03.930
gibt ja auch positive Aspekte. Und da
möchte ich dem André Zirlich nochmal das

00:40:03.930 --> 00:40:06.060
Wort geben.
A:Also wir sehen, dass die wesentlichen

00:40:06.060 --> 00:40:08.810
gesetzlichen Rahmenbedingungen so
geschaffen wurden, dass auch eine

00:40:08.810 --> 00:40:13.150
Digitalisierung stattfinden kann. Und die
Gematik hat ganz viel richtig

00:40:13.150 --> 00:40:17.280
spezifiziert. Und wir finden es auch
richtig, dass die Infrastruktur durch

00:40:17.280 --> 00:40:23.320
staatliche Stellen kontrolliert wird und
dass Anbieter, private Anbieter, die diese

00:40:23.320 --> 00:40:29.080
Infrastruktur nutzen sollen, um weitere
Dienste anzubieten. Denn ohne diese

00:40:29.080 --> 00:40:34.430
Infrastruktur stehen die privaten Anbieter
alle vor derselben Frage, die durch kleine

00:40:34.430 --> 00:40:38.700
Unternehmen einfach nicht zu leisten sind.
Wie schaffe ich es, real existierende

00:40:38.700 --> 00:40:44.220
Personen sicher, zuverlässig,
rechtsverbindlich in die digitale Welt

00:40:44.220 --> 00:40:48.440
rein zu bekommen? Das ist einmal aufwendig
und zum anderen für die Betroffene oder

00:40:48.440 --> 00:40:51.940
diejenigen, die mitmachen wollen, immer
lästig, weil wir immer irgendwo hinlaufen.

00:40:51.940 --> 00:40:55.260
Deswegen ist es richtig. Jeder von Ihnen
hat auch nur einen Personalausweis.

00:40:55.260 --> 00:41:03.200
Hoffentlich. Genau dieses, dieses zentrale
Element, eines, einer digitalen Identität

00:41:03.200 --> 00:41:06.810
für das Gesundheitswesen zu haben und
diese für alle Anwendungen zu nutzen. Das

00:41:06.810 --> 00:41:17.430
ist genau richtig. Und als notwendige
Maßnahmen zur Schadensbegrenzung dessen,

00:41:17.430 --> 00:41:23.530
was wir jetzt aufgezeigt haben. Auch dort
hat die Gematik schon einiges richtig

00:41:23.530 --> 00:41:27.200
gemacht. Sie hat spezifiziert, dass, wenn
Angriffe auf den Vertrauensraum

00:41:27.200 --> 00:41:30.330
stattfinden, dass die Gematik dann
schlicht und ergreifend prüfen muss, ob

00:41:30.330 --> 00:41:34.550
die Zulassung für diese Anbieter bestehen
bleiben oder ob sie, weil sie als

00:41:34.550 --> 00:41:40.430
kompromittiert anzusehen sind, zurück
entzogen werden müssen. Das A und O, und

00:41:40.430 --> 00:41:44.730
ich denke, das haben wir in den
vergangenen Minuten gezeigt, ist, dass die

00:41:44.730 --> 00:41:48.790
Beantragung, Identifikation und die
Ausgabe entsprechend dem Schutzbedarf von

00:41:48.790 --> 00:41:52.970
Gesundheits. und Sozialdaten durchgeführt
werden. Diese Prozesse müssen so sein,

00:41:52.970 --> 00:41:58.601
dass sie sicher sind und eben nicht wie
für eine Kundenkarte. Was sich in den

00:41:58.601 --> 00:42:02.810
vergangenen Jahren gezeigt habe und immer
wieder Thema ist: Die Gesundheitskarte ist

00:42:02.810 --> 00:42:06.870
ein Identitätsnachweis und muss auch so
bezeichnet werden und so ausgegeben

00:42:06.870 --> 00:42:10.840
werden. Und um das Ganze zu machen,
durchzuführen, ist es nicht nur notwendig,

00:42:10.840 --> 00:42:13.839
dass man jetzt an irgendeiner
Stellschraube macht, sondern es sind

00:42:13.839 --> 00:42:18.220
organisatorische Prozesse neu zu
definieren. Diese organisatorischen

00:42:18.220 --> 00:42:21.100
Prozesse müssen genehmigt, implementiert
werden. Und dann kommt leider der

00:42:21.100 --> 00:42:25.589
geschwindigkeitsbestimmende Schritt, dass
ganz viele Personen real von diesen

00:42:25.589 --> 00:42:29.930
Prozessen betroffen sind und persönlich
irgendwo hingehen müssen. Sie können es

00:42:29.930 --> 00:42:33.730
nicht online machen. Wir haben es gezeigt,
sie können nicht online, sondern... Das

00:42:33.730 --> 00:42:36.990
ist einfach ein
geschwindigkeitsbestimmender Schritt. Und

00:42:36.990 --> 00:42:42.560
das wird viel Zeit in Anspruch nehmen. Und
was wir im Laufe unserer Diskussionen auch

00:42:42.560 --> 00:42:45.599
immer wieder festgestellt haben, ist, dass
es eine organisierte

00:42:45.599 --> 00:42:52.790
Verantwortungslosigkeit gibt. Es gibt sehr
viele Teilbereiche, die für Teilabläufe

00:42:52.790 --> 00:42:57.260
und technische Lösungen zuständig sind.
Aber die Gesamtverantwortung von: Nicht

00:42:57.260 --> 00:43:01.099
nur eine Ende-zu-Ende-Verschlüsselung im
technischen Sinne, sondern auch, dass man

00:43:01.099 --> 00:43:05.170
eine Ende-zu-Ende-Betrachtung der
organisatorischen Prozesse durchführt. Das

00:43:05.170 --> 00:43:09.770
ist total wichtig, und das ist
entscheidend, damit auch die Menschen, die

00:43:09.770 --> 00:43:14.960
real existieren und nicht nur irgendein
elektronisches Abbild sind, die

00:43:14.960 --> 00:43:16.050
Telematikinfrastruktur vernünftig nutzen
können.

00:43:16.050 --> 00:43:23.070
M: Damit sind wir schon fast am Ende, das
sind die zentralen Statements. Eigentlich

00:43:23.070 --> 00:43:26.020
hätten wir diesen Talk mit dieser Folie
hier heute zeigen können und wären dann

00:43:26.020 --> 00:43:29.880
auch fertig gewesen. Stattdessen haben wir
jetzt 55 oder 50 Minuten geredet. Aber

00:43:29.880 --> 00:43:34.310
trotzdem: Ich hoffe, es hat gefallen, denn
das sind die zentralen Statements. Man

00:43:34.310 --> 00:43:38.609
braucht, um diese Telematik-Infrastruktur
sicher gestalten zu können höchste

00:43:38.609 --> 00:43:41.339
Sicherheit und Datenschutzanforderungen.
Die Anforderungen sind auch da. Die sind

00:43:41.339 --> 00:43:44.850
allen bekannt. Grundvoraussetzungen, das
steht in diesen Anforderungen, ist die

00:43:44.850 --> 00:43:47.390
zweifelsfreie Identifikation aller
Teilnehmer. Das haben wir ja gesehen, weil

00:43:47.390 --> 00:43:51.200
man sich ja nur noch ausweisen muss, um
auf diese Daten zugreifen zu können. Was

00:43:51.200 --> 00:43:54.780
haben wir herausgefunden? Identifikation
findet nicht statt. Diese Schlussfolgerung

00:43:54.780 --> 00:44:00.371
ist so banal, dass man sich doch fragen
muss: Wie konnte das passieren? Wie könnte

00:44:00.371 --> 00:44:03.359
man vergessen, diesen wichtigste Schritt
hier implementieren? Und wie konnte das

00:44:03.359 --> 00:44:08.030
nicht auffallen, selbst nach
Sicherheitsaudits? Ursprünglich war mein

00:44:08.030 --> 00:44:13.070
Ziel ja, sich die Technik anzuschauen und
sich diese Komponenten zu bestellen,

00:44:13.070 --> 00:44:16.400
vielleicht mit dem Christian zusammen, der
autorisiert ist, der Arzt ist. Wir haben

00:44:16.400 --> 00:44:19.700
schon beim Bestellprozess aufhören müssen,
weil da waren wir schon durch. Vielleicht

00:44:19.700 --> 00:44:22.980
kommen wir ja nächstes Jahr dann dazu,
wenn diese notwendigen Maßnahmen umgesetzt

00:44:22.980 --> 00:44:27.010
sind, uns dann noch einmal tief in die
Eingeweide zu begeben. Aber für heute

00:44:27.010 --> 00:44:29.900
haben wir unser Ziel schon erreicht
gehabt. Und jetzt ist erst einmal, ganz

00:44:29.900 --> 00:44:33.990
wichtig, Arbeit angesagt bei den
Betroffenen, bei den Beteiligten, bei den

00:44:33.990 --> 00:44:37.520
Verantwortlichen, diese hier geforderten
Maßnahmen erstmal umzusetzen. Bevor wir

00:44:37.520 --> 00:44:41.130
dann nochmal neu an diese Patientenakte
gehen, und uns dann daran wagen,

00:44:41.130 --> 00:44:46.470
vielleicht mit einer etwas moderateren
Aussage diese Akte einzuführen. Und auch

00:44:46.470 --> 00:44:50.300
eine ein bisschen ehrlichere
Selbsteinschätzung zu dem Thema, das würde

00:44:50.300 --> 00:44:55.260
ich mir wünschen für das Jahr 2020. Das
wird 2021 dann trotzdem in den Nutzen

00:44:55.260 --> 00:44:59.040
können für medizinische Anwendungen, aber
nicht so eben. Das haben wir jetzt

00:44:59.040 --> 00:45:02.493
gesehen. Also so darf das nicht laufen.
Ich würde sagen, wir haben noch ein

00:45:02.493 --> 00:45:06.420
bisschen Zeit für Fragen. Dann würden wir
jetzt die Fragen angehen.

00:45:06.420 --> 00:45:19.830
<i>Applaus</i>
Herald: Vielen Dank Martin, Christian und

00:45:19.830 --> 00:45:26.400
André. Wunderbarer Talk. Wenn ihr Fragen
habt, stellt euch bitte an den Mikrofonen

00:45:26.400 --> 00:45:32.130
auf oder nutzt die Möglichkeit, die Fragen
online zu stellen. Signal-Angel, gibt es

00:45:32.130 --> 00:45:37.420
Fragen aus dem Netz?
Signal-Angel: Ja, die gibt es. Hier fragt

00:45:37.420 --> 00:45:41.790
der User "Space" an den Martin Tschirsich:
Kann ich irgendwo Ärzte finden, die sich

00:45:41.790 --> 00:45:48.200
nicht an die Telematik angeschlossen
haben? Also es geht im IRC darum, dass es

00:45:48.200 --> 00:45:50.820
dann in Anführungszeichen nur einen
Honorarabschlag geben sollte.

00:45:50.820 --> 00:45:54.591
M: Ich glaube, das ist eine Frage, die
tatsächlich lieber ein Arzt selber

00:45:54.591 --> 00:45:57.900
beantwortet. Vielleicht gebe ich die Frage
direkt an den Christian weiter.

00:45:57.900 --> 00:46:01.890
C: Also ja, es gibt Ärzte, die sich nicht
an die TI angeschlossen haben. Wenn ihr

00:46:01.890 --> 00:46:06.380
das googelt: Es gibt mehrere Initiativen
von Ärzten, die sich weigern, sich

00:46:06.380 --> 00:46:11.940
anschließen zu lassen, und diese
Honorarabschläge in Kauf nehmen. Also die

00:46:11.940 --> 00:46:16.680
bezahlen dafür, dass eure Daten sicher
sind. Ich habe die Homepage leider gerade

00:46:16.680 --> 00:46:20.120
nicht auswendig im Kopf. Googlet es
einfach mal, ihr werdet es finden.

00:46:20.120 --> 00:46:22.359
Irgendwie "TI frei" oder ähnliches. Das
findet ihr.

00:46:22.359 --> 00:46:27.630
Herald: Dankeschön. Mikrofon Nr. 4, deine
Frage, bitte!

00:46:27.630 --> 00:46:31.700
Frage: Danke für den Talk! Meine Frage
ist: In dem schönen Video am Anfang hat es

00:46:31.700 --> 00:46:35.730
ja geheißen, dass das alles in Kontrolle
des Patienten ist. Wie funktioniert das?

00:46:35.730 --> 00:46:39.349
Kann der Arzt einfach einen beliebigen
Schlüssel anfragen von dieser

00:46:39.349 --> 00:46:45.280
Infrastruktur oder wie gibt der Patient
sein Einverständnis dafür?

00:46:45.280 --> 00:46:49.200
M: Der Patient soll sein Einverständnis
über die App geben können oder auch mit

00:46:49.200 --> 00:46:52.690
seiner Gesundheitskarte beim Arzt direkt.
Das ist die einfachste Variante. Also der

00:46:52.690 --> 00:46:55.760
Patient geht zum Arzt steckt seine
Gesundheitskarte, gibt eine PIN ein, die

00:46:55.760 --> 00:46:59.120
einige jetzt schon bekommen haben, alle
anderen dann nächstes Jahr oder zumindest

00:46:59.120 --> 00:47:03.280
bevor diese Patientenakte da ist, und gibt
dem Arzt damit Zugriff auf seine

00:47:03.280 --> 00:47:05.571
Patientenakte. Für einen gewissen
Zeitraum, den darf er sich selber

00:47:05.571 --> 00:47:11.780
aussuchen und damit hat der Arzt Zugriff.
Für den Arzt wird dann dieser

00:47:11.780 --> 00:47:15.070
Aktenschlüssel spezifisch für seine
berechtigten Schlüssel verschlüsselt

00:47:15.070 --> 00:47:18.010
hinterlegt beim Aktenanbieter. So
funktioniert das technisch. Auf das

00:47:18.010 --> 00:47:21.510
Technische können wir dann nach dem Talk
auch gerne nochmal eingehen. Das ist alles

00:47:21.510 --> 00:47:25.570
sehr kompliziert. Es ist symmetrische
Verschlüsselung und nicht so

00:47:25.570 --> 00:47:29.220
handelsüblich.
Herald: Danke! Mikrofon Nr. 8, deine

00:47:29.220 --> 00:47:32.520
Frage!
Frage: Jo, danke für eure Arbeit für die

00:47:32.520 --> 00:47:37.220
Gesellschaft. Gibt es einen Opt-Out für
Patienten?

00:47:37.220 --> 00:47:43.230
M: Die Patientenakte soll freiwillig sein.
Das heißt, es ist ein Opt-In. Noch bzw.

00:47:43.230 --> 00:47:47.220
aktuell. Es gibt aber verschiedene
Sachverständige, Gruppierungen,

00:47:47.220 --> 00:47:51.609
Expertisen, die fordern, es muss ein Opt-
Out werden, weil mit Opt-In wirklich nicht

00:47:51.609 --> 00:47:55.470
ausreichend Menschen diese Akte nutzen
werden und dann die positiven Effekte für

00:47:55.470 --> 00:47:59.070
die Versorgung ausbleiben. Und wenn man
diese Akte ja schon mal hat und man die

00:47:59.070 --> 00:48:01.920
träge Masse gerne mitnehmen will, dann
möchte man gerne zum Opt-Out-Verfahren,

00:48:01.920 --> 00:48:05.190
wie das auch schon in anderen Ländern
passiert ist. Ich meine, in Österreich ist

00:48:05.190 --> 00:48:09.690
ein Opt-Out, in Australien ist auch ein
Opt-Out, wobei auch dort, meine ich,

00:48:09.690 --> 00:48:12.990
früher mal von einem Opt-In die Rede war.
Das heißt, auch hier besteht diese

00:48:12.990 --> 00:48:16.839
Möglichkeit, dass das zukünftig einmal
eine Gesetzesänderung geben könnte, kann

00:48:16.839 --> 00:48:19.680
man sich alles vorstellen, und dass das
dann zum Opt-Out geht. Ich möchte darauf

00:48:19.680 --> 00:48:22.109
aufmerksam machen, dass ich weiterhin
dafür plädiere, dass die Einsetzung für

00:48:22.109 --> 00:48:25.790
alle Opt-In bleibt. Denn wer diese träge
Masse, all die, die nicht die Zeit oder

00:48:25.790 --> 00:48:29.510
die Expertise haben, sich das anzuschauen,
wer diese mitnehmen möchte, indem er auf

00:48:29.510 --> 00:48:32.030
ein Opt-Out geht, der muss auch die
Verantwortung dafür übernehmen für diese

00:48:32.030 --> 00:48:35.592
Daten. Und das will aber keiner. Wenn man
das so formuliert, ich glaube, da bleiben

00:48:35.592 --> 00:48:43.020
wir länger beim Opt-In.
Herald: Dankeschön. Mikrofon Nummer 7! Was

00:48:43.020 --> 00:48:45.660
möchtest du wissen?
Mikrofon 7: Ich hoffe, dass ich jetzt

00:48:45.660 --> 00:48:48.310
nicht Äpfel und Birnen vergleiche. Aber
ich kenne jetzt aus dem Gesundheits- und

00:48:48.310 --> 00:48:52.230
Pflegebereich ein ganz massives
Überlastungsproblem, was eben

00:48:52.230 --> 00:48:56.390
Dokumentationspflichten,
Abrechnungspflichten, etc. mit den

00:48:56.390 --> 00:49:00.470
Krankenkassen, mit dem Nachweis der
Professionalität der Arbeit in

00:49:00.470 --> 00:49:04.980
Krankenhäusern, in externen Pflegediensten
usw. dann eben angeht. Und ich habe den

00:49:04.980 --> 00:49:09.240
Verdacht, wenn man da keine
Digitalisierung reinbringt, ist das ein

00:49:09.240 --> 00:49:14.410
unglaublicher Overhead, der momentan
massiv zulasten der Patienten und der

00:49:14.410 --> 00:49:17.859
Pflegenden geht. Seht ihr irgendeine
Chance, dass man da tatsächlich effiziente

00:49:17.859 --> 00:49:23.510
digitale Abläufe reinbringt, die wirklich
eine Dokumentation beim Patienten, eine

00:49:23.510 --> 00:49:27.650
Abrechnung bei der KV, etc. irgendwie
schnell und zügig machen – und nicht

00:49:27.650 --> 00:49:31.290
irgendwie einen halben Arbeitstag einer
Pflegerin, die meinetwegen etwas anderes

00:49:31.290 --> 00:49:33.770
machen will, mit Papierkram daneben
blockiert?

00:49:33.770 --> 00:49:40.140
C: Also, ich gebe dir Recht, ich arbeite
auch in Krankenhäusern, freiberuflich oder

00:49:40.140 --> 00:49:45.030
kurzzeitig angestellt. Ich habe da in den
letzten 15 Jahren durch Digitalisierung

00:49:45.030 --> 00:49:50.339
nicht erlebt, dass dadurch mehr Zeit für
Patienten entstanden wäre. Es gibt ein

00:49:50.339 --> 00:49:53.770
paar minimale Verbesserungen, z. B. bei
Röntgenaufnahmen, die ja früher nur

00:49:53.770 --> 00:49:59.060
singulär auf einer einzigen Folie waren,
dass die jetzt verschickt und kopiert

00:49:59.060 --> 00:50:02.940
werden können. Die Fortschritte sind sehr
gering. Also die Versprechen sind

00:50:02.940 --> 00:50:08.369
natürlich da: Wenn sie digitalisieren,
haben sie mehr Zeit für Patienten. Dass es

00:50:08.369 --> 00:50:11.720
in der Praxis aber wirklich so große
Effekte bringt wie versprochen, würde ich

00:50:11.720 --> 00:50:16.250
eher nicht erwarten und auch noch nicht
sehen für die nähere Zukunft.

00:50:16.250 --> 00:50:21.290
M: Unabhängig davon ist die aktuelle
Patientenakte eine Versorgungsakte. Das

00:50:21.290 --> 00:50:24.720
heißt, für die Versorgung geplant und
hauptsächlich für die Information des

00:50:24.720 --> 00:50:28.240
Patienten selber. Ob die tatsächlich
diesen revolutionären Effekt jetzt in

00:50:28.240 --> 00:50:30.360
unsere Versorgung bringt und diesen
Nutzen, das weiß man nicht. Das will ich

00:50:30.360 --> 00:50:33.620
aber auch nicht bewerten. Ich bin nur
dafür, dass man neben dem Nutzen, der auch

00:50:33.620 --> 00:50:36.380
sehr positiv von einigen Seiten
herausgestellt wird, der auch evaluiert

00:50:36.380 --> 00:50:40.520
und wissenschaftlich begleitet evaluiert
wird, auch die Risiken transparent macht,

00:50:40.520 --> 00:50:43.740
ja? Beides muss passieren. Und dann muss
man abwägen können: Wenn man Nutzen und

00:50:43.740 --> 00:50:47.611
Risiken kennt – will man das machen? Und
es gibt einige Anwendungen, beispielsweise

00:50:47.611 --> 00:50:50.750
verschlüsselte Kommunikation unter Ärzten,
damit die sich gegenseitig Arztbriefe

00:50:50.750 --> 00:50:54.070
schicken können, die wirklich einfach
umzusetzen sind, die auch sehr sicher

00:50:54.070 --> 00:50:56.440
kommen werden und die auch einen sehr
hohen Nutzen bringen. Also ich denke

00:50:56.440 --> 00:51:00.540
schon, es gibt Anwendungen, die Nutzen
bringen. Nur: Wir haben hier mehrfach

00:51:00.540 --> 00:51:02.930
gehört, der Einzelfall genügt, um das
Vertrauen in dieses System zu reduzieren.

00:51:02.930 --> 00:51:06.380
Und dann muss man halt sich überlegen, ob
das, was man hier gemacht hat, nicht doch

00:51:06.380 --> 00:51:09.010
irgendwie besser geht. Und auf jeden Fall
geht das besser! Dass man so ganz

00:51:09.010 --> 00:51:11.620
grundlegende Schritte beachten muss. Und
deswegen haben wir unsere Maßnahmen

00:51:11.620 --> 00:51:14.460
dargelegt, unter denen wir uns dann
vorstellen können, dass man dann ruhig mal

00:51:14.460 --> 00:51:17.570
anfängt mit vielleicht Diensten, die nicht
so ganz so kritisch sind wie die

00:51:17.570 --> 00:51:20.730
Patientenakte, sondern das KOM-LE-
Verfahren. Also so was wie S/MIME unter

00:51:20.730 --> 00:51:23.520
Ärzten. Und dann schaut, ob das
funktioniert und dann halt Schritt für

00:51:23.520 --> 00:51:26.190
Schritt weitergeht. Kann ich mir schon
vorstellen so etwas.

00:51:26.190 --> 00:51:33.670
Herald: Dankeschön! Mikrofon 5, bitte.
Mikrofon 5: Ja. Unterstützt ihr die

00:51:33.670 --> 00:51:37.010
aktuell laufende Online-Petition gegen den
TI-Zwang?

00:51:37.010 --> 00:51:44.920
M: Die Online-Petition gegen den TI-Zwang
ist, soweit … ich hab sie mir

00:51:44.920 --> 00:51:49.890
durchgelesen, nicht begründet mit den
Gründen, die wir hier aufführen, warum wir

00:51:49.890 --> 00:51:53.400
aktuell dafür sind, dass man erstmal
gewisse notwendige Maßnahmen umsetzt. Wir

00:51:53.400 --> 00:51:58.280
sind hier relativ agnostisch rangegangen,
was den Nutzen angeht, sondern haben die

00:51:58.280 --> 00:52:01.991
Risikiodimension beurteilt und bewertet.
Und diese Petition gegen den TI-Zwang, wo

00:52:01.991 --> 00:52:04.849
es ja auch verschiedene Gründe gibt, die
gehen hauptsächlich in die Richtung

00:52:04.849 --> 00:52:09.109
„Haftungsfragen sind ungeklärt“ und die
Nutzungsfrage wird oft von Gruppen

00:52:09.109 --> 00:52:13.400
abgelehnt. Und das, würde ich sagen, muss
man den Fachgruppen überlassen, ja? Also

00:52:13.400 --> 00:52:16.390
zumindest ich. Das muss man dann den
Ärzten überlassen, vielleicht kann

00:52:16.390 --> 00:52:19.620
Christian dazu eine Aussage …?
C: Ich glaube, wir gehen zur nächsten

00:52:19.620 --> 00:52:20.724
Frage.
Herald: OK. Mikrofon 4 hätte ’ne Frage?!

00:52:20.724 --> 00:52:26.010
Mikrofon 4: Ja, ich wüsste gerne, ob ihr
wisst, ob es in der Spezifikation

00:52:26.010 --> 00:52:29.430
irgendwas zum Umgang mit der PIN gibt.
Also ich hab das in einer Arztpraxis

00:52:29.430 --> 00:52:31.839
erlebt, dass dann ein
Dienstleistungsunternehmen kommt, den

00:52:31.839 --> 00:52:36.470
Konnektor installiert und zwecks einfacher
Fernwartung den PIN auf eine triviale

00:52:36.470 --> 00:52:40.140
Kombination ändert, bei allen gleich, und
das in ein Textdokument auf USB-Stick

00:52:40.140 --> 00:52:44.140
rausträgt. Ist das erlaubt nach der
Spezifikation?

00:52:44.140 --> 00:52:52.700
C: Ähm … <i>lacht</i> Ich sag jetzt mal so:
Martin ist derjenige von uns, der die

00:52:52.700 --> 00:52:57.450
Spezifikation auswendig kann, aber ich sag
mal so grob: Nein. Also es ist leider so,

00:52:57.450 --> 00:53:01.270
dass auch im Gesundheitswesen das, was du
ansprichst, häufig relativ schlechte

00:53:01.270 --> 00:53:05.820
Passwörter verwendet werden und die auch
an Stellen liegen, wo sie nicht liegen

00:53:05.820 --> 00:53:10.900
sollten. Das ist … da müssen wir noch sehr
viel dran arbeiten, auch diesen

00:53:10.900 --> 00:53:13.869
Datensicherheitsgedanken unter Ärzte zu
tragen, woran ich unter anderem auch

00:53:13.869 --> 00:53:15.590
arbeite – oder wir unter anderem auch
arbeiten.

00:53:15.590 --> 00:53:21.060
M: Wobei ich sagen muss: Die Anforderungen
sind sicher da. Also die Anforderungen

00:53:21.060 --> 00:53:23.911
sind wirklich hoch. Aber auch die
Anforderungen, die an die Ärzte und diese

00:53:23.911 --> 00:53:27.240
ärztliche Umgebung gestellt werden, sind
sehr hoch. Und je höher die Anforderungen

00:53:27.240 --> 00:53:29.950
geschraubt werden, desto weiter schiebt
man natürlich die Verantwortung, falls

00:53:29.950 --> 00:53:33.339
dann jemand gegen diese Anforderung
verstößt, von sich. Nur diese

00:53:33.339 --> 00:53:36.390
Anforderungen erfüllen glaube ich nicht
sehr viele Ärzte, ja? Und da muss man

00:53:36.390 --> 00:53:39.500
fragen: Sind das realistische
Anforderungen? Und wie sieht das in der

00:53:39.500 --> 00:53:42.690
Praxis aus? So ein bisschen das, was wir
gemacht haben. Also Technik ist da,

00:53:42.690 --> 00:53:46.160
Spezifikation ist da, bei der Umsetzung da
hakt es halt noch.

00:53:46.160 --> 00:53:49.440
Herald: Signal-Angel. Du hast auch noch
was.

00:53:49.440 --> 00:53:55.020
Signal-Angel: Ja, und zwar eine Frage aus
Twitter von @jesafafa: Kann ich mich als

00:53:55.020 --> 00:53:57.950
Ärztin davor schützen, dass meine
Identität gestohlen wird? Also

00:53:57.950 --> 00:54:00.940
wahrscheinlich zur Erlangung dieser
Heilberufeausweise.

00:54:00.940 --> 00:54:05.750
M: Das wäre sehr wünschenswert, dass man
hier weitere – ich sage mal – Brandmauern

00:54:05.750 --> 00:54:11.250
einbaut, sodass wenn jemand anderes eine
Karte/Identität in seinem Namen beantragt,

00:54:11.250 --> 00:54:15.261
dass dann versucht wird, diese neue
Identität erst freizuschalten, wenn man

00:54:15.261 --> 00:54:18.500
sich irgendwie rückversichert hat. Wenn
man einen Nachsendeauftrag bei der Post

00:54:18.500 --> 00:54:21.210
stellt beispielsweise, an eine beliebige
Adresse, das kann ich ohne dass ich mich

00:54:21.210 --> 00:54:24.609
ausweisen muss. Dann geht zumindest an die
ursprüngliche Adresse ein Brief mit

00:54:24.609 --> 00:54:27.690
„Hallo, wir informieren Sie darüber, dass
Ihre Post nun an eine andere Adresse

00:54:27.690 --> 00:54:30.140
geht“. So etwas könnte man sich ja auch
hier für diese Praxisausweise noch

00:54:30.140 --> 00:54:33.390
wünschen. Bei der Gesundheitskarte gibt’s
sowas in der Art schon, was die

00:54:33.390 --> 00:54:37.260
Patientenakte angeht, aber hier müssen wir
glaube ich noch ein bisschen mehr, ich sag

00:54:37.260 --> 00:54:39.990
mal, zweite und dritte Verteidigungslinie
einbauen, sodass wenn dieser

00:54:39.990 --> 00:54:43.410
Kartenherausgabeprozess kompromittiert
ist, dass man dann nicht sofort mit

00:54:43.410 --> 00:54:46.829
gestohlener Identität jemand anderen
ausgestattet hat. Ansonsten: Jetzt ist der

00:54:46.829 --> 00:54:53.060
Schutz sehr schwer möglich.
C: Also … Bin ich dran? Was man fordern

00:54:53.060 --> 00:54:56.650
muss ist, dass sowohl bei der
Antragsstellung als auch bei der

00:54:56.650 --> 00:55:01.660
Auslieferung dieser Identitätsausweise
eine persönliche Anwesenheit des Arztes

00:55:01.660 --> 00:55:05.810
notwendig ist. Das heißt, der muss einmal
mindestens hingehen zu der Ärztekammer

00:55:05.810 --> 00:55:10.520
oder von mir aus auch die apoBank und sich
dort ausweisen. Und beim Empfang muss der

00:55:10.520 --> 00:55:14.460
auch persönlich anwesend sein und sich
ausweisen oder eben wieder da hingehen.

00:55:14.460 --> 00:55:18.500
Und da ist die Compliance bei den Ärzten
nicht so hoch.

00:55:18.500 --> 00:55:23.580
Herald: Danke für eure Antwort. Mikrofon
Nummer 4, deine Frage!

00:55:23.580 --> 00:55:28.540
Mikrofon 4: Da war eigentlich nur ein
Kommentar zu dem, was eben gesagt wurde,

00:55:28.540 --> 00:55:34.079
und zwar ist es so, dass ganz viel
Gesundheitsdaten per DVD geschickt werden,

00:55:34.079 --> 00:55:41.140
weil das anscheinend sicher ist. Und
eigentlich eine Frage habe ich noch: Was

00:55:41.140 --> 00:55:46.040
ist mit dem Stammdatenabgleich?
Funktioniert der jetzt mittlerweile? Weil

00:55:46.040 --> 00:55:49.180
letztes Jahr haben sie darüber
nachgedacht, ob sie eine SOAP-

00:55:49.180 --> 00:55:53.790
Schnittstelle dafür bauen.
C: Also VSDM funktioniert, wird gemacht.

00:55:53.790 --> 00:55:58.819
Machen wir auch, mache ich auch täglich in
meiner Arbeit. Zu den Röntgenbildern: DVD

00:55:58.819 --> 00:56:02.180
ist noch nicht so schlimm wie diese ganzen
PACS-Server, die weltweit offen lagen ohne

00:56:02.180 --> 00:56:06.359
Passwort, wo man nur die URL eingeben
musste. Also es geht immer noch schlimmer.

00:56:06.359 --> 00:56:10.500
Und ja: VSDM funktioniert.
Herald: Dankeschön! Der Signal-Angel

00:56:10.500 --> 00:56:13.690
bitte.
Signal-Angel: Eine Frage aus

00:56:13.690 --> 00:56:20.359
Twitter: Ob die elektronische
Patientenakte eine eindeutige Patienten-ID

00:56:20.359 --> 00:56:25.160
für alle Menschen in Deutschland
beinhaltet?

00:56:25.160 --> 00:56:30.280
M: Die Patienten werden in der
elektronischen Patientenakte über ihre

00:56:30.280 --> 00:56:33.770
Versichertennummer identifiziert und es
gibt eine zentrale Vergabestelle für diese

00:56:33.770 --> 00:56:36.540
Versichertennummer, die auch bei
Kassenwechsel, meine ich, erhalten werden.

00:56:36.540 --> 00:56:38.569
Könnte der André jetzt sicher noch was zu
sagen.

00:56:38.569 --> 00:56:42.320
A: Also jeder Versicherte hat eine
lebenslange, eindeutige

00:56:42.320 --> 00:56:47.589
Versichertennummer, die er dann auch bei
Kassenwechsel mitnimmt. Ja, das heißt, ich

00:56:47.589 --> 00:56:52.880
habe dort einen Datensatz, der einer
Person zugeordnet ist. Nur: Das, was wir

00:56:52.880 --> 00:56:57.430
heute gezeigt haben, das führt dazu, dass
man eben nicht sicher sein kann, dass da

00:56:57.430 --> 00:57:01.860
auch genau dann diese Person tatsächlich
auf diese Information zugreift. Weil hier

00:57:01.860 --> 00:57:06.400
einfach bei den Übergabeprozessen und den
Identitätsbestätigungsprozessen nicht

00:57:06.400 --> 00:57:10.220
sichergestellt ist, dass tatsächlich die
richtige Person auch in Besitz dieser

00:57:10.220 --> 00:57:14.290
Zugangsinformation kommt.
Herald: Dankeschön. Mikrofon Nummer 1.

00:57:14.290 --> 00:57:19.220
Deine Frage!
Mikrofon 1: Spricht aus eurer Sicht

00:57:19.220 --> 00:57:23.950
irgendwas dagegen, statt der EGK einfach
den neuen Personalausweis zu benutzen?

00:57:23.950 --> 00:57:29.630
M: Es gibt tatsächlich einen, bzw. mehrere
Projekte glaube ich, oder

00:57:29.630 --> 00:57:33.190
Vorgängerprojekte, die genau das
versuchen: Eine Identität abzuleiten vom

00:57:33.190 --> 00:57:36.580
Personalausweis, die man dann auch im
Gesundheitswesen nutzen kann. Ich glaube,

00:57:36.580 --> 00:57:40.980
in die Richtung gibt es Gedanken. Es gab
ja auch mal die Idee, eines Bürgerportals

00:57:40.980 --> 00:57:46.370
mit BürgerCard. Also da gibt es viele
Überlegungen, den NPa zu nutzen. Nur

00:57:46.370 --> 00:57:50.980
momentan haben wir halt eine eigene PKI im
Gesundheitswesen. Also unseren eigenen

00:57:50.980 --> 00:57:55.930
Vertrauensraum, der noch ganz abgekoppelt
ist vom NPa. Und das hat auch Gründe, dass

00:57:55.930 --> 00:57:59.720
man, wenn man am NPa weitere Attribute
speichern wollte, wie beispielsweise die

00:57:59.720 --> 00:58:03.550
Versichertennummer, dass das ein sehr
langwieriger Prozess ist, bis man da die

00:58:03.550 --> 00:58:07.000
Spezifikation so geändert hat, dass der
NPa auch so etwas speichert wie eine

00:58:07.000 --> 00:58:10.520
Versichertennummer. Ansonsten müsste man
wieder ein Register aufbauen, wo jeder

00:58:10.520 --> 00:58:13.970
NPa Bürger irgendwie zugeordnet wird mit
Versichertennummer. Und da ist halt die

00:58:13.970 --> 00:58:16.849
Frage: Will man so etwas? Also ich glaube,
aus verschiedenen Gründen hat man sich

00:58:16.849 --> 00:58:18.460
dazu entschieden, hier eine eigene
Hierarchie aufzubauen.

00:58:18.460 --> 00:58:23.630
A: Es reicht eben nicht aus, dass man in
dem Gesundheitswesen nur sich selbst

00:58:23.630 --> 00:58:29.390
identifiziert und sagt: Ich nutze meine
eID-Funktion des NPa um zu sagen: Ich bin

00:58:29.390 --> 00:58:32.880
ich. Sondern ich muss auch immer noch die
Information mitbringen, das Attribut

00:58:32.880 --> 00:58:37.700
mitbringen, bei wem bin ich versichert.
Und diese Information, bei wem bin ich

00:58:37.700 --> 00:58:41.110
versichert, ist aktuell auf dem NPa nicht
abspeicherbar.

00:58:41.110 --> 00:58:47.150
Herald: OK. Dankeschön. Mikrofon Nummer 6,
deine Frage!

00:58:47.150 --> 00:58:54.760
Mikrofon 6: Ist es irgendwie vorgesehen,
dass mein Arzt, mein Zahnarzt z. B., auf

00:58:54.760 --> 00:58:59.810
die gesamte Akte zugreifen kann oder nur
auf den Teil, der überhaupt für ihn

00:58:59.810 --> 00:59:04.440
vorgesehen ist?
C: Klares Jein. Also ursprünglich war’s so

00:59:04.440 --> 00:59:09.440
vorgesehen, dass man selektiv jede
Information in der Patientenakte dem

00:59:09.440 --> 00:59:12.569
speziellen Arzt freischalten kann. Also
dass der Urologe nur die

00:59:12.569 --> 00:59:15.390
Geschlechtskrankheiten weiß und der
Zahnarzt nur die Zahnkrankheiten.

00:59:15.390 --> 00:59:21.091
Gesundheitsminister Spahn hat aber jetzt
versucht, da Druck zu machen, um das

00:59:21.091 --> 00:59:24.120
schneller einzuführen und weil dieses
Rechtemanagement, wissen wir alle, recht

00:59:24.120 --> 00:59:28.600
kompliziert ist, wollte er das auf ein
Alles oder Nichts runterdrücken. Was

00:59:28.600 --> 00:59:31.230
letztendlich kommt, werden wir in einem
Jahr sehen. Frühestens.

00:59:31.230 --> 00:59:34.980
M: Es steht schon fest: Also wir wissen,
dass die elektronische Patientenakte, wie

00:59:34.980 --> 00:59:39.150
sie 2021 kommt, erstmal nur eine Alles-
oder-Nichts-Akte ist. Also da muss ich mir

00:59:39.150 --> 00:59:43.339
halt überlegen, welchem Arzt ich diese
Akte freigebe. Und bei gewissen ärztlichen

00:59:43.339 --> 00:59:47.680
Behandlungen – also beispielsweise
psychotherapeutische Behandlung; würde ich

00:59:47.680 --> 00:59:51.610
dann nicht als Patient zum
Psychotherapeuten gehen und bitten,

00:59:51.610 --> 00:59:54.920
Gutachten dort einzustellen. Sondern ich
muss das erstmal für Dokumente verwenden,

00:59:54.920 --> 00:59:57.560
bei denen ich davon ausgehe, dass sie den
anderen Ärzten, denen ich diese Akte

00:59:57.560 --> 01:00:00.460
freigebe, auch gesehen werden können ohne
dass das für mich irgendwelche negativen

01:00:00.460 --> 01:00:03.869
Folgen hat. Darüber wird man auch
aufgeklärt. Und dann soll in der zweiten

01:00:03.869 --> 01:00:07.820
Version 2022 dieses Rechtemanagement
nachgeliefert werden. Das können wir

01:00:07.820 --> 01:00:11.550
allerdings momentan noch nicht beurteilen,
weil die Spezifikation dazu … ist noch

01:00:11.550 --> 01:00:13.510
nicht öffentlich. Und ich nehme an, sie
wird ausgearbeitet.

01:00:13.510 --> 01:00:21.109
Herald: OK. Vielen Dank euch Dreien fürs
Rede und Antwort Stehen! Verabschiedet die

01:00:21.109 --> 01:00:22.430
drei bitte mit einem kräftigen Applaus!

01:00:22.430 --> 01:00:23.430
<i>Applaus</i>

01:00:23.430 --> 01:00:24.760
C: Ganz herzlichen Dank für die
Moderation!

01:00:24.760 --> 01:00:25.760
<i>Abspannmusik</i>

01:00:25.760 --> 01:00:28.550
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!