17 // einfacher vorsatz
Die angenehme Pflicht vorneweg: Die besten Wünsche für den Übergang zu und den ganzen Rest von 2025.
Jetzt aber: Wie meistens komme ich erst nach Abschluss des Chaos Communication Congress' dazu, mir einige der Talks von dort anzuschauen. Diesmal wird es sicher noch mindestens eine Woche dauern, bis ich loslegen kann. Ausnahme ist der Vortrag von Bianca Kastl und Martin Tschirsich zur Elektronischen Patientenakte.
Die knappe Zusammenfassung? Es ist einfach unfassbar, was da in gerade mal zwei Wochen in die freie Wildbahn entlassen wird (zunächst in einigen Testregionen, ab Mitte Februar dann deutschlandweit für alle, die nicht widersprochen haben). Falls Sie es nicht schon getan haben, der dringende Rat: Opt out! Ernsthaft, man kann daran nicht teilnehmen. Ich weiß schon, "nix zu verbergen", aber Gesundheitsdaten?
Die sollten schon sehr sicher aufbewahrt werden und der Zugriff dürfte nur unter besonders strikter Kontrolle möglich sein. Wenn die Daten einmal draußen sind, lässt sich das nie wieder einfangen. Hepatitis C? Wissen dann alle, die es wissen wollen. Rezept für ein Duloxetin-Präparat? Bingo. Hämorrhoidenleiden? Glückwunsch.
Weiterlesen im Blog.
Selbstverständlich ist die digitale Akte eine gute Idee, aber die Umsetzung scheint so dramatisch unsicher, das es schon erschütternd ist, dass es medial nicht mehr dazu gibt, als ein paar laue Servicestücke. Gerade erst beim rbb, wo zum Datenschutz lapidar festgestellt wird: "Ein Risiko von Datenklau und Hackerangriffen besteht im digitalen Raum allerdings immer, die Nutzung solcher Technologien bleibt also auch immer eine persönliche Abwägung."
Die von Kastl und Tschirsich in ihrem Vortrag beschriebenen Angriffe sind dermaßen trivial in der Durchführung, dass schon nicht mehr von einfachen Schwachstellen und dem unvermeidlichen Restrisiko die Rede sein kann. Die beschriebene Infrastruktur scheint von Grund auf nicht geeignet zu sein, auch nur basale Anforderungen an die Sicherheit der überaus sensiblen Daten zu gewährleisten. Das ist eine Information, die ganz hilfreich für die persönliche Abwägung sein könnte. Aber ok.
Es geht dabei noch nicht mal um die schon lange bekannten obskuren Wege, auf denen die individuellen Daten nur pseudonymisiert (also bei Kenntnis des geeigneten Schlüssel zurückverfolgbar) statt anonymisiert für "Forschung" gesammelt werden sollen. Forschung in Anführungszeichen, da Karl Lauterbach schon stolz eine Kooperation mit Google, Facebook und OpenAI avisiert. Was soll da schon schief gehen…
Es geht auch nicht um das ganz generelle Problem der zentralen Sammlung so vieler Datensätze in einer Infrastruktur mit buchstäblich hunderten Stakeholdern auf der nationalen Ebene (Krankenkassen und Dienstleistern zB), die wiederum jeweils teils Zehntausende Angestellte haben. Wie viel Vertrauen soll man zu deren Rechtemanagement und IT-Sicherheit haben?
Wenn man diese ganzen internen Gefahrenstellen mal außer acht lässt, bleibt immer noch die im Vortrag demonstrierte Außentäterperspektive. Es wird gezeigt, wie leicht es ist, sich eine Gesundheitskarte zu beschaffen. Die genügt dann bereits, um auf die Einzelakte zuzugreifen. Es gibt keine PIN, kein Identitätsnachweis. Einfach nichts ist vorgesehen, um da den Zugriff, der auch das Schreiben und Löschen in der ePA beinhaltet, weiter zu sichern.
Genauso wird demonstriert, wie leicht es auf mehreren Wegen ist, sich die Rechte von Leistungserbringer*innen (in der Regel also Praxen) zu verschaffen und damit Zugriff auf die Akten aller Patient*innen der vergangenen 90 Tage. Die der vollständigen Akten übrigens, da sich in der Verwaltung der ePA ja nicht granular unterscheiden lässt, welche Ärzt*innen welche Unterlagen bekommen.
Drittens wird demonstriert wie leicht es ist, sich den Zugang zu den ePAs beim Versicherungsstammdatendienst zu erschleichen. 70 Millionen Akten auf einen Schlag.
Insgesamt weisen Kastl und Tschirsich also mehrere Wege nach, auf denen Stand Mitte Dezember der unbefugte Zugriff auf theoretisch alle elektronischen Patientenakten möglich ist. Was soll man dazu noch sagen außer: Opt out!
Und sonst? KI-Radar und weitere Links erst wieder im neuen Jahr. Außerdem gibts dann eine Kolumne zum Internet der Dinge, das mir, haha, etwas spanisch vorkommt. Kommse gut rein!
Soweit nicht anders vermerkt, unterliegen alle Texte und Bilder von mir der CC-Lizenz: CC BY-NC-SA 4.0 Deed (Namensnennung - Nicht-kommerziell - Weitergabe unter gleichen Bedingungen)