Zum Inhalt der Seite gehen
Die Bundesregierung hat eine formidabel gemachte kleine Anfrage der Gruppe Die Linke zur #ePA für alle beantwortet.

Siehe https://www.heise.de/news/Elektronische-Patientenakte-Bundesregierung-laesst-viele-Fragen-offen-10290513.html

Dazu werden mir ja ab und zu ein paar Fragen gestellt. Weil sich das häuft, ein Thread.🧵

Elektronische Patientenakte: Bundesregierung lässt viele Fragen offen

Die Bundesregierung musste Fragen zur elektronischen Patientenakte, speziell zu deren Sicherheit, beantworten. Vieles bleibt unbeantwortet oder schwammig.
Marie-Claire Koch (heise online)
#epa
Bianca Kastl
Die Bundesregierung mit die Lücken sehr ernst. Naja, das stimmt. Jetzt.

Das stimmte nicht bevor sich Martin und ich auf die Bühne gestellt haben und das alles sehr anschaulich demonstriert haben.

Man muss aber die Frage stellen, warum sich die Bundesregierung überhaupt erdreistet hat, mit so einem Scherbenhaufen an IT-Sicherheit zu gedenken, online zu gehen.

Die Allowlist kam erst deswegen, weil wir gezeigt haben, dass es kaputt ist. So ist der Pilot erst halbwegs sicher geworden.
1. Welche beim Chaos Computer Club im Dezember 2024 demonstrierten Sicherheitsmängel hält die Bundesregierung für kurzfristig bis zum bun- desweiten Start der ePA behebbar? 3. Welche beim Chaos Computer Club im Dezember 2024 demonstrierten Sicherheitsmängel hält die Bundesregierung für nicht kurzfristig beheb- bar? 4. Welche Rückschlüsse zieht die Bundesregierung daraus a) in Bezug auf die laufende Testphase in den Modellregionen, b) in Bezug auf den bundesweiten Start der ePA? 12. Welche Restrisiken verbleiben nach Ansicht der Bundesregierung, und wer hat wann entschieden, dass trotz der verbliebenen Restrisiken die Einführung am 15. Januar 2025 startet? 21. Ist die ePA nach Ansicht der Bundesregierung sicher, wenn sie bundes- weit ausgerollt wird? Die Fragen 1, 3, 4, 12 und 21 werden gemeinsam beantwortet. Die Bundesregierung nimmt die durch den Chaos Computer Club (CCC) ver- öffentlichten Hinweise zur Sicherheit der elektronischen Patientenakte (ePA) sehr ernst. Das Bundesministerium für Gesundheit (BMG) und die gematik stehen insbesondere im intensiven Austausch mit den zuständigen Sicherheits- behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und es wurden bereits technische Lösungen zum Unterbinden der Angriffssze- narien konzipiert, deren Umsetzung jeweils rechtzeitig abgeschlossen sein wird. Für die am 15. Januar 2025 gestartete Pilotphase bedeutet dies, dass zu- nächst nur die in der Modellregion teilneh
Bianca Kastl
Ich übersetze mal: Vor dem bundesweiten Rollout fixen wir Probleme mit denen wir niemals nie hätten live gehen sollen.

VSDM++ Mangel lange bekannt, auch der gematik.
Dass Kartenausgabeprozesse und der kryptografische Lebenszyklus ein Problem sind, ist auch ein langanhaltendes Problem.

Dass das erst jetzt angegangen wird, nachdem es brannte, ist kein Zeichen einer guten proaktiven Sicherheitskultur, es ist ein Zeichen des Mangels von Sicherheitskultur. Bedenklich.
Vor dem bundesweiten Rollout bei den Leistungserbringern werden weitere technische Lösungen umgesetzt und abgeschlossen sein. Dazu gehört insbeson-dere, dass organisatorisch sowohl die Prozesse zur Herausgabe als auch zur Sperrung von Karten sowie technisch das VSDM++-Verfahren nachgeschärft werden. Gleichzeitig werden zusätzliche Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung implementiert. Somit steht weder der kontrollierten Inbetriebnahme in den Modellregionen noch dem bundesweiten Rollout nach Umsetzung der Maßnahmen etwas entgegen. Die ePA für alle kann sicher von Praxen, Krankenhäusern, Apotheken sowie Patientinnen und Patienten genutzt werden.
Bianca Kastl
Hier stellt sich die gematik immer mal wieder sehr naiv an.

"Wenn ihr uns nicht genau zeigt, welche Akten ihr wann genau wie wegtragen werdet, ist es auch kein Problem"

Naja, ein leckes System kann auch schon abgesichert werden, bevor es kompromittiert wurde. So entsteht quasi Sicherheit. Alles andere ist Flickschusterei.

Und es ist ja auch nicht so, dass im Vorfeld des Talks niemals nie SMC-B weggekommen wären. 2019 etwa, bis 2023 wurden die auch nicht per Ident ausgegeben.
Welche beim CCC im Dezember 2024 aufgezeigten Lücken waren der Bundesregierung bereits seit wann bekannt, und welche waren ihr neu? Die gematik wurde Ende August des Jahres 2024 von externen Sicherheits- forschenden auf eine Schwachstelle hingewiesen. Dabei wurden weder die kon- krete Umsetzung eines Angriffs noch alle beim Vortrag am 27. Dezember 2024 beschriebenen Lücken dargestellt. Es handelte sich zu diesem Zeitpunkt um ein theoretisches Szenario, dessen Eintritt durch die gematik als unwahrscheinlich eingestuft wurde, da keine Indikatoren einer Schwächung bestehender Sicher- heitsmaßnahmen identifiziert werden konnten. Dies betraf insbesondere die si- chere Ausgabe und Nutzung der Institutionsausweise nebst zugehöriger PIN durch die berechtigten Leistungserbringerinstitutionen. Diese stellen einen zen- tralen Sicherheitsanker für den Zugriff auf die ePA dar. Im Anschluss fanden von September bis Dezember 2024 mehrere Termine mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem BSI und der gematik zur Bewertung des Risikos der dargestellten Schwachstelle statt. Hier wurde vornehmlich über die Wirksamkeit der bereits getroffenen Maßnahmen sowie die Eintrittswahrscheinlichkeit gesprochen. Mitte Dezember 2024 fand ein erneuter Termin mit den Sicherheitsforschenden und der gematik statt, in welchem die Sicherheitsforschenden einen bis dahin unbekannten Weg zur Beschaffung und missbräuchlichen Nutzung des Instituti- onsausweises darstellen k
Bianca Kastl
Der Talk auf dem #38c3 ist mehr oder weniger nur eine Remix-Compilation von Oldies und Evergreens und eigentlich nur 1 1/2 neuen Lücke, der bei VSDM. Wir nehmen mal den SMC-B Gebrauchtmarkt als halbe neue Lücke.

Aber auch die VSDM Lücke ist nicht neu, die kannte die gematik selbst, das gibt sie auch zu.

Also alles schon mal benannt, schon mal vorgekommen.

Lediglich die Kombination ist neu.
Aber die Kombination von Angriffsvektoren und Lücken ist im Cyberbereich ja täglich zu sehen.
#38C3
Bianca Kastl
"You are holding it wrong"

Unser System ist sicher, wenn man es richtig benutzt. Fehlbenutzung ist strafbar.

Man könnte aber auch sagen: Insecure by design, weil es überhaupt schon mal einen unsicheren Weg gibt.

Einerseits wird Nutzungsfreundlichkeit zum Dogma der Gesundheitsdigitalisierung, aber wehe du benutzt irgendwas falsch, das ist dann strafbar.

Benutzungsfreundliche Sicherheit lässt gar keine Fehlnutzung zu.
Denkt mal drüber nach.
6. Welche der vom CCC aufgezeigten Sicherheitsmängel beruhen darauf, dass Spezifikationen der gematik nicht eingehalten wurden, und welche wurden trotz Einhaltung der gematik-Spezifikationen gefunden? 24. Inwiefern sind die aufgedeckten Sicherheitslücken nach Kenntnis der Bundesregierung trotz Einhaltung der Spezifizierungen der gematik auf- getreten oder unter Nichteinhaltung der Spezifizierungen der gematik aufgetreten? 25. Handelt es sich bei den Sicherheitslücken nach Kenntnis der Bundes- regierung um Umsetzungs- oder Architekturfehler? Die Fragen 6, 24 und 25 werden gemeinsam beantwortet. Die aufgezeigten Schwachstellen werden durch die unberechtigte Nutzung des Institutionsausweises als zentrales Identifikationsmerkmal und eine Manipulati- on des Konnektors als Zugangspunkt der Leistungserbringerinstitution auf die Telematikinfrastruktur (TI) wirksam. Es handelt sich hierbei nicht um eine Lücke in der Spezifikation der gematik. Vielmehr kann der Angriff nur erfolgen, wenn man sich unberechtigt Zugriff zur Telematikinfrastruktur beschafft. Dies ist strafbar.
Bianca Kastl
Gleiches Thema hier: Sichere Nutzung ist möglich.

Unsichere aber halt auch.
7. Nach welcher Methode hat die Bundesregierung und bzw. oder die ge- matik die Risiken bewertet, und können mit den jetzt durch die gematik geplanten Maßnahmen alle Risiken eliminiert werden? Die gematik orientiert sich im Kontext des Risikomanagements an der inter- nationalen Norm ISO 31000. Sie bewertet Risiken anhand ihrer Eintrittswahr- scheinlichkeit und Schadensschwere. Durch die Umsetzung der geplanten Maßnahmen wird die sichere Nutzung der „ePA für alle“ durch Praxen, Krankenhäuser, Apotheken sowie Patientinnen und Patienten ermöglicht.
Bianca Kastl
Ich übersetz mal: Die ePA in der Form ist für Geheimnisträger nicht sicher.

"Durch das vom CCC aufgezeigte Angriffsszenario ist grundsätzlich kein geziel-
ter Zugriff auf eine ePA einer bestimmten Person möglich."

Doch. Social Engineering mit einem Aufwand von 20 Minuten, zumindest wenn Zugriff auf Umfeld.

Auch nach den Fixes.
Und die Fixes wie Rate Limiting kommen erst warum? Ja, weil gezeigt wurde, dass massenhafter Zugriff möglich ist.
Sollte aber ohne sowas online gehen. Hm.
8. Werden durch die geplanten Maßnahmen gezielte Angriffe auf elektroni- sche Patientenakten z. B. von Geheimnisträgern oder Personen des öf- fentlichen Lebens nach Kenntnis der Bundesregierung verhindert? 9. Welche Maßnahmen bestehen nach Kenntnis der Bundesregierung grundsätzlich, um gezielte Angriffe auf elektronische Patientenakten z. B. von Geheimnisträgern oder Personen des öffentlichen Lebens zu verhindern? Die Fragen 8 und 9 werden gemeinsam beantwortet. Durch das vom CCC aufgezeigte Angriffsszenario ist grundsätzlich kein geziel- ter Zugriff auf eine ePA einer bestimmten Person möglich. Für einen gezielten Angriff müssten weitere Angriffe auf personenbezogene Daten einer versicher- ten Person erfolgen. Grundsätzlich unterliegen alle personenbezogenen medizinischen Daten dem gleichen sehr hohen Schutzbedarf. Das gilt auch für die Daten des angesproche- nen Personenkreises. Durch die mit dem BSI abgestimmten Maßnahmen soll sichergestellt werden, dass ein Zugriff auf eine ePA nur im Behandlungskontext erfolgt. Die Anzahl neuer Befugnisse in einer ePA wird sinnvoll beschränkt, und das aktive Erkennen von missbräuchlichen Handlungen gestärkt. Dies um- fasst sowohl das Erkennen von Anomalien von Zugriffen auf das ePA-Akten- system als auch beim Zugriff auf die TI. Weiterhin wird der Nachweis für den Behandlungskontext gestärkt, indem individuelle Versichertenmerkmale Teil des Nachweises werden. Diese Merkmale können nur aus einer vorliegenden elektronischen Gesundheitskart
Dieser Beitrag wurde bearbeitet. (2 Monate her)
Bianca Kastl
Dies das Fraunhofer Gutachten.

Die sichere Lieferkette ist nicht das Problem, eher immer wieder die Identifikationsprobleme. Immer wieder.
Schließt sich die Bundesregierung der Bewertung des von der gematik beauftragten Fraunhofer-Sicherheitsgutachtens auf S. 22 an, wonach Re- gierungsorganisationen mit den Zielen „Spionage“ und „Cyberkrieg“ über „hohe technische und finanzielle Möglichkeiten“ verfügen und des- halb ihre Relevanz explizit als „hoch“ eingestuft wurde (www.gemati k.de/media/gematik/Medien/ePA_fuer_alle/Abschlussbericht_Sicherheits analyse_ePA_fuer_alle_Frauenhofer_SIT.pdf)? a) Warum wurden (wie im Gutachten von Fraunhofer angegeben) „nach Absprache mit der Gematik“ nach Kenntnis der Bundesregierung Angriffe von Regierungsorganisationen trotzdem als „nicht relevant“ eingestuft und deshalb im Gutachten nicht spezifisch untersucht? b) Welche Maßnahmen bestehen nach Kenntnis der Bundesregierung zum Schutz der durch ihre zentrale Speicherung besonders gefährde- ten Gesundheitsdaten vor fremdstaatlichen Angriffen, die mit hoher Intensität und umfangreichen technischen und finanziellen Ressour- cen erfolgen? Die Fragen 10 bis 10b werden gemeinsam beantwortet. Fremdstaatliche Akteure und Organisationen sowie deren Angriffsvektoren werden sowohl im Gutachten des Fraunhofer-Instituts für Sichere Informations- technologie (SIT) als auch in den Sicherheitsanalysen der gematik berücksich- tigt. Ausgeschlossen aus der formalen Bewertungsgrundlage des Sicherheits- gutachtens wurden lediglich die Angriffsressourcen fremdstaatlicher Akteure, weil dies formal zu einem durch das Gesamtsystem der ePA zu erfüllend
Bianca Kastl
Essenspause 🛤️
Bianca Kastl
Schräge Definition:
Naja, gut, jetzt wissen wir auch, was ein massenhafter Angriff ist: Ausprobieren.

Falls irgendwo ne Datenbank mit SELECT * FROM Daten fallen lässt, ist es kein massenhafter Angriff.

Nach der Klassifikation wäre der Angriff auf alle ePA gar kein massenhafter Angriff, wenn ich die ICSSN treffe. Weil dann kenne ich ja ein Merkmal.

Ich weiß nicht, ob die Definition nicht doch mehr schadet als hilft.
11. Was versteht die Bundesregierung unter einem „massenhaften Angriff“, wie es ein Sprecher des Bundesgesundheitsministeriums laut stern.de ausgedrückt hat (siehe Vorbemerkung der Fragesteller), und wie viele Akten müssen in welchem Zeitraum angegriffen werden, sodass es als massenhafter Angriff klassifiziert wird? a) Welche bekannten „nicht massenhaften Angriffe“ sind der Bundes- regierung als Risiko bekannt, und welche davon gelten ihr als hin- nehmbar? Die Fragen 11 und 11a werden gemeinsam beantwortet. Unter einem massenhaften Angriff wird das sukzessive und wiederholte Aus- probieren von Identifikationskombinationen verstanden, um Zugriff auf eine ePA zu erlangen, ohne, dass die bzw. der Angreifende vorher Kenntnis von der tatsächlichen Inhaberin oder dem tatsächlichen Inhaber hat. Die oder der An- greifende will sich damit Zugriff auf möglichst viele Akten verschaffen, gege- benenfalls auch zu dem Zweck, eine oder mehrere für sie oder ihn interessante Akten zu finden. Zur Klassifizierung des Angriffs als „massenhaft“ wird daher das Angriffsmus- ter genutzt und keine Anzahl an Akten. Ein nicht massenhafter (also zielgerichteter) Angriff entsteht, wenn die Angrei- ferin oder der Angreifer über Kenntnis bezüglich der notwendigen Identifikati- onsmerkmale der bzw. des Versicherten verfügt. Einige dieser Merkmale sind auf der eGK aufgedruckt, andere sind auf der eGK gespeichert.
Bianca Kastl
Wie werden die Probleme behoben? Wie immer, hat ja schon immer gut funktioniert.

Meine Erwartungen sind also eher bei null, kann kann es ja nur besser werden. Vielleicht.
Inwiefern plant die Bundesregierung, den in der Vorbemerkung der Fra- gesteller genannten offenen Brief formulierten weiteren Forderungen nachzukommen, insbesondere a) die Einbeziehung der Patientinnen und Patienten, Ärztinnen und Ärz- te und Organisationen der digitalen Zivilgesellschaft bei der Bewer- tung des des ePA-Starts in den Modellregionen (bitte ggf. einzelne Maßnahmen aufzählen), b) die Einbeziehung von Expertinnen und Experten aus Wissenschaft und digitaler Zivilgesellschaft bei der Bewertung von Sicherheitsrisi- ken und diesen auch Zugang zu Quelltexten etc. zu ermöglichen, c) die Initiierung von unabhängigen Sicherheitschecks und die recht- liche Absicherung von Sicherheitsexpertinnen und Sicherheitsexper- ten, d) eine veränderte Sicherheitskommunikation, die neben dem Nutzen auch die Risiken benennt sowie e) Änderungen beim Berechtigungsmanagement? Die Umsetzung zusätzlicher Sicherheitsmaßnahmen läuft bereits. Mit den zu- ständigen und obersten Sicherheits- und Datenschutzbehörden wird abge- stimmt, welche Maßnahmen abgeschlossen sein müssen, bevor der bundeswei- te Rollout startet. Die Gesellschafter und Partner der gematik erhalten regel- mäßige Updates zu den Maßnahmen und der Terminierung der bundesweiten
Bianca Kastl
Ein Grundproblem der Sicherheitseigenschaften der TI ist, dass diese Buzzword-IT-Sicherheit macht, aber keine vollständige Betrachtung aller Gewerke.

Confidential Computing hilft gegen den Angriffspfad Betreiber, ist aber auch dort kein Allheilmittel.

Quantencomputingresistent klingt fancy, bringt aber nichts, wenn du halt Millionen Zugriffstokens bekommen kannst mit einfacher Algebra und Kopfrechnen.

Wir brauchen mehr Security als Grundpfeiler, weniger Buzzwords.
Für wie groß hält die Bundesregierung die Gefahr eines Angriffs auf die zentrale Struktur der ePA? Die ePA ist Teil der kritischen Infrastrukturen in Deutschland. Es ist davon aus- zugehen, dass die ePA in vergleichbarer Weise im Fokus der organisierten Kri- minalität und staatlicher Akteure steht, wie auch andere kritische Infrastruktu- ren. Aus diesem Grund wird die ePA auch in besonderem Maße geschützt. Her- vorzuheben sind hier die speziellen Maßnahmen zum Ausschluss potentieller Innentäterinnen und -täter („Confidential Computing“, Vertrauenswürdige Aus- führungsumgebung – VAU) oder die bereits jetzt umgesetzten kryptographi- schen Maßnahmen zur Resistenz gegen Quanten-Computing-Angriffe.
Bianca Kastl
Hach, eine Antwort fürs Herz. Daten als immaterielles Gut.

Weniger romantisch betrachtet liegt der Wert eines vollständigen Electronic Health Record im Darknet bei so 100 $ gerade, manche sind vielleicht wertvoller, weil da eine wichtige Person oder eine Zugängen dahinter hängt.

Den Rest kannst du dir dann zusammenrechnen.
Welche Kenntnisse hat die Bundesregierung über den finanziellen Wert von Gesundheitsdaten und dem Umfang des illegalen Handels damit, und welche Kenntnisse hat die Bundesregierung darüber, wie sich dieser Umfang in den vergangenen zehn Jahren entwickelt hat? 16. Welche Schäden können Menschen nach Kenntnis der Bundesregierung entstehen, wenn ihre Behandlungs- und andere Gesundheitsdaten Unbe- fugten in die Hände geraten? Die Fragen 15 und 16 werden gemeinsam beantwortet. Bei Gesundheitsdaten handelt es sich um immaterielle Werte. Eine genaue ob- jektive Bezifferung des Vermögenswerts ist daher kaum möglich. Bei der Wert- bemessung kommt es häufig auch auf subjektive Einschätzungen an. Dement- sprechend liegen der Bundesregierung keine Kenntnisse über den finanziellen Wert von Gesundheitsdaten vor. Dies gilt auch für den Umfang des illegalen Handels damit oder die Schadenshöhe bei Datenverlust.
Bianca Kastl
Ich sag jetzt mal, dass mindestens eine nicht gut identitätsgeprüfte eGK im Umlauf ist.

Damit kannst du aber auch nicht mehr sicherstellen, ob alle sicher ausgegeben wurden. Ansonsten gibt es bei der Ausgabe der eGK wieder Verwantwortungsdiffusion: Es gibt irgendwie einen Musterprozess, ob dieser wirklich eingehalten wird, muss dann wer anders verantworten.
Wie viele gültige elektronische Gesundheitskarten sind momentan im Umlauf, deren Eigentümer nicht zuverlässig identitätsüberprüft sind? Die Herausgabe der Karten liegt in der Verantwortung der gesetzlichen Kran- kenkassen. Diese haben dabei die gesetzlich hierfür vorgesehenen Prozesse zur Identifizierung der Versicherten zu beachten. Des Weiteren wird auf die Ant- wort zu Frage 26 verwiesen. Darüber hinaus unterliegen die Ausgabeprozesse der Aufsicht und regelmäßigen Prüfung durch die zuständigen Aufsichtsbehör- den.
Bianca Kastl
Ich sage das jetzt mal deutlich: Die opt-out-ePA und ihre davon abgeleitete "Sicherheitsarchitektur" hat das Schadensausmaß bei Cyberangriffen massiv erhöht.

Das ist ein wesentlicher Unterschied zur vorherigen Architektur, das nicht anzuerkennen grenzt an Realitätsverweigerung.

Politisch befohlenes technisches Handeln hat uns erst zu diesem massiven Ausmaß von Datenleck getrieben.
Inwiefern zieht die Umstellung von einer freiwilligen Opt-in-ePA (die Versicherten können die Einrichtung einer ePA und das Speichern von Behandlungsdaten veranlassen) auf eine Opt-out-ePA (allen Versicherten wird eine ePA automatisch zugewiesen und es werden auch ohne aus- drückliche Zustimmung Behandlungsdaten eingestellt, es sei denn, die Versicherten widersprechen jeweils) nach Ansicht der Bundesregierung besondere Anforderungen an die Datensicherheit nach sich? Die Speicherung von Gesundheitsdaten stellt immer sehr hohe Anforderungen an die Datensicherheit. Dies gilt damit auch unabhängig davon, ob die Speiche- rung in einer „opt-in-ePA“ oder einer „opt-out-ePA“ erfolgt. Die ePA wurde unter Beratung des BSI entwickelt und basiert auf den mo- dernsten Sicherheitstechnologien. Dadurch gewährleistet die ePA ein entspre- chendes Sicherheitsniveau für den Schutz der medizinischen Daten. Die Kom- munikation zwischen den Komponenten der ePA ist Ende-zu-Ende verschlüs- selt und die in der ePA verarbeiteten Daten werden verschlüsselt abgelegt. Ein ähnlicher Mechanismus wird derzeit schon beim E-Rezept angewendet
Dieser Beitrag wurde bearbeitet. (2 Monate her)

Ulrich Kelber hat dies geteilt