-
36C3 Vorspannmusik
-
Herald: Herzlich willkommen zum nächsten
Talk "Hacker hin oder her - die
-
elektronische Patientenakte kommt". Unsere
drei Speaker haben sich beschäftigt mit
-
der Sicherheit und Funktionsweise der
Telematik-Infrastruktur, das ist so ein
-
bischen das Backend der zukünftigen
elektronischen Patientenakte und damit
-
auch so der Weg, wie man an die
entsprechenden Daten herankommt. Unsere
-
Speaker: Von mir aus ganz links. Martin
Tschirsich, er ist Pentester und war zu
-
dem Thema auch schon mal als
Sachverständiger im Gesundheitsausschuss,
-
hat da berichtet über das Thema
IT-Sicherheit in Gesundheits-Apps. Dann
-
haben wir in der Mitte André Zilch. War
als Sachverständiger im Bundestag zu genau
-
diesem Thema geladen, beziehungsweise zum
Thema Identifizierung. Und direkt hier,
-
cbro, Christian Brodowski, ihr kennt ihn
als Arzt hier aus dem CERT.
-
Tut mir einen Gefallen, empfangt die
drei mit einem wunderbaren Applaus.
-
Applaus
-
Martin: Es freut mich, dass so viele zu
dieser frühen Stunde gekommen sind, um
-
sich einen Talk zu Patientenakte
anzuhören. Viele, nehm ich mal an, wissen
-
vielleicht noch gar nicht, was die
elektronische Patientenakte eigentlich
-
sein soll. Die elektronische Patientenakte
kommt, das steht aber fest. Und einfach um
-
alle auf denselben Stand zu bringen, gibt
es jetzt eine kurze Erklärung, was die
-
elektronische Patientenakte überhaupt
bringen soll.
-
Propagandavideo: Die elektronische
Patientenakte, kurz ePA genannt, ist ein
-
digitales Patientenbuch, in dem lebenslang
alle Gesundheitsdaten gespeichert sind.
-
Röntgenbilder, Arztberichte, Allergien,
ebenso: Blutwerte, Medikamente, Impfungen
-
und Vorbehandlungen. Alles an einem Platz.
Und für den Patienten transparent. Denn
-
nicht nur, dass er vollen Einblick in die
ePA hat. Er allein besitzt die Kontrolle
-
über seine Daten und bestimmt, wer Zugang
dazu haben darf. Mit der ePA können
-
mündige Patienten freiwillig ihre
Gesundheitsdaten sicher, online und
-
effektiv verwalten. Alle
behandlungsrelevanten Informationen stehen
-
in jeder Lebenslage zur Verfügung, was den
Austausch mit ihren Partnern zur
-
Gesundheit ungemein erleichtert. Die ganze
Gesundheit auf einen Blick mit der ePA ab
-
1. Januar 2021.
verhaltener Applaus
-
Martin: Diese elektronische Patientenakte
ist nicht eine weitere App. Eine weitere
-
Gesundheitsakte, wie wir sie auch schon
letztes Jahr hier gesehen hatten, sondern
-
es ist DIE Patientenakte, die
elektronische Patientenakte, die nach
-
Sozialgesetzbuch 5 allen gesetzlich
Versicherten zur Verfügung gestellt werden
-
soll. Sie dürfen diese nutzen, um
lebenslänglich ihre Gesundheitsdaten zu
-
speichern. Das ergibt einige
Fragestellungen. Zum einen, wir wollen
-
hier drin die Möglichkeit schaffen,
lebenslang unsere Gesundheitsdaten zu
-
speichern. Das sind Dinge wie
Röntgenbilder, Arztbriefe, Berichte,
-
Laborwerte. All diese Dinge sollen in
dieser Akte verwaltet werden können. Und
-
der Patient soll die alleinige Kontrolle
darüber besitzen und auch bestimmen, wer
-
Zugriff darauf hat. Das heißt, es muss
sicher sein. Kann das funktionieren?
-
Zwischenruf aus Publikum: NEIN
Martin: Ganz wichtig. Ob das funktionieren kann
-
oder nicht. Wir müssen diese Anforderung
erfüllen. Die Inkaufnahme von Verstößen in
-
Einzelfällen, die ist unzulässig. Das
heißt, selbst in Einzelfällen, wir können
-
nicht sagen "Ein Prozent Verlust ist
okay". Wie das eben der Fall bei
-
beispielsweise Kontozugängen oder so mal
in Kauf genommen werden könnte, wo man mit
-
monetären Werten handelt. Hier ist es
absolut unzuverlässig, dass man überhaupt
-
den Einzelfall zulässt, dass es hier zu
einem Verstoß kommt. Das sagt ein
-
Landesdatenschützer,
Datenschutzbeauftragter. Und das ist nicht
-
neu, dass hier hohe Anforderungen stehen.
Das ist auch Herrn, unserem
-
Gesundheitsminister, Herrn Spahn bekannt.
Der sagt, dass der Datenschutz, besonders
-
die Datensicherheit, die Achillesferse für
diese Anwendung ist. Denn wird es hier zu
-
einem Vorfall kommen, wird natürlich die
Akzeptanz dieser Anwendung und auch alle
-
weiteren Anwendungen der digitalen
Gesundheitsversorgung wirklich ruiniert.
-
Und das gefährdet auch dieses
Vertrauensverhältnis: Arzt, Patient, in
-
der Sprechstunde natürlich. Diese
ärztliche Schweigepflicht würde, wenn es
-
hier zu einem Vorfall kommt, aufgehoben.
Herr Spahn sagt aber auch, dass er zu dem
-
Thema mehr Geschwindigkeit reinbringen
will, Hacker hin oder her. Und weil es so
-
ein bisschen ambivalent ist, haben wir
gedacht wir schauen uns das mal an. Um das
-
zu verstehen und auch die Sicherheit
bewerten zu können, müssen wir 10000
-
Seiten Spezifikation lesen. Die sind alle
unter dem Fachportal der Gematik, die
-
Gesellschaft, die dafür zuständig ist,
öffentlich verfügbar. Das sind einmal die
-
Spezifikation der Gematik und dann noch
die Spezifikation der Sektororganisation
-
unseres Gesundheitswesens. Denn unser
Gesundheitswesen ist ja ziemlich
-
zersplittert in verschiedenste
Einzelereiche. Das haben wir getan,
-
beziehungsweise nicht ganz. Aber mal
überflogen und haben dann diese tolle
-
Grafik hier für euch vorbereitet, um euch
zu zeigen, wie diese Gesundheitsakte
-
aussieht, diese Patientenakte. Zunächst
einmal der Versicherte mit seiner
-
Gesundheitskarte. Die kennen die meisten
von euch. Mit dieser Gesundheitskarte und
-
einem Zugangsgerät, das kann zukünftig
auch ein Smartphone sein, wenn es NFC
-
fähige Gesundheitskarte gibt, kann der
Versicherte über das Internet auf ein
-
zentrales Zugangsgateway dahinter
liegendes Aktensystem zugreifen. Und auf
-
diesem Aktensystem sollen dann die
Gesundheitsdaten liegen, diese lebenslang
-
verfügbar gehaltenen Gesundheitsdaten. Die
sind aber verschlüsselt. Man spricht hier
-
von Ende zu Ende Verschlüsselung. Der
Schlüssel zu diesen Daten der liegt auch
-
auf diesem Aktensystem.
lachen
-
Aber noch nicht, noch nicht lachen. Dieser
Schlüssel, der ist verschlüsselt. Der ist
-
verschlüsselt. Das hat auch alles seine
Berechtigung. Nur ist jetzt die Frage, wir
-
haben das Problem nicht gelöst. Wo ist der
Schlüssel für den Schlüssel? Da müssen wir
-
ein bisschen weitergehen. Da müssen wir
schauen, dass wir hierüber an die
-
Telematik-Infrastruktur angebunden werden.
Die Telematik-Infrastruktur ist das
-
zentrale Netzwerk, an das inzwischen schon
115.000 Arztpraxen, zukünftig auch
-
Apotheken, Krankenhäuser und andere
Einrichtungen des Gesundheitswesens
-
angeschlossen werden. Es ist ein
sogenanntes spezielles VPN-Netzwerk mit
-
eigenem Vertrauensraum. Dieses Netzwerk
hält folgende zwei Dienste bereit: Den
-
Schlüsselgenerierungsdienst 1 und den
Schlüsselgenerierungsdienst 2. Das sind
-
Dienste, die uns einen Schlüssel
generieren. Und zwar einen berechtigten
-
Schlüssel. Wir müssen also mit unserer
Gesundheitskarte zu den
-
Schlüsselgenerierungsdiensten gehen und
uns diese blauen Berechtigten-Schlüssel
-
abholen, indem wir uns ausweisen als
Versicherter. Dann nehmen wir diese blauen
-
Berechtigtenschlüssel und entschlüsseln
damit diesen pinken Aktenschlüssel. Und
-
dann kommen wir an die Gesundheitsdaten.
Für Ärzte, die ja auch auf diese Akte
-
zugreifen müssen, um Dokumente des
Versicherten dort einzustellen,
-
beispielsweise ein Arztbrief oder ein
Untersuchungsergebnis, sieht das von der
-
anderen Seite fast genauso aus. Nur dass
dort noch ein spezielles Zugangsgerät
-
verwendet wird. Jede Arztpraxis, die an
diese Telematik-Infrastruktur angebunden
-
wird, benötigt einen sogenannten
Connector. Das ist ein spezieller VPN
-
Router mit weiteren Funktionen, der den
Zugang in dieses geschützte Netz
-
ermöglicht. Und während der Versicherte
sich mit der Gesundheitskarte ausweist, um
-
auf diese Schlüsselgenerierungsdienste
zugreifen zu können und sich seinen
-
Schlüssel generieren zu können, greift der
Arzt oder die Ärztin mit ihrem
-
Praxisausweis und auch mit
Heilberufsausweisen auf dieses Netz zu
-
bzw. auf Anwendung, die darauf laufen. Das
ist also symmetrisch. Sowohl der Patient
-
als auch Ärzte haben Chipkarten, mit denen
sie sich hier ausweisen und Anwendungen
-
gegenüber authentisieren. Um das Risiko
dieses Netzwerkes ein bisschen zu ...
-
vereinfacht darzustellen, schauen wir uns
mal an, wie viele Teile es denn davon
-
gibt: Es gibt 73 Millionen Versicherte. Es
gibt in etwa 4 Anbieter von dieser
-
Patientenakte, die sich jetzt schon
aktuell in der Entwicklung befindet. Denn
-
in zwölf Monaten soll sie ja uns allen zur
Verfügung stehen. Und es gibt eine einzige
-
zentrale Telematik-Infrastruktur. Und dann
gibt es halt diese 115.000 Arztpraxen, die
-
jetzt schon angeschlossen sind bzw. ganz
grob geschätzt 170.000 Einrichtungen, die
-
irgendwann mal dort angeschlossen sein
sollen. Die Prozesse, wie diese Chipkarten
-
verteilt werden, das sind auch Prozesse
der zentralen Telematik-Infrastruktur.
-
Problem bei diesem
Schlüsselgenerierungsdienst ist: Der
-
Versicherte oder die Ärztin weisen sich
jeweils nur noch aus mit einer Karte und
-
bekommen dann einen Schlüssel. Das hat das
Problem, dass wir hier zwar weiterhin von
-
Ende zu Ende Verschlüsselung hören, aber
der Schlüssel ist nicht mehr unter
-
Kontrolle des Versicherten. Das heißt: Wer
sich ausweisen kann, auch mit einem
-
Nachfolgeausweis, der bekommt Zugriff, der
bekommt den Schlüssel und kommt damit an
-
die Daten. Auch das BSI hat dazu schon
eine Anmerkung gemacht und hat gesagt:
-
"Wenn dieses Authentisierungsverfahren
dieses Schlüsselgenerierungsdienstes
-
überwunden wird, kann auf den gesamten
Akteninhalt zugegriffen werden." Die
-
Gematik leitet daraus ab, dass die
Korrektheit dieser rot markierten
-
Kartenherausgabeprozesse, die ich eben mit
diesen roten Pfeilen dargestellt hatte,
-
Grundvoraussetzung für den sicheren
Betrieb dieser Anwendung ist.
-
Kartenherausgabeprozesse, das bedeutet:
die Überführung von einer real
-
existierenden Person, auch einer
juristischen Person wie eine Arztpraxis,
-
in die digitale Welt. Um das sicher
gewährleisten zu können, muss Folgendes
-
erfüllt sein: Ich muss die Person
identifizieren. Versicherte, Ärzte,
-
Arztpraxen müssen zuverlässig
identifiziert werden und die Attribute, ob
-
sie nun zugelassener Arzt,
niedergelassener Arzt oder Versicherte mit
-
einer bestimmten Versichertennummer sind,
die müssen sicher, rechtssicher bestätigt
-
werden. Und der Empfang des Zertifikats
und des privaten Schlüssels, also dieser
-
digitalen Identität, die mir da zugeordnet
wird, also des Ausweises, der Karte, die
-
muss sicher nachvollzogen werden können.
Also die bestätigte Schlüsselübergabe.
-
Wenn das alles so läuft, dann funktioniert
das System sicher, weil dann dieser
-
Ausweis wirklich nur in der Hand des
Berechtigten ist. Die Gematik weiß das
-
ebenso und spricht deswegen sehr häufig
von dieser Anforderung der zuverlässigen
-
Identifizierung. Also: Man liest das
wirklich häufig. Die Identifizierung muss
-
zuverlässig sein, muss notwendig, zwingend
notwendig, Grundvoraussetzungen und, und,
-
und, und. Was für Identitäten gibt es
denn. Wir haben schon drei Karten gesehen.
-
Es gibt die Gesundheitskarte, es gibt ein
Heilberufsausweis. Es gibt den
-
Praxisausweis. Und dann gibt es noch den
Connector. Das ist dieser Hardware-VPN-
-
Router, von dem ich sprach. Und die alle
tragen kryptographische Identitäten in
-
Form von Zertifikaten und privaten
Schlüsseln, die auf Chipkarten gespeichert
-
sind. Und was wir gemacht haben, ist: Wir
haben uns angeschaut, ob diese Herausgabe
-
denn sicher ist? Denn das ist der zentrale
Angriffspunkt. Wenn wir die Ende-zu-Ende-
-
Verschlüsselung nur noch durch eine
Authentisierung sicher garantieren können,
-
dann greifen wir die Authentisierung an.
Ist das möglich?
-
Christian: Danke Martin! Ich wollte ganz
kurz einschieben, wie wir uns eigentlich
-
kennengelernt haben. Als Vertragsarzt
hatte man letztes Jahr oder auch dieses
-
Jahr das Problem, dass einem diese
Telematik-Infrastruktur so ein bisschen
-
übergeholfen wurde. Mittlerweile bekommt
man Honorareabzüge, wenn man sie nicht
-
installiert hat. Und da war ich so ein
bisschen unglücklich drüber. Habe dann
-
erst den md, den Markus Dränger
angeschrieben und angesprochen. Wir
-
erinnern uns: beA ... ich sehe da viele
Parallelen. Der hatte aber gerade eine
-
wichtigere Aufgabe und deswegen hat er
mich an den Martin Tschirsich weiter
-
verwiesen und uns zusammengebracht. Und
wir haben uns dann zusammen diese
-
einzelnen Komponenten mal angeschaut. Ich
fange mal an mit diesem
-
Institutionsausweis, auch Praxisausweis
oder SMC-B Karte genannt. Wenn man sich
-
den ... wenn man so einen haben will, muss
man online einen Antrag stellen. Da gibt's
-
mehrere Anbieter für. Wir haben uns mal
für den entschieden. Der hat so ein
-
Formular, das kann man im Web ausfüllen -
übrigens auch über TOR; funktioniert auch
-
- und muss da verschiedene Daten eingeben.
Abgeglichen werden insbesondere diese 5,
-
die ihr hier seht: die Betriebsstätten-
Nummer, Geburtsdatum des Arztes, die
-
lebenslange Arzt-Nummer, der Name und die
Profession. Also, was für ein Arzt das
-
ist. Das geht jetzt gerade nicht so gut
... ups ... doch ... zack. Das
-
Geburtsdatum ist die einzige dieser
Angaben, die nicht auf jedem Rezept und
-
jeder Überweisung steht, die ihr von eurem
Arzt bekommt.
-
GelächterKlatschen
Und Geburtsdatum: Seriously, also: Jede
-
Gemeinschaftspraxis hat irgendeine
Rechtsform. Meistens sind die
-
Partnerschafts-Register eingetragen und da
stehen das Geburtsdatum und manchmal auch
-
der Geburtsort. Damit hat man alles
beisammen, was man da eingeben muss. Dann
-
gleicht medisign dieses Formular mit der
entsprechenden kassenärztlichen
-
Vereinigung ab und die KV sagt: Jo, so ein
Arzt mit dem Namen und den Nummern ist bei
-
uns registriert. Daraufhin stellt medisign
dann einen dieser SMCB-Karten, dieser
-
Praxisausweise aus und verschickt ihn an
den ... ne, nicht an den Arzt. Das wäre ja
-
doof, wenn der in Praxis landen würde. Man
kann da auch alternativ eine Lieferadresse
-
angeben.
Gelächter
-
Da kommt er dann an. Oder man kann auch
bei der Lieferadresse, wenn da gerade
-
niemand zu Hause ist -- so war das in
unserem Fall -- das Ganze auch dann mit
-
der Postvollmacht bei der Post abholen.
Sieht dann so aus: Die muss man dann
-
online freischalten, das geht in so einem
Webformular und dann, dazu braucht man
-
diesen PIN-Brief. Der ist auch bei der
Lieferadresse letzlich angekommen. Und
-
damit konnten wir in Praxis-Ausweis dann
aktivieren und letztlich auch registrieren
-
und damit einen Vorgang in der Telematik
Infrastruktur auslösen, nämlich dass
-
Versicherten-Stammdatenmanagement. Also
sprich: Ich habe meine Karte mit dieser
-
SMCB-Karte, meine Versichertenkarte,
nochmal abgeglichen, ja mit den
-
Krankenkassendaten. Was kann man mit
dieser SMCB-Karte alles anstellen, wenn
-
man jetzt damit nichts Gutes tun möchte?
Man hat uneingeschränkten Zugang zur
-
Telematik-Infrastruktur, das heißt, dieser
geschützte Vertrauensraum, von dem
-
gesprochen wird, der ist damit gebrochen.
Ich kann darin Dinge tun. Ich habe Zugriff
-
auf verschiedene Anwendungen. Die EPA
kommt erst noch. In einigen Regionen gibt
-
es aber schon den elektronischen
Medikationsplan und den Notfalldatensatz,
-
die von der Karte des Versicherten
abgelesen ... ausgelesen werden können.
-
Darauf kann ich mit der Karte zugreifen.
Und ich kann Nachrichten bald -- das ist
-
auch noch nicht freigeschaltet -- in der
sicheren Kommunikation der
-
Leistungserbringer empfangen und absenden
im Namen der Arztpraxis, mit der ich das
-
gemacht habe. Ja, also anfangs werden da
glaube ich PDFs hin- und hergeschickt.
-
PDF-Fraud, glaube ich, ist noch ein
anderer Talk. Wo ist das grundlegende
-
Problem? Es gibt drei Anbieter und die
verschicken im Prinzip auf die gleiche Art
-
und Weise diese Karten. Also, bei dem
Anbieter, bei dem wir das geprüft haben,
-
war das problemlos möglich sowohl die
Anfrage entsprechend zu stellen, als auch
-
die Auslieferung entsprechend umzuleiten,
um an diese Karte zu kommen. medisign hat
-
allein schon 80 000 Institutions-Ausweise
-- Stand vor drei Monaten ungefähr --
-
ausgegeben. In den Spezifikationen der
Gematik steht drin, dass möglicherweise
-
kompromittierte Zertifikate zurückgezogen
werden müssen. Letztlich ist es dazu
-
gekommen, weil die Kassenärztliche
Bundesvereinigung, die ja dafür zuständig
-
ist, diese Prozesse zu spezifizieren,
diesen Prozess eben nicht richtig
-
spezifiziert hat. Der Trust Service
Provider, in dem Fall mediSign, hat Fehler
-
bei der Umsetzung gemacht. Und die Gematik
als übergeordnete Behörde hat diesen
-
Prozess und diesen Service Provider so
zugelassen und eben nicht geguckt, was der
-
wirklich macht. Aber ist ja nur EIN
Ausweis. Nehmen wir den nächsten
-
Heilberufsausweis oder Arztausweis. Wenn
man den beantragen möchte, braucht man
-
eine persönliche Identifikation, bevor
dieser Ausweis geliefert wird. Braucht
-
man? Braucht man nicht.
vereinzeltes Lachen im Publikum
-
Es gibt da das sogenannte Bankident-
Verfahren. Erkläre ich auch gern kurz. Ein
-
Arzt, eine Ärztin geht irgendwann zu ihrer
Bank. Die Deutsche Apo-Bank bietet das an.
-
Die ist auch gesellschaftlich mit der
Gematik verbandelt und öffnet dort ein
-
Konto oder schaut noch mal so vorbei,
zeigt ihren Personalausweis oder Reisepass
-
und hat dann den ersten Teil dieses Ident-
Verfahrens durchlaufen. Ein Angreifer geht
-
wieder zu einer dieser Trust-Service-
Provider, gibt die Daten der Ärztin ein.
-
Die Bank sagt: Jo, die kennen wir. Die hat
bei uns ein Konto. Und die Ärztekammer
-
sagt: Jo, die kennen wir, die ist bei uns
Ärztin für Anästhesiologie, was auch
-
immer. Was macht medisign dann? Stellt
einen Arztausweis aus und schickt ihn zu.
-
Auch hier wieder Lieferung an
Lieferadresse. Alles bequem. Kein Problem.
-
Der PIN wird netterweise auch gleich dahin
geschickt. Und so konnten wir den
-
Heilberufe Ausweis dann auch online
freischalten. Da gibt's dann so'n ein
-
kleines Tool, was man sich runterladen
muss von der Homepage und dann hat man so
-
ein gültiges, Benutzer-Zertifikat. Dafür
ist eine Unterschrift notwendig. Ich habe
-
eben schon davon gesprochen, wo wir die
Arztnummern her hatten. Die
-
Arztunterschrift ist da auch meistens
drunter, wenn man sie überhaupt lesen
-
kann. In vielen Fällen ist es auch so, zum
Beispiel bei der Postabholung, dass die
-
Original-Arztunterschrift auch nirgendwo
hinterlegt ist. Das heißt, da ist halt ein
-
so ein Krakeel drunter und ... also meine
Unterschrift kann man wirklich nicht
-
lesen. Das ist nicht mein Name. Das wäre
relativ sehr leicht zu imitieren. Auch
-
hier wieder, wo ist das Problem? Es gibt
zwei Anbieter, gibt insgesamt vier
-
Verifikationsverfahren. Postident und
Kammerident sind nach den Spezifikationen
-
so in Ordnung. Die beiden Verfahren, in
denen eine zweiseitige Identifikation
-
stattfindet, klappen nicht so gut. Das ist
einmal das Bankident-Verfahren und zum
-
anderen das Vorab-Kammerident-Verfahren,
bei dem auch eine zweiseitige
-
Identifikation stattfindet. Das heißt, der
Arzt geht irgendwo hin, zeigt seinen
-
Ausweis, und irgendwann später kommt
jemand online und sagt: Hallo, ich bin
-
dieser Arzt oder diese Ärztin, und es gibt
keine Möglichkeit, diese beiden
-
Identitäten zusammenzuführen und
abzugleichen, ob derjenige, der sich
-
online einklickt, wirklich derjenige ist,
der seinen Ausweis hochgehalten hat. Das
-
sind bei medisign 31 Prozent der
Heilberufsausweise, weil es eben so ein
-
bequemes Verfahren ist. Bei den anderen
Providern wissen wir nicht, wie viele
-
Ausweise über dieses Verfahren ausgestellt
wurden. Und damit zu unserem Spezialisten
-
für die elektronische Gesundheitskarte.
Martin: Damit hat man also gezeigt, wie
-
man auf diese zwei Karten sehr einfach
zugreifen kann. Also wie man sie sich
-
erschleichen kann, diese Karten, auf einen
anderen Namen. Aber es fehlte die
-
Gesundheitskarte in diesem, sagen wir
Quartett an Identitäten. Ich glaube, ich
-
hatte damals bei Google eingegeben:
Gesundheitskarte erschleichen oder so.
-
Macht man ja mal. Dann sind wir auf den
Experten für Erschleichen von
-
Gesundheitskarten gestoßen. lacht Der
André Zilch, und der wird euch jetzt mal
-
erzählen, wie das geht.
André: Danke. Die Gesundheitskarte ist
-
genau das Aquivalent zu dem
Institutionsausweis und zu dem
-
Heilberufeausweis für die Versicherten.
Viele von Ihnen werden es kennen und es
-
ist der zentrale Zugangsschlüssel für die
Versicherten in diese Telematik-
-
Infrastruktur. Eine Frage, die in den
vergangenen Jahren immer wieder diskutiert
-
wurde, ist: Ist denn die Gesundheitskarte
Identitätsnachweis? Ist es kein
-
Identitätsnachweis? Bestätigt sie die
rechtliche Identität oder ist das einfach
-
nur so etwas wie eine Kundenkarte? Welche
Auswirkungen hat es denn, wenn es kein
-
Identitätsnachweis wäre? Spielt das eine
Rolle? Jeder Arzt kennt seinen
-
Versicherten. Ist das tatsächlich so oder
hat es eine andere Funktion? Vor der
-
elektronischen Gesundheitskarte gab es die
sogenannte Krankenversicherten-Karte. Die
-
hatte allein die Aufgabe, zur
Abrechnungszwecken zu dienen. Damit
-
konnten Ärzte gegenüber den Kassen
letztendlich ihre Rechnungen stellen und
-
so wurden sie bezahlt. Bei der
Gesundheitskarte ist es als äquivalent zu
-
Heilberufeausweisen oder auch zur
Institutionskarte und ist der zentrale
-
Zugangsschlüssel für die Versicherten ins
Gesundheitswesen. Im Rahmen der
-
Digitalisierung werden immer mehr
Leistungen im Gesundheitswesen
-
arbeitsteilig erbracht und immer mehr
digitalisiert. Im Rahmen der Einführung
-
der elektronischen Gesundheitskarte gab es
auch die sogenannten Paragraph 291a SGB 5
-
Anwendung, das heißt medizinische
Anwendung: Was soll mit der
-
Gesundheitskarte noch alles gemacht
werden? Es soll so weit gehen, dass sogar
-
der Ort gespeichert wird, wo der Patient
die Zustimmung zu seiner Organspende
-
abgelegt hat. Also nicht die Zustimmung
selbst, sondern allein: Wo ist der Ort?
-
Und natürlich, wir haben es vorhin schon
gehört, der zentrale Zugangsschlüssel für
-
die elektronische Patientenakte. Darüber
hinaus bleiben und kommen Anwendungen
-
hinzu, wie zum Beispiel bei Direkt-
Krankenkassen, die gar keine
-
Geschäftsstellen mehr haben. Die müssen ja
irgendwie elektronisch mit ihren
-
Versicherten kommunizieren. Die
Anforderung, wir hatten es vorhin gehört,
-
ist: Selbst in Einzelfällen darf es nicht
möglich sein, auf die Gesundheitsdaten
-
zuzugreifen. Aber es gibt solche
Instrumente wie eine Patienten-Quittung.
-
Und in dieser Patienten-Quittung steht
drin, was die Krankenkassen für die
-
einzelnen Versicherten in den vergangenen
18 Monaten gezahlt haben. Hier kommen wir
-
auf das zurück, was Martin anfangs sagte.
Die Identität des Verfahrens-Betroffenen
-
muss vor Übermittlung von Sozialdaten
festgestellt werden. Das ist ein ganz
-
zentraler Punkt und der sich ganz
wesentlich davon unterscheidet, was wir
-
aus anderen Bereichen kennen. In anderen
Bereichen kann es ausreichend sein, dass
-
man im Nachhinein feststellt: Ach du liebe
Zeit, da ist ja etwas schief gelaufen, und
-
wir korrigieren das. Wir gleichen das
Konto aus, wir ziehen das alles wieder
-
gerade. Hier, bei der Übermittlung von
Sozialdaten, von Gesundheitsdaten, wird
-
Wissen übermittelt. Es geht Wissen aus den
Krankenkassen raus. Was haben die
-
Patienten, welche Leistungen wurden
erbracht? Dieses Wissen ist nicht
-
zurückzunehmen. Wenn es einmal draußen ist
und in den Händen der falschen Person
-
gelangt ist, ist es weg. Deswegen sind so
klassische Verfahren und Drohpotenziale:
-
Ich kann hinterher feststellen, wem
irgendwelche Informationen zugegangen
-
sind, hier nicht hilfreich. Als
verschärfende Maßnahme kommen ... oder
-
verschärfendes Element kommt hinzu, dass
eben in Einzelfällen schon verhindert
-
werden muss, dass man auf diese Daten
zugreift. Und deswegen sagen die
-
Datenschützer: Es müssen Verfahrenswege
vorgegeben werden, die gar nicht erst die
-
Gefahr bergen, gegen das soziale Geheimnis
zu verstoßen. Das heißt, diese Verfahren
-
müssen wirklich wasserdicht sein, sodass
man von vornherein ausschließen kann, dass
-
diese Informationen an die Unberechtigten
ausgegeben werden. Weil das so ein
-
zentrales Element ist, wurde schon sehr
früh bei der Einführung der
-
Gesundheitskarte, bzw. das war noch vorher,
nämlich bei der Definition der
-
Sicherheitsarchitektur bereits im Jahr
2003 und 2004, festgelegt, dass einerseits
-
der Schutzbedarf sehr hoch ist. Deutlich
höher als zum Beispiel bei Finanzdaten.
-
Und es wurde auch bestimmt, dass
Identitäten, die als Basis für
-
elektronische Zertifikate dienen, genau
auf demselben Schutzbedarfsniveau erfasst
-
und bestätigt werden müssen wie diese
Zertifikate. Das macht ja Sinn, weil das
-
schwächste Glied bestimmt die Kette.
Daraufhin wurde festgelegt, dass die
-
Verfahren wie Krankenkassen die alten
Krankenversicherten-Karten ausgegeben
-
haben, dass das nicht mehr ausreichend
ist. Nämlich damals wurden einfach diese
-
Versicherten-Karten auf Zuruf "Meine Karte
ist defekt, ich habe verloren, ich habe
-
meine Krankenkasse gewechselt", wurden
diese Karten neu ausgegeben, und hier
-
wurde bestimmt, dass die Fachverfahren
zwischen dem Versicherten und der
-
Krankenkasse auf das neue Niveau
anzupassen sind und es wurden explizit die
-
Worte Identifizierung und Registrierung
genutzt. Bei den ganzen Aufwendungen, die
-
man im Rahmen der letzten Jahre
durchgeführt hat, hat man einen sehr
-
starken Fokus auf die technische
Realisierbarkeit gelegt. Die
-
organisatorischen Prozesse und Abläufe
sind dort leider an manchen Stellen nicht
-
so umgesetzt worden, wie es vorgegeben
war. Im Jahr 2016 hat die CDU-
-
Bundestagsfraktion einen Kongress
durchgeführt zum Thema eHealth. Und in
-
seinem Beitrag zu diesem Thema hat Herr
Kauder damals gesagt: "Es reicht ein
-
einziger Vorgang, um das Vertrauen der
Menschen in dieses digitale
-
Gesundheitswesen erheblich zu
erschüttern." Und weiter hat er
-
ausgeführt: "Davon wird der Erfolg
abhängen, diese Digitalisierung im
-
Gesundheitswesen, dass die Sicherheit
gelingt." Die ganzen Vorteile sind nett
-
und schön und erstrebenswert. Aber wenn
die Sicherheit nicht gelingt, dann wird es
-
keine Akzeptanz in der Bevölkerung finden.
Wir haben uns das Ganze mal etwas genauer
-
angeguckt. Martin sagte, das Thema
elektronische Gesundheitskarte begleitet
-
mich selbst schon einige Jahre. Hier sieht
man, wann in welchem Jahr es mir gelungen
-
ist, mit einfachsten organisatorischen
Anläufen jeweils in Besitz einer
-
Gesundheitskarte zu gelangen. 2014, 2015,
2016, 2017 -- letztes Jahr habe ich darauf
-
verzichtet -- und dieses Jahr wieder. Die
Angriffsszenarien, die wir durchgeführt
-
haben, unterscheiden sich nur unwesentlich
gegenüber dem, wie es anfangs war. Reichte
-
es anfangs aus, dass ich einfach irgendwo
bei einer Krankenkasse angerufen habe und
-
sagte: "Ich bin umgezogen" wurde mir eine
neue Karte zugeschickt. Das hat sich über
-
einige Jahre durchgezogen. Nun ist es
etwas komplizierter geworden. Wir müssen
-
eine E-Mail schreiben.
Lachen im Publikum
-
Und wesentlich um in diesen Besitz der
Karte zu gelangen, ist es, dass wir die
-
Adresse ändern. Es gibt zwei wesentliche
Angriffsszenarien, die aus unserer Sicht
-
möglich sind. Nämlich einerseits die
Adressänderung durch einen Versicherten
-
und die Adressänderung durch Arbeitgeber.
Es gibt ein Meldeverfahren, bei dem
-
Arbeitgeber Informationen über ihre
Arbeitnehmer an die
-
Sozialversicherungsträger senden. In einer
Richtlinie, die veröffentlicht wurde
-
Anfang des Jahres, wurde beschrieben, dass
Daten, die über den Arbeitgeber an die
-
Versicherung, Sozialversicherungsträger
gesendet werden, als wahr angenommen
-
werden. Hinzu, man muss ja einfach an der
Stelle berücksichtigen, wenn man sich die
-
entsprechenden Richtlinien vom BSI
ansieht, wird dort formuliert, dass
-
identitätsbestätigende Stellen besondere
Sicherheitsmaßnahmen durchzuführen haben.
-
Sie müssen geschult sein müssen, müssen
ein Sicherheitskonzept haben und das --
-
unterstellt man -- wird vom Arbeitgeber
automatisch durchgeführt. Wir haben darauf
-
verzichtet, diesen Angriff durchzuführen.
Wir haben uns erst mal wieder auf die
-
Adressänderung durch den Versicherten
fokussiert. Wir haben uns mal angeguckt:
-
Wie macht es denn die AOK Hessen? Und wie
Sie sehen: Wir müssen eine E-Mail
-
schreiben. Und es heißt: "aus
Datenschutzgründen", "und kein Missbrauch
-
durch Dritte Erfolgen kann", "nur
schriftlich oder persönlich zu
-
übermitteln", "entweder in einem Brief
oder Fax oder per eingescannten Brief in
-
einer E-Mail". Der Sicherheitsgewinn eines
eingescannten Brief per E-Mail zu
-
verschicken ist gering bis null. Und es
ist nicht alleine damit getan, dass ich
-
dann einfach eine Adresse ändere. Nein,
ich kann auch noch direkt online der
-
Einfachheit halber trotz bestehenden
Versicherten-Stammdaten-Abgleich über den
-
auch eine Adressänderung möglich wäre,
kann ich mir gleich eine neue
-
Gesundheitskarte bestellen. Das heißt hier
haben wir eine ganz einfache Möglichkeit,
-
eine E-Mail zu schicken mit einem völlig
unverbindlichen Schreiben. Und dann,
-
wenige Tage später, kommt an eine neue
Adresse eine Gesundheitskarte und diese
-
Gesundheitskarte, wie ich vorhin sagte,
ist der zentrale Zugangspunkt für die
-
gesamte Telematik-Infrastruktur. Das
heißt, einer der Schwachpunkte ist die
-
nicht sicherheitsrelevante oder nicht
entsprechend der Sicherheitsanforderungen
-
durchgeführte Adressänderung durch den
Versicherten selbst.
-
Martin: Was dazu noch zu sagen ist, gehen
wir nochmal eine Folie zurück. Wir haben
-
ja die Aussage des Bundesamts für
Gesundheit, dass diese Telematik-
-
Infrastruktur insbesondere deswegen jetzt
unbedingt eingeführt werden muss, weil das
-
Fax ja so unsicher ist. Wir wollen was,
was zumindest sicherer ist als das Fax.
-
Damit hat man auch schon eine
Pressemitteilung ausgegeben und die
-
Ärzteblätter haben geschrieben: Telematik-
Infrastruktur, diese neue Gesundheitsnetz,
-
ist sicherer als das Fax. Wenn man das
unbedingt will, gut, kann man sagen. Das
-
Lustige ist: Wir haben auch bei Christians
Beantragung, die Sachen immer schön per
-
Fax abgeschickt. Genauso hier. (flüsternd)
Wir müssen uns beeilen.
-
André: Jetzt haben wir eine Aussage, eine
AOK, es ist nicht die AOK Hessen, es ist
-
die AOK Rheinland-Pfalz, die gesagt hat:
"Im Sinne kundenorientierte Prozesse
-
müssten Krankenkassen im Rahmen einer
vertrauensvolle Kundenbeziehung
-
Postadressen grundsätzlich als wahr
annehmen." Okay, kann man machen. Die
-
Gesundheitsministerin aus Rheinland-Pfalz
sagte, dass, bevor nun auf medizinische
-
Daten zugegriffen wird, unbedingt vorher
eine Identitätsprüfung stattfinden muss.
-
Wir wissen, dass nächstes Jahr Zugriff auf
elektronische Patientenakten stattfinden
-
soll. Nicht einer von Ihnen hat irgendeine
Identitätsprüfung für seine Krankenkasse
-
durchgeführt. Das hat diese Anfrage, diese
Anfrage hat das ZDF an die
-
Gesundheitsministerin gestellt und es kam,
die Antwort war: "Das wussten die
-
allerdings auch schon vorher." Und diese
Aussage, diese Aussage war nicht von
-
diesem Jahr, sondern die ist von 2015.
Geändert hat sich bis jetzt wenig. Gas
-
geben. Soll ich das überspingen? Wir haben
so viele. Also, zum Thema Gesundheitskarte
-
und Identitätsnachweis noch eins: Es wurde
gesagt, dass die Identitätsnachweis ein
-
eingeschränkt, die Gesundheitskarte ein
eingeschränkter Identitätsnachweis ist.
-
Was ist das? Vorname zu 60 Prozent?
Vereinzeltes Lachen
-
Einen eingeschränkten Identitätsnachweis
gibt es nicht. Es gibt entweder nur
-
bestätigt oder nicht finden. Und auch ein
PIN ändert an dieser Aussage der
-
Identitätsbestätigung nichts. Und damit
die Gesundheitskarte eingesetzt werden
-
kann, muss das Ganze mit einem
ordnungsgemäßen Identitätsnachweis
-
verknüpft sein. Wenn diese...
Martin: Sorry, ich muss kurz vorgehen. Wir
-
haben nämlich so viele Dinge zu zeigen,
wir heben uns die Folie für die Fragen
-
auf, wenn da halt konkret Fragen dazu
sind. Und ich würde sagen, wir gehen jetzt
-
zum zweiten Teil, zum letzten Teil, zum
vierten Teil, zum Korrektor und kommen
-
dann nochmal auf das, was wir heute
eigentlich gelernt haben.
-
Christian: Jetzt könnte man uns vorwerfen,
wir hätten ja nur ein Teil der TI uns
-
besorgt und uns angeschaut. Das Herzstück,
also hat es unser Gesundheitsminister mal
-
bezeichnet, der Connector. Dieses schöne
Gerät verbindet praktisch die Praxis mit
-
der TI. Und um uns das genauer
anzuschauen, muss man es natürlich auch
-
bestellen, erstmal. Die Dinger sind
allerdings meistens nur im Paket zu haben,
-
ist sauteuer, so knapp zweieinhalb Tausend
Euro. So viel wollte ich als Hobby-IT-Sec-
-
Mensch jetzt doch nicht investieren. Aber
wir haben einen Anbieter gefunden, der das
-
Ganze, auch den Konnector, einzeln
verkauft. Das war ein relativ einfaches
-
Prozedere, ein einseitiges Fax an die
Firma. Dann hat es ein wenig gedauert.
-
Also seriously, lieben beide Firmen, drei
Monate Lieferzeit, das gibt nur einen
-
Stern, und deswegen haben wir euch auch
die Disclosure-Frist ein wenig gekürzt.
-
Dann wurde dieser Konnector mit der
sicheren TNT-Express-Lieferkette geliefert
-
an eine vertrauenswürdige Person,
natürlich wie immer.
-
Lachen
Applaus
-
M: Ja, damit hatten wir sie alle, das
Quartett, auf dem die Sicherheit dieser
-
Telematikinfrastruktur beruht. Die
zentrale Sicherheitsfunktion oder
-
Sicherheit dieser Telematikinfrastruktur
beruht auf der Sicherheit dieser
-
Kartenherausgabeprozesse. Wir haben
gesehen, die sind alle etwas
-
verbesserungsbedürftig. Wir konnten uns
ohne Probleme all diese Dinge verschaffen,
-
auf Identität anderer Menschen, anderer
Ärzte. Was bedeutet das? Naja, zum ersten
-
Mal bedeutet das, dass diese großen
Hoffnungen bzw. Versprechungen, die
-
gemacht worden sind, dass die wohl nicht
viel wert sind bzw. dass die nicht ehrlich
-
waren. Versprechungen wie der Gematik,
dass wir europaweit ein einzigartiges
-
Sicherheitsniveau hätten oder auch des
Bundesverbands der Vertragspsychologen,
-
die sagen, ja, der Chaos Computer Club,
dem ist es ja auch nicht gelungen, da
-
einzudringen, ja deswegen ist es sicher.
Ich frag mich auch, woher die so ein
-
Statement nehmen, ja. Also so etwas sollte
niemand in die Welt setzen. Das ist ganz
-
gefährlich.
Applaus
-
M: Das Bundesministerium für Gesundheit
ist natürlich absolut von der Sicherheit
-
überzeugt. Wir wissen ja alle: Absolute
Sicherheit gibt es nicht. Und deswegen,
-
das sagen auch andere, muss man doch, wenn
man hier etwas kommuniziert, was Nutzen
-
hat, aber auch die Risiken bitte betonen
und nicht nur von Absolutem reden, sondern
-
sagen: Gut, es kann etwas passieren. Wir
haben das Risiko eingeschätzt, wir haben
-
es quantifiziert, und wenn etwas passiert,
dann sind wir vorbereitet. Wir können
-
diese Risiken mitigieren. Wir können dann
den Schaden ausgleichen, etwas derart,
-
also wie der Versicherte oder der Nutzer,
der Patient hier geschützt werden kann.
-
Das fehlt völlig bei dieser Absolutheit-
beherrschten Diskussion von: Wir sind ja
-
absolut sicher, wir sind Weltspitze. Das
System weltweit, sagen die Hersteller
-
dann, einzigartige Sicherheit. Wir haben
ja gesehen, soweit, ich glaube, vielleicht
-
in Leipzig, vielleicht Spitze, oder, ja.
Das Spannende ist auch, dass diese Fehler,
-
die wir hier gesehen haben, die sind nicht
neu. Die Bundesdruckerei weiß schon sehr
-
lange, das veröffentlichen die in ihrem
eigenen, in einem eigenen Expertise, wo
-
sie ihre eigenen Produkte wieder anbieten
wollen, dass es in der
-
Telematikinfrastruktur ja gar nicht so
sicher ist. Die Bundesdruckerei sagt, dass
-
diese postalischen Ausgabewege, dieses
Verschicken von irgendwelchen hoch-
-
sicheren Karten, dass das ja gar nicht so
gut ist mit der Deutschen Post, die Sachen
-
einfach durch die Luft zu schicken.
Einfach ein Nachsendeauftrag reicht, und
-
schon hab ich die Dinge bei mir, an meine
Adresse. Und das weiß die Bundesdruckerei.
-
Und die gibt trotzdem diese Karten heraus.
Also, da muss man sich fragen: Wenn das
-
Wissen da ist, wo ist die Verantwortung?
Und dann wissen wir, dass es nicht nur die
-
Patientenakte ist oder die jetzt
spezifizierten Dienste, die nach
-
Sozialgesetzbuch kommen sollen, die wir
alle eben gehört haben. Ganz viele
-
zusätzliche private Anbieter wollen diese
Telematikinfrastruktur nutzen, um darüber
-
mit ihren Heilberuflern zu sprechen, um
darüber die Versicherten, mit denen sie
-
sprechen wollen, diese zu identifizieren.
Das funktioniert doch alles nicht, wenn
-
wir diese Basisinfrastruktur schon so
kaputt vorfinden. Die Idee ist ja gut.
-
Aber da müssen wir sie auch richtig
machen. Aber da kommen wir zu den
-
positiven Aspekten. Denn bevor wir zu dem
Gesamtfazit kommen, soll man ja sagen, es
-
gibt ja auch positive Aspekte. Und da
möchte ich dem André Zirlich nochmal das
-
Wort geben.
A:Also wir sehen, dass die wesentlichen
-
gesetzlichen Rahmenbedingungen so
geschaffen wurden, dass auch eine
-
Digitalisierung stattfinden kann. Und die
Gematik hat ganz viel richtig
-
spezifiziert. Und wir finden es auch
richtig, dass die Infrastruktur durch
-
staatliche Stellen kontrolliert wird und
dass Anbieter, private Anbieter, die diese
-
Infrastruktur nutzen sollen, um weitere
Dienste anzubieten. Denn ohne diese
-
Infrastruktur stehen die privaten Anbieter
alle vor derselben Frage, die durch kleine
-
Unternehmen einfach nicht zu leisten sind.
Wie schaffe ich es, real existierende
-
Personen sicher, zuverlässig,
rechtsverbindlich in die digitale Welt
-
rein zu bekommen? Das ist einmal aufwendig
und zum anderen für die Betroffene oder
-
diejenigen, die mitmachen wollen, immer
lästig, weil wir immer irgendwo hinlaufen.
-
Deswegen ist es richtig. Jeder von Ihnen
hat auch nur einen Personalausweis.
-
Hoffentlich. Genau dieses, dieses zentrale
Element, eines, einer digitalen Identität
-
für das Gesundheitswesen zu haben und
diese für alle Anwendungen zu nutzen. Das
-
ist genau richtig. Und als notwendige
Maßnahmen zur Schadensbegrenzung dessen,
-
was wir jetzt aufgezeigt haben. Auch dort
hat die Gematik schon einiges richtig
-
gemacht. Sie hat spezifiziert, dass, wenn
Angriffe auf den Vertrauensraum
-
stattfinden, dass die Gematik dann
schlicht und ergreifend prüfen muss, ob
-
die Zulassung für diese Anbieter bestehen
bleiben oder ob sie, weil sie als
-
kompromittiert anzusehen sind, zurück
entzogen werden müssen. Das A und O, und
-
ich denke, das haben wir in den
vergangenen Minuten gezeigt, ist, dass die
-
Beantragung, Identifikation und die
Ausgabe entsprechend dem Schutzbedarf von
-
Gesundheits. und Sozialdaten durchgeführt
werden. Diese Prozesse müssen so sein,
-
dass sie sicher sind und eben nicht wie
für eine Kundenkarte. Was sich in den
-
vergangenen Jahren gezeigt habe und immer
wieder Thema ist: Die Gesundheitskarte ist
-
ein Identitätsnachweis und muss auch so
bezeichnet werden und so ausgegeben
-
werden. Und um das Ganze zu machen,
durchzuführen, ist es nicht nur notwendig,
-
dass man jetzt an irgendeiner
Stellschraube macht, sondern es sind
-
organisatorische Prozesse neu zu
definieren. Diese organisatorischen
-
Prozesse müssen genehmigt, implementiert
werden. Und dann kommt leider der
-
geschwindigkeitsbestimmende Schritt, dass
ganz viele Personen real von diesen
-
Prozessen betroffen sind und persönlich
irgendwo hingehen müssen. Sie können es
-
nicht online machen. Wir haben es gezeigt,
sie können nicht online, sondern... Das
-
ist einfach ein
geschwindigkeitsbestimmender Schritt. Und
-
das wird viel Zeit in Anspruch nehmen. Und
was wir im Laufe unserer Diskussionen auch
-
immer wieder festgestellt haben, ist, dass
es eine organisierte
-
Verantwortungslosigkeit gibt. Es gibt sehr
viele Teilbereiche, die für Teilabläufe
-
und technische Lösungen zuständig sind.
Aber die Gesamtverantwortung von: Nicht
-
nur eine Ende-zu-Ende-Verschlüsselung im
technischen Sinne, sondern auch, dass man
-
eine Ende-zu-Ende-Betrachtung der
organisatorischen Prozesse durchführt. Das
-
ist total wichtig, und das ist
entscheidend, damit auch die Menschen, die
-
real existieren und nicht nur irgendein
elektronisches Abbild sind, die
-
Telematikinfrastruktur vernünftig nutzen
können.
-
M: Damit sind wir schon fast am Ende, das
sind die zentralen Statements. Eigentlich
-
hätten wir diesen Talk mit dieser Folie
hier heute zeigen können und wären dann
-
auch fertig gewesen. Stattdessen haben wir
jetzt 55 oder 50 Minuten geredet. Aber
-
trotzdem: Ich hoffe, es hat gefallen, denn
das sind die zentralen Statements. Man
-
braucht, um diese Telematik-Infrastruktur
sicher gestalten zu können höchste
-
Sicherheit und Datenschutzanforderungen.
Die Anforderungen sind auch da. Die sind
-
allen bekannt. Grundvoraussetzungen, das
steht in diesen Anforderungen, ist die
-
zweifelsfreie Identifikation aller
Teilnehmer. Das haben wir ja gesehen, weil
-
man sich ja nur noch ausweisen muss, um
auf diese Daten zugreifen zu können. Was
-
haben wir herausgefunden? Identifikation
findet nicht statt. Diese Schlussfolgerung
-
ist so banal, dass man sich doch fragen
muss: Wie konnte das passieren? Wie könnte
-
man vergessen, diesen wichtigste Schritt
hier implementieren? Und wie konnte das
-
nicht auffallen, selbst nach
Sicherheitsaudits? Ursprünglich war mein
-
Ziel ja, sich die Technik anzuschauen und
sich diese Komponenten zu bestellen,
-
vielleicht mit dem Christian zusammen, der
autorisiert ist, der Arzt ist. Wir haben
-
schon beim Bestellprozess aufhören müssen,
weil da waren wir schon durch. Vielleicht
-
kommen wir ja nächstes Jahr dann dazu,
wenn diese notwendigen Maßnahmen umgesetzt
-
sind, uns dann noch einmal tief in die
Eingeweide zu begeben. Aber für heute
-
haben wir unser Ziel schon erreicht
gehabt. Und jetzt ist erst einmal, ganz
-
wichtig, Arbeit angesagt bei den
Betroffenen, bei den Beteiligten, bei den
-
Verantwortlichen, diese hier geforderten
Maßnahmen erstmal umzusetzen. Bevor wir
-
dann nochmal neu an diese Patientenakte
gehen, und uns dann daran wagen,
-
vielleicht mit einer etwas moderateren
Aussage diese Akte einzuführen. Und auch
-
eine ein bisschen ehrlichere
Selbsteinschätzung zu dem Thema, das würde
-
ich mir wünschen für das Jahr 2020. Das
wird 2021 dann trotzdem in den Nutzen
-
können für medizinische Anwendungen, aber
nicht so eben. Das haben wir jetzt
-
gesehen. Also so darf das nicht laufen.
Ich würde sagen, wir haben noch ein
-
bisschen Zeit für Fragen. Dann würden wir
jetzt die Fragen angehen.
-
Applaus
Herald: Vielen Dank Martin, Christian und
-
André. Wunderbarer Talk. Wenn ihr Fragen
habt, stellt euch bitte an den Mikrofonen
-
auf oder nutzt die Möglichkeit, die Fragen
online zu stellen. Signal-Angel, gibt es
-
Fragen aus dem Netz?
Signal-Angel: Ja, die gibt es. Hier fragt
-
der User "Space" an den Martin Tschirsich:
Kann ich irgendwo Ärzte finden, die sich
-
nicht an die Telematik angeschlossen
haben? Also es geht im IRC darum, dass es
-
dann in Anführungszeichen nur einen
Honorarabschlag geben sollte.
-
M: Ich glaube, das ist eine Frage, die
tatsächlich lieber ein Arzt selber
-
beantwortet. Vielleicht gebe ich die Frage
direkt an den Christian weiter.
-
C: Also ja, es gibt Ärzte, die sich nicht
an die TI angeschlossen haben. Wenn ihr
-
das googelt: Es gibt mehrere Initiativen
von Ärzten, die sich weigern, sich
-
anschließen zu lassen, und diese
Honorarabschläge in Kauf nehmen. Also die
-
bezahlen dafür, dass eure Daten sicher
sind. Ich habe die Homepage leider gerade
-
nicht auswendig im Kopf. Googlet es
einfach mal, ihr werdet es finden.
-
Irgendwie "TI frei" oder ähnliches. Das
findet ihr.
-
Herald: Dankeschön. Mikrofon Nr. 4, deine
Frage, bitte!
-
Frage: Danke für den Talk! Meine Frage
ist: In dem schönen Video am Anfang hat es
-
ja geheißen, dass das alles in Kontrolle
des Patienten ist. Wie funktioniert das?
-
Kann der Arzt einfach einen beliebigen
Schlüssel anfragen von dieser
-
Infrastruktur oder wie gibt der Patient
sein Einverständnis dafür?
-
M: Der Patient soll sein Einverständnis
über die App geben können oder auch mit
-
seiner Gesundheitskarte beim Arzt direkt.
Das ist die einfachste Variante. Also der
-
Patient geht zum Arzt steckt seine
Gesundheitskarte, gibt eine PIN ein, die
-
einige jetzt schon bekommen haben, alle
anderen dann nächstes Jahr oder zumindest
-
bevor diese Patientenakte da ist, und gibt
dem Arzt damit Zugriff auf seine
-
Patientenakte. Für einen gewissen
Zeitraum, den darf er sich selber
-
aussuchen und damit hat der Arzt Zugriff.
Für den Arzt wird dann dieser
-
Aktenschlüssel spezifisch für seine
berechtigten Schlüssel verschlüsselt
-
hinterlegt beim Aktenanbieter. So
funktioniert das technisch. Auf das
-
Technische können wir dann nach dem Talk
auch gerne nochmal eingehen. Das ist alles
-
sehr kompliziert. Es ist symmetrische
Verschlüsselung und nicht so
-
handelsüblich.
Herald: Danke! Mikrofon Nr. 8, deine
-
Frage!
Frage: Jo, danke für eure Arbeit für die
-
Gesellschaft. Gibt es einen Opt-Out für
Patienten?
-
M: Die Patientenakte soll freiwillig sein.
Das heißt, es ist ein Opt-In. Noch bzw.
-
aktuell. Es gibt aber verschiedene
Sachverständige, Gruppierungen,
-
Expertisen, die fordern, es muss ein Opt-
Out werden, weil mit Opt-In wirklich nicht
-
ausreichend Menschen diese Akte nutzen
werden und dann die positiven Effekte für
-
die Versorgung ausbleiben. Und wenn man
diese Akte ja schon mal hat und man die
-
träge Masse gerne mitnehmen will, dann
möchte man gerne zum Opt-Out-Verfahren,
-
wie das auch schon in anderen Ländern
passiert ist. Ich meine, in Österreich ist
-
ein Opt-Out, in Australien ist auch ein
Opt-Out, wobei auch dort, meine ich,
-
früher mal von einem Opt-In die Rede war.
Das heißt, auch hier besteht diese
-
Möglichkeit, dass das zukünftig einmal
eine Gesetzesänderung geben könnte, kann
-
man sich alles vorstellen, und dass das
dann zum Opt-Out geht. Ich möchte darauf
-
aufmerksam machen, dass ich weiterhin
dafür plädiere, dass die Einsetzung für
-
alle Opt-In bleibt. Denn wer diese träge
Masse, all die, die nicht die Zeit oder
-
die Expertise haben, sich das anzuschauen,
wer diese mitnehmen möchte, indem er auf
-
ein Opt-Out geht, der muss auch die
Verantwortung dafür übernehmen für diese
-
Daten. Und das will aber keiner. Wenn man
das so formuliert, ich glaube, da bleiben
-
wir länger beim Opt-In.
Herald: Dankeschön. Mikrofon Nummer 7! Was
-
möchtest du wissen?
Mikrofon 7: Ich hoffe, dass ich jetzt
-
nicht Äpfel und Birnen vergleiche. Aber
ich kenne jetzt aus dem Gesundheits- und
-
Pflegebereich ein ganz massives
Überlastungsproblem, was eben
-
Dokumentationspflichten,
Abrechnungspflichten, etc. mit den
-
Krankenkassen, mit dem Nachweis der
Professionalität der Arbeit in
-
Krankenhäusern, in externen Pflegediensten
usw. dann eben angeht. Und ich habe den
-
Verdacht, wenn man da keine
Digitalisierung reinbringt, ist das ein
-
unglaublicher Overhead, der momentan
massiv zulasten der Patienten und der
-
Pflegenden geht. Seht ihr irgendeine
Chance, dass man da tatsächlich effiziente
-
digitale Abläufe reinbringt, die wirklich
eine Dokumentation beim Patienten, eine
-
Abrechnung bei der KV, etc. irgendwie
schnell und zügig machen – und nicht
-
irgendwie einen halben Arbeitstag einer
Pflegerin, die meinetwegen etwas anderes
-
machen will, mit Papierkram daneben
blockiert?
-
C: Also, ich gebe dir Recht, ich arbeite
auch in Krankenhäusern, freiberuflich oder
-
kurzzeitig angestellt. Ich habe da in den
letzten 15 Jahren durch Digitalisierung
-
nicht erlebt, dass dadurch mehr Zeit für
Patienten entstanden wäre. Es gibt ein
-
paar minimale Verbesserungen, z. B. bei
Röntgenaufnahmen, die ja früher nur
-
singulär auf einer einzigen Folie waren,
dass die jetzt verschickt und kopiert
-
werden können. Die Fortschritte sind sehr
gering. Also die Versprechen sind
-
natürlich da: Wenn sie digitalisieren,
haben sie mehr Zeit für Patienten. Dass es
-
in der Praxis aber wirklich so große
Effekte bringt wie versprochen, würde ich
-
eher nicht erwarten und auch noch nicht
sehen für die nähere Zukunft.
-
M: Unabhängig davon ist die aktuelle
Patientenakte eine Versorgungsakte. Das
-
heißt, für die Versorgung geplant und
hauptsächlich für die Information des
-
Patienten selber. Ob die tatsächlich
diesen revolutionären Effekt jetzt in
-
unsere Versorgung bringt und diesen
Nutzen, das weiß man nicht. Das will ich
-
aber auch nicht bewerten. Ich bin nur
dafür, dass man neben dem Nutzen, der auch
-
sehr positiv von einigen Seiten
herausgestellt wird, der auch evaluiert
-
und wissenschaftlich begleitet evaluiert
wird, auch die Risiken transparent macht,
-
ja? Beides muss passieren. Und dann muss
man abwägen können: Wenn man Nutzen und
-
Risiken kennt – will man das machen? Und
es gibt einige Anwendungen, beispielsweise
-
verschlüsselte Kommunikation unter Ärzten,
damit die sich gegenseitig Arztbriefe
-
schicken können, die wirklich einfach
umzusetzen sind, die auch sehr sicher
-
kommen werden und die auch einen sehr
hohen Nutzen bringen. Also ich denke
-
schon, es gibt Anwendungen, die Nutzen
bringen. Nur: Wir haben hier mehrfach
-
gehört, der Einzelfall genügt, um das
Vertrauen in dieses System zu reduzieren.
-
Und dann muss man halt sich überlegen, ob
das, was man hier gemacht hat, nicht doch
-
irgendwie besser geht. Und auf jeden Fall
geht das besser! Dass man so ganz
-
grundlegende Schritte beachten muss. Und
deswegen haben wir unsere Maßnahmen
-
dargelegt, unter denen wir uns dann
vorstellen können, dass man dann ruhig mal
-
anfängt mit vielleicht Diensten, die nicht
so ganz so kritisch sind wie die
-
Patientenakte, sondern das KOM-LE-
Verfahren. Also so was wie S/MIME unter
-
Ärzten. Und dann schaut, ob das
funktioniert und dann halt Schritt für
-
Schritt weitergeht. Kann ich mir schon
vorstellen so etwas.
-
Herald: Dankeschön! Mikrofon 5, bitte.
Mikrofon 5: Ja. Unterstützt ihr die
-
aktuell laufende Online-Petition gegen den
TI-Zwang?
-
M: Die Online-Petition gegen den TI-Zwang
ist, soweit … ich hab sie mir
-
durchgelesen, nicht begründet mit den
Gründen, die wir hier aufführen, warum wir
-
aktuell dafür sind, dass man erstmal
gewisse notwendige Maßnahmen umsetzt. Wir
-
sind hier relativ agnostisch rangegangen,
was den Nutzen angeht, sondern haben die
-
Risikiodimension beurteilt und bewertet.
Und diese Petition gegen den TI-Zwang, wo
-
es ja auch verschiedene Gründe gibt, die
gehen hauptsächlich in die Richtung
-
„Haftungsfragen sind ungeklärt“ und die
Nutzungsfrage wird oft von Gruppen
-
abgelehnt. Und das, würde ich sagen, muss
man den Fachgruppen überlassen, ja? Also
-
zumindest ich. Das muss man dann den
Ärzten überlassen, vielleicht kann
-
Christian dazu eine Aussage …?
C: Ich glaube, wir gehen zur nächsten
-
Frage.
Herald: OK. Mikrofon 4 hätte ’ne Frage?!
-
Mikrofon 4: Ja, ich wüsste gerne, ob ihr
wisst, ob es in der Spezifikation
-
irgendwas zum Umgang mit der PIN gibt.
Also ich hab das in einer Arztpraxis
-
erlebt, dass dann ein
Dienstleistungsunternehmen kommt, den
-
Konnektor installiert und zwecks einfacher
Fernwartung den PIN auf eine triviale
-
Kombination ändert, bei allen gleich, und
das in ein Textdokument auf USB-Stick
-
rausträgt. Ist das erlaubt nach der
Spezifikation?
-
C: Ähm … lacht Ich sag jetzt mal so:
Martin ist derjenige von uns, der die
-
Spezifikation auswendig kann, aber ich sag
mal so grob: Nein. Also es ist leider so,
-
dass auch im Gesundheitswesen das, was du
ansprichst, häufig relativ schlechte
-
Passwörter verwendet werden und die auch
an Stellen liegen, wo sie nicht liegen
-
sollten. Das ist … da müssen wir noch sehr
viel dran arbeiten, auch diesen
-
Datensicherheitsgedanken unter Ärzte zu
tragen, woran ich unter anderem auch
-
arbeite – oder wir unter anderem auch
arbeiten.
-
M: Wobei ich sagen muss: Die Anforderungen
sind sicher da. Also die Anforderungen
-
sind wirklich hoch. Aber auch die
Anforderungen, die an die Ärzte und diese
-
ärztliche Umgebung gestellt werden, sind
sehr hoch. Und je höher die Anforderungen
-
geschraubt werden, desto weiter schiebt
man natürlich die Verantwortung, falls
-
dann jemand gegen diese Anforderung
verstößt, von sich. Nur diese
-
Anforderungen erfüllen glaube ich nicht
sehr viele Ärzte, ja? Und da muss man
-
fragen: Sind das realistische
Anforderungen? Und wie sieht das in der
-
Praxis aus? So ein bisschen das, was wir
gemacht haben. Also Technik ist da,
-
Spezifikation ist da, bei der Umsetzung da
hakt es halt noch.
-
Herald: Signal-Angel. Du hast auch noch
was.
-
Signal-Angel: Ja, und zwar eine Frage aus
Twitter von @jesafafa: Kann ich mich als
-
Ärztin davor schützen, dass meine
Identität gestohlen wird? Also
-
wahrscheinlich zur Erlangung dieser
Heilberufeausweise.
-
M: Das wäre sehr wünschenswert, dass man
hier weitere – ich sage mal – Brandmauern
-
einbaut, sodass wenn jemand anderes eine
Karte/Identität in seinem Namen beantragt,
-
dass dann versucht wird, diese neue
Identität erst freizuschalten, wenn man
-
sich irgendwie rückversichert hat. Wenn
man einen Nachsendeauftrag bei der Post
-
stellt beispielsweise, an eine beliebige
Adresse, das kann ich ohne dass ich mich
-
ausweisen muss. Dann geht zumindest an die
ursprüngliche Adresse ein Brief mit
-
„Hallo, wir informieren Sie darüber, dass
Ihre Post nun an eine andere Adresse
-
geht“. So etwas könnte man sich ja auch
hier für diese Praxisausweise noch
-
wünschen. Bei der Gesundheitskarte gibt’s
sowas in der Art schon, was die
-
Patientenakte angeht, aber hier müssen wir
glaube ich noch ein bisschen mehr, ich sag
-
mal, zweite und dritte Verteidigungslinie
einbauen, sodass wenn dieser
-
Kartenherausgabeprozess kompromittiert
ist, dass man dann nicht sofort mit
-
gestohlener Identität jemand anderen
ausgestattet hat. Ansonsten: Jetzt ist der
-
Schutz sehr schwer möglich.
C: Also … Bin ich dran? Was man fordern
-
muss ist, dass sowohl bei der
Antragsstellung als auch bei der
-
Auslieferung dieser Identitätsausweise
eine persönliche Anwesenheit des Arztes
-
notwendig ist. Das heißt, der muss einmal
mindestens hingehen zu der Ärztekammer
-
oder von mir aus auch die apoBank und sich
dort ausweisen. Und beim Empfang muss der
-
auch persönlich anwesend sein und sich
ausweisen oder eben wieder da hingehen.
-
Und da ist die Compliance bei den Ärzten
nicht so hoch.
-
Herald: Danke für eure Antwort. Mikrofon
Nummer 4, deine Frage!
-
Mikrofon 4: Da war eigentlich nur ein
Kommentar zu dem, was eben gesagt wurde,
-
und zwar ist es so, dass ganz viel
Gesundheitsdaten per DVD geschickt werden,
-
weil das anscheinend sicher ist. Und
eigentlich eine Frage habe ich noch: Was
-
ist mit dem Stammdatenabgleich?
Funktioniert der jetzt mittlerweile? Weil
-
letztes Jahr haben sie darüber
nachgedacht, ob sie eine SOAP-
-
Schnittstelle dafür bauen.
C: Also VSDM funktioniert, wird gemacht.
-
Machen wir auch, mache ich auch täglich in
meiner Arbeit. Zu den Röntgenbildern: DVD
-
ist noch nicht so schlimm wie diese ganzen
PACS-Server, die weltweit offen lagen ohne
-
Passwort, wo man nur die URL eingeben
musste. Also es geht immer noch schlimmer.
-
Und ja: VSDM funktioniert.
Herald: Dankeschön! Der Signal-Angel
-
bitte.
Signal-Angel: Eine Frage aus
-
Twitter: Ob die elektronische
Patientenakte eine eindeutige Patienten-ID
-
für alle Menschen in Deutschland
beinhaltet?
-
M: Die Patienten werden in der
elektronischen Patientenakte über ihre
-
Versichertennummer identifiziert und es
gibt eine zentrale Vergabestelle für diese
-
Versichertennummer, die auch bei
Kassenwechsel, meine ich, erhalten werden.
-
Könnte der André jetzt sicher noch was zu
sagen.
-
A: Also jeder Versicherte hat eine
lebenslange, eindeutige
-
Versichertennummer, die er dann auch bei
Kassenwechsel mitnimmt. Ja, das heißt, ich
-
habe dort einen Datensatz, der einer
Person zugeordnet ist. Nur: Das, was wir
-
heute gezeigt haben, das führt dazu, dass
man eben nicht sicher sein kann, dass da
-
auch genau dann diese Person tatsächlich
auf diese Information zugreift. Weil hier
-
einfach bei den Übergabeprozessen und den
Identitätsbestätigungsprozessen nicht
-
sichergestellt ist, dass tatsächlich die
richtige Person auch in Besitz dieser
-
Zugangsinformation kommt.
Herald: Dankeschön. Mikrofon Nummer 1.
-
Deine Frage!
Mikrofon 1: Spricht aus eurer Sicht
-
irgendwas dagegen, statt der EGK einfach
den neuen Personalausweis zu benutzen?
-
M: Es gibt tatsächlich einen, bzw. mehrere
Projekte glaube ich, oder
-
Vorgängerprojekte, die genau das
versuchen: Eine Identität abzuleiten vom
-
Personalausweis, die man dann auch im
Gesundheitswesen nutzen kann. Ich glaube,
-
in die Richtung gibt es Gedanken. Es gab
ja auch mal die Idee, eines Bürgerportals
-
mit BürgerCard. Also da gibt es viele
Überlegungen, den NPa zu nutzen. Nur
-
momentan haben wir halt eine eigene PKI im
Gesundheitswesen. Also unseren eigenen
-
Vertrauensraum, der noch ganz abgekoppelt
ist vom NPa. Und das hat auch Gründe, dass
-
man, wenn man am NPa weitere Attribute
speichern wollte, wie beispielsweise die
-
Versichertennummer, dass das ein sehr
langwieriger Prozess ist, bis man da die
-
Spezifikation so geändert hat, dass der
NPa auch so etwas speichert wie eine
-
Versichertennummer. Ansonsten müsste man
wieder ein Register aufbauen, wo jeder
-
NPa Bürger irgendwie zugeordnet wird mit
Versichertennummer. Und da ist halt die
-
Frage: Will man so etwas? Also ich glaube,
aus verschiedenen Gründen hat man sich
-
dazu entschieden, hier eine eigene
Hierarchie aufzubauen.
-
A: Es reicht eben nicht aus, dass man in
dem Gesundheitswesen nur sich selbst
-
identifiziert und sagt: Ich nutze meine
eID-Funktion des NPa um zu sagen: Ich bin
-
ich. Sondern ich muss auch immer noch die
Information mitbringen, das Attribut
-
mitbringen, bei wem bin ich versichert.
Und diese Information, bei wem bin ich
-
versichert, ist aktuell auf dem NPa nicht
abspeicherbar.
-
Herald: OK. Dankeschön. Mikrofon Nummer 6,
deine Frage!
-
Mikrofon 6: Ist es irgendwie vorgesehen,
dass mein Arzt, mein Zahnarzt z. B., auf
-
die gesamte Akte zugreifen kann oder nur
auf den Teil, der überhaupt für ihn
-
vorgesehen ist?
C: Klares Jein. Also ursprünglich war’s so
-
vorgesehen, dass man selektiv jede
Information in der Patientenakte dem
-
speziellen Arzt freischalten kann. Also
dass der Urologe nur die
-
Geschlechtskrankheiten weiß und der
Zahnarzt nur die Zahnkrankheiten.
-
Gesundheitsminister Spahn hat aber jetzt
versucht, da Druck zu machen, um das
-
schneller einzuführen und weil dieses
Rechtemanagement, wissen wir alle, recht
-
kompliziert ist, wollte er das auf ein
Alles oder Nichts runterdrücken. Was
-
letztendlich kommt, werden wir in einem
Jahr sehen. Frühestens.
-
M: Es steht schon fest: Also wir wissen,
dass die elektronische Patientenakte, wie
-
sie 2021 kommt, erstmal nur eine Alles-
oder-Nichts-Akte ist. Also da muss ich mir
-
halt überlegen, welchem Arzt ich diese
Akte freigebe. Und bei gewissen ärztlichen
-
Behandlungen – also beispielsweise
psychotherapeutische Behandlung; würde ich
-
dann nicht als Patient zum
Psychotherapeuten gehen und bitten,
-
Gutachten dort einzustellen. Sondern ich
muss das erstmal für Dokumente verwenden,
-
bei denen ich davon ausgehe, dass sie den
anderen Ärzten, denen ich diese Akte
-
freigebe, auch gesehen werden können ohne
dass das für mich irgendwelche negativen
-
Folgen hat. Darüber wird man auch
aufgeklärt. Und dann soll in der zweiten
-
Version 2022 dieses Rechtemanagement
nachgeliefert werden. Das können wir
-
allerdings momentan noch nicht beurteilen,
weil die Spezifikation dazu … ist noch
-
nicht öffentlich. Und ich nehme an, sie
wird ausgearbeitet.
-
Herald: OK. Vielen Dank euch Dreien fürs
Rede und Antwort Stehen! Verabschiedet die
-
drei bitte mit einem kräftigen Applaus!
-
Applaus
-
C: Ganz herzlichen Dank für die
Moderation!
-
Abspannmusik
-
Untertitel erstellt von c3subtitles.de
im Jahr 2020. Mach mit und hilf uns!
