0:00:00.000,0:00:15.767
<i>38C3 Vorspannmusik</i>

0:00:15.767,0:00:20.240
Herald: Willkommen zur Fortsetzung von [br]nem ziemlich spannenden Datenkrimi! Wir

0:00:20.240,0:00:24.960
sind jetzt in der Staffel zwei der [br]elektronischen Patientenakte. Jetzt

0:00:24.960,0:00:29.040
gibt's seit neuestem auch noch das Opt-Out[br]und die elektronische Patientenakte wird

0:00:29.040,0:00:34.600
alle wird für alle verpflichtend. In den [br]Hauptrollen von unserer zweiten Staffel

0:00:34.600,0:00:39.820
haben wir Martin und Bianca, die ich hier-[br]mit sehr sehr herzlich willkommen heiße.

0:00:39.820,0:00:42.987
Martin und Bianca beschäftigen sich[br]schon seit einiger Zeit damit.

0:00:42.987,0:00:50.426
<i>Applaus</i>

0:00:50.426,0:00:55.840
und bringen heute euch Updates von [br]eurem letzten talk vom 32C3. An dieser

0:00:55.840,0:00:59.920
Stelle noch mal herzlich willkommen und [br]einen sehr sehr großen Applaus.

0:00:59.920,0:01:06.810
<i>Applaus</i>

0:01:06.810,0:01:12.440
Kastl: Ja hallo grüß euch Hamburg. Willkommen [br]zum Talk konnte bisher noch nie gehackt

0:01:12.440,0:01:16.840
werden die elektronische Patientenakte [br]kommt jetzt für alle. Es geht ein

0:01:16.840,0:01:21.520
bisschen um ältere Probleme es geht um [br]das was in den letzten Jahren passiert

0:01:21.520,0:01:24.240
ist wie sich das jetzt auf die [br]elektrischen Patientenakte für alle

0:01:24.240,0:01:29.520
auswirkt. Martin und ich machen das Thema [br]mit Gesundheit und Digitalisierung schon

0:01:29.520,0:01:33.760
bisschen länger. Dieses Zitat was ihr [br]seht konnte bisher noch nicht gehackt

0:01:33.760,0:01:37.160
werden ist tatsächlich aber sehr neu, es [br]kommt aus dem Jahr 2023 von Karl

0:01:37.160,0:01:41.720
Lauterbach als er die Gesetze für die [br]elektronische Patientenakte beschlossen

0:01:41.720,0:01:46.480
hat. Und das ist ein Talk aus dem Track [br]Security der allerdings eigentlich gar

0:01:46.480,0:01:50.160
nicht mal so technisch ist. Weil ich glaub [br]vieles davon kann man auch mit wenigen

0:01:50.160,0:01:54.600
einfachen Mitteln die gar nicht so tief [br]technisch sind vielleicht nachstellen,

0:01:54.600,0:02:00.960
gucken wir mal. Genau ich bin Bianca, das [br]ist Martin. Wir stehen hier schon mal

0:02:00.960,0:02:05.600
wieder noch so ein paar Congress talks ab [br]und so sprechen wir auch mit Leuten in

0:02:05.600,0:02:08.200
verschiedenen Bundestagsausschüssen[br]das Thema Digitalisierung des

0:02:08.200,0:02:12.160
Gesundheitswesens. Dass wir jetzt [br]wiederstehen hier und über Probleme

0:02:12.160,0:02:15.640
sprechen ist vielleicht kein so gutes [br]Zeichen, wir werden sehen was dabei

0:02:15.640,0:02:19.920
rauskommt und wir sollten vielleicht [br]erstmal kurz sagen worüber wir eigentlich

0:02:19.920,0:02:24.000
genau sprechen, nämlich über die [br]sogenannte elektronische Patientenakte

0:02:24.000,0:02:29.040
für alle. Diese elektronische [br]Patientenakte für alle ist wirklich eine

0:02:29.040,0:02:33.600
elektronische Patientenakte für alle, denn [br]es ist eine elektronische Patientenakte

0:02:33.600,0:02:39.360
die im Opt-Out Verfahren auf die gesamte [br]Bevölkerung ausgerollt wird. Ihr könnt im

0:02:39.360,0:02:42.880
Ganzen auch widersprechen, ihr könnt [br]mehreren Ebenen widersprechen ihr könnt

0:02:42.880,0:02:47.560
widersprechen, dass diese Akte angelegt [br]wird. Ihr könnt widersprechen, dass in

0:02:47.560,0:02:50.840
dieser Akte bestimmte Zugriffe möglich [br]sind, ihr könnt widersprechen dass Daten

0:02:50.840,0:02:54.760
an ein Forschungsdatenzentrum ausgeleitet [br]werden, ihr könnt widersprechen, daß

0:02:54.760,0:03:00.280
Krankenkassenabrechnungsdaten einstellen [br]und so weiter und so fort. Vom Zeitplan

0:03:00.280,0:03:06.200
her ist es so, wir sind am 15.1 an dem [br]Punkt wahrscheinlich oder auch nicht mal

0:03:06.200,0:03:10.880
gucken das ist z.B in Hamburg hier in [br]Testregionen und in Franken und in Teilen

0:03:10.880,0:03:18.200
Nordernwestfalens eine gewisse ja Testung [br]geben wird nicht ein in der gesamten

0:03:18.200,0:03:22.320
Region aber mit der ausgewählten Anzahl [br]von sogenannten Leistungserbringern also

0:03:22.320,0:03:27.280
ÄrztInnen und anderen Beteiligten des [br]Gesundheitswesens und das ganze soll so

0:03:27.280,0:03:32.280
der ursprüngliche Plan ich weiß nicht ob [br]der noch zu halten ist aber soll am 15.2

0:03:32.280,0:03:36.320
deutschlandweit für euch alle zur [br]Verfügung stehen. Diese elektronische

0:03:36.320,0:03:41.840
Patientenakte für alle ist die Version [br]3.0 der elektronischen Patientenakte und

0:03:41.840,0:03:46.240
die erste Version gab es eigentlich schon [br]im Jahr 2020. Da hatte Martin damals auf

0:03:46.240,0:03:50.480
dem 36C3 schon so ein paar Sachen vorher [br]gefunden die wir nachher auch noch mal

0:03:50.480,0:03:55.880
aufgreifen werden und aktuell sind wir [br]bei einer Version 2.6 die migriert werden

0:03:55.880,0:04:01.160
wird auf eine EPA 3.0. Und falls ihr euch [br]fragt was in dieser EPA drin stehen wird,

0:04:01.160,0:04:07.080
na ja natürlich so Sachen wie E-Rezepte [br]aber auch also die Information aus den

0:04:07.080,0:04:11.720
E-Rezepten bzw auch die Information [br]welche Medikamente euch ausgegeben wurden

0:04:11.720,0:04:16.920
aber z.B auch Arztbriefe. Es wird Befunde [br]geben anfangs noch als PDF. Es wird

0:04:16.920,0:04:21.160
vielleicht auch Bilddaten geben anfangs [br]noch als PDF und es gibt vielleicht auch

0:04:21.160,0:04:25.200
Abrechnungsdaten von Kassen die euch [br]automatisch in diese elektronischen

0:04:25.200,0:04:29.920
Patientenakte übermittelt werden außer [br]Ihr widerspricht im Ganzen. Das was ist

0:04:29.920,0:04:34.640
das um was es fachlich geht, also ein [br]sehr sehr großes Projekt mit eigentlich

0:04:34.640,0:04:40.160
sehr sehr vielen Daten. Das ganze auch im [br]Opt-Out Verfahren und jetzt gehen wir ein

0:04:40.160,0:04:43.360
bisschen die Technik rein und das macht [br]am besten, der Martin der kann es

0:04:43.360,0:04:53.957
vielleicht ein bisschen besser als ich.[br]<i>Kastl lächelt, Applaus</i>

0:04:53.957,0:04:57.080
Tschirsich: Genau schauen wir uns doch [br]mal an zusammen was diese elektronische

0:04:57.080,0:05:01.880
Patientenakte ist und beginnen wir mal [br]bei uns das am Einfachsten. Wir das sind

0:05:01.880,0:05:06.200
Versicherte Krankenversicherte gesetzlich [br]aber auch privat. Bei den Privaten ist es

0:05:06.200,0:05:09.400
tatsächlich eine freiwillige [br]Angelegenheit, bei den gesetzlichen ist

0:05:09.400,0:05:16.560
es ein Opt-Out, wer nichts tun hat so eine [br]Akte ab nächstem Jahr. Und hier als Pat

0:05:16.560,0:05:21.560
Patientinnen bezeichnet da stehen wir in [br]der Ecke und halten eine Gesundheitskarte

0:05:21.560,0:05:26.800
in der Hand oder eine App Smartphone. Und [br]das ist unser Zugangsschlüssel zu dieser

0:05:26.800,0:05:31.440
elektronischen Patientenakte. Über eine [br]App wenn ich mich dort mit der digitalen

0:05:31.440,0:05:35.600
Identität registriert habe kann ich diese [br]Akte auch schön verwalten. Derzeit sind

0:05:35.600,0:05:40.480
1% aller Nutzer tatsächlich mit so einer [br]App ausgestattet an einer digitalen

0:05:40.480,0:05:43.760
Gesundheitsid, die das ermöglicht [br]vielleicht werden es noch ein paar mehr.

0:05:43.760,0:05:48.400
Der große Masse wird über die [br]Gesundheitskarte diese elektronische

0:05:48.400,0:05:54.800
Patientenakte ich sag mal freigeben und [br]zwar immer dann wenn Patientinnen und

0:05:54.800,0:05:59.200
Patienten zum Arzt, zum Krankenhaus in [br]eine Pflegeeinrichtung in eine

0:05:59.200,0:06:03.360
Gesundheitsinstitution gehen, dann [br]stecken wir dort als gesetzliche

0:06:03.360,0:06:07.800
Versicherte unsere Gesundheitskarte in [br]ein Lesegerät und dadurch wird zusammen

0:06:07.800,0:06:14.880
dann mit einer ähnlichen Karte die diese [br]Gesundheitsinstitution authentisiert eine

0:06:14.880,0:06:18.680
Freigabe erstellt ein sogenannte [br]behandlungskontext nachgewiesen und auch

0:06:18.680,0:06:24.240
dann hat die Praxis die Gesundheits [br]Institution für 90 Tage lang Zugriff auf

0:06:24.240,0:06:28.240
diese elektronische Akte der versicherten [br]Person, die da gerade in die Praxis

0:06:28.240,0:06:32.800
reingelaufen ist. Genau das heißt [br]Gesundheitskarte stecken in einer

0:06:32.800,0:06:37.160
Institution das Gesundheitwesen [br]ermöglicht dieser Institution für 90 Tage

0:06:37.160,0:06:41.280
Zugriff lesend und schreibend auf alle [br]Daten die in dieser Akte eingetragen sind

0:06:41.280,0:06:45.840
die nicht speziell verschattet sind, da [br]können wir auch noch drauf kommen. Was es

0:06:45.840,0:06:47.800
noch gibt bei dieser elektronischen [br]Patientenakte es gibt eine

0:06:47.800,0:06:51.680
Datenausleitung. Alle Daten die dort [br]reinfließen in dieser Akte das sind nicht

0:06:51.680,0:06:54.480
nur Daten aus den [br]Leistungserbringintitutionen oder die wir

0:06:54.480,0:06:57.480
selber reinstellen sondern das sind [br]automatisch auch alle Abrechnungsdaten

0:06:57.480,0:07:01.920
und E-Rezeptdaten die fließen in ein [br]Forschungs Datenzentrum Gesundheit und

0:07:01.920,0:07:06.480
Krankenversicherung also Krankenkassen [br]oder die privaten Versicherung haben auch

0:07:06.480,0:07:11.480
noch Zugriff auf die Akte. Das ist jetzt [br]hier die Person mit Schlips die können

0:07:11.480,0:07:16.280
Daten aber nur schreiben. Was wir dann [br]haben ist natürlich eine technische

0:07:16.280,0:07:19.360
Infrastruktur. Ein bisschen darüber da [br]haben wir ein paar verschiedene

0:07:19.360,0:07:22.720
Fachdienste die sehen wir gleich noch im [br]im Laufe dieses talks vielleicht ein

0:07:22.720,0:07:26.240
bisschen genauer IDP identity Provider [br]Versicherten Stammdatendienst des

0:07:26.240,0:07:29.920
Aktensystem, die werden betrieben und was [br]wir dann noch haben haben das ist der

0:07:29.920,0:07:33.120
sogenannte Vertrauensraum in der [br]Telematik Infrastruktur also diesem

0:07:33.120,0:07:37.680
gesamten Netz was wir hier sehen und das [br]wird ganz schön kompliziert. Da haben wir

0:07:37.680,0:07:41.600
z.B alle Kassen wir haben knapp 100 [br]gesetzliche Krankenversicherung Kassen

0:07:41.600,0:07:46.880
und jede dieser Kassen gibt [br]Gesundheitskarten an ihre Mitglieder aus.

0:07:46.880,0:07:52.000
Und auch die GesundheitsID wird durch [br]diese Kassen ausgegeben. Das sind die

0:07:52.000,0:07:57.200
Zugriffsschlüssel zur Akte. Dann haben [br]wir die gematik in der Mitte, die legt die

0:07:57.200,0:08:01.560
Spezifikation fest aber auch die gematik [br]selbst ist Kartenherausgeber für

0:08:01.560,0:08:07.200
Institutionsidentitäten für bestimmte z.B [br]bestimmte eine privatärztlich tätige

0:08:07.200,0:08:12.560
Institution. Dann haben wir die ganzen [br]Kartenherausgeber, die die gesetzlich oder

0:08:12.560,0:08:18.680
die ich sag mal Kassenärzte oder [br]Kassenarztpraxen Praxissitze mit

0:08:18.680,0:08:22.120
Identitäten versehen also Zugangskarten [br]zu diesem System für die ganzen

0:08:23.400,0:08:30.320
Krankenhäuser oder ambulanttätigen Praxen [br]die Kassensitze haben und dann haben wir

0:08:30.320,0:08:36.920
natürlich auch noch ganz am Ende alle [br]möglichen Betreiber in dem Fall von den

0:08:36.920,0:08:40.680
sogenannten Versicherten [br]Stammdatendienste die dort symmetrische

0:08:40.680,0:08:44.920
Schlüssel initiieren. Das sind auch alles [br]da kommen wir später noch im Detail drauf

0:08:44.920,0:08:50.600
alles zentrale sagen wir mal [br]Zugangsschlüssel zu dem Gesamtsystem. Was

0:08:50.600,0:08:54.800
vielleicht deutlich werden sollte ist, es [br]ist ein sehr komplexes System. Nicht nur

0:08:54.800,0:09:00.480
wir und LeistungserbringerInnen und [br]Kassen haben dort unterschiedliche Arten

0:09:00.480,0:09:04.720
von Zugriffen sondern die der gesamte [br]Vertrauensraum die Ausstattung mit

0:09:04.720,0:09:08.440
Identitäten spielt ja eine wesentliche [br]Rolle und da haben wir hunderte von

0:09:08.440,0:09:15.160
Beteiligten in diesem System. Genau.[br]Kastl: Gut damit wir ein bisschen besser

0:09:15.160,0:09:18.640
verstehen was wir gleich zeigen sollten [br]wir vielleicht mal kurz zeigen was in den

0:09:18.640,0:09:21.480
letzten Jahren passiert ist in der [br]Telematik Infrastruktur und auf dem

0:09:21.480,0:09:28.880
Kongress. Beim 36c3 und dazwischen wurden [br]paar Sachen gezeigt. Wir haben jetzt für

0:09:28.880,0:09:34.720
den 36C3 gesehen man kann da bestimmte [br]Teile mit den Herausgabeprozessen von

0:09:34.720,0:09:40.360
Karten und Vertrauensdiensten angreifen [br]auf eine eher sehr soziale Art und Weise:

0:09:40.360,0:09:45.760
man benutzt irgendwelche Formulare, man [br]man versucht Informationen zu bekommen um

0:09:45.760,0:09:49.960
solche Prozesse anzustoßen hat dann eben [br]unter Umständen einen gewissen Zugriff

0:09:49.960,0:09:55.120
auf für diese Institutionen freigegebenen [br]elektronischen Patientenakten. Zu den

0:09:55.120,0:09:57.180
Details aber vielleicht noch mal kurz [br]Martin.

0:09:57.180,0:10:01.360
Tschirsich: Genau. Wir haben uns unter anderem [br]Konnektoren bestellt wie man sie hier

0:10:01.360,0:10:06.040
sehen das sind Zugriffs sag mal Geräte [br]Komponenten die man braucht um an dieses

0:10:06.040,0:10:10.760
VPN dieses weite deutschlandweite Netz [br]angeschlossen zu werden. Wir haben aber

0:10:10.760,0:10:16.080
damals auch geschafft uns die Identitäten [br]für die Praxen also die Institution zu

0:10:16.080,0:10:19.960
beschaffen. Wir haben auch [br]Gesundheitskarten uns beschaffen können

0:10:19.960,0:10:23.640
natürlich immer auf den Namen Dritter und [br]das waren alles sehr sehr einfache

0:10:23.640,0:10:28.200
Angriffe, die sind auch schon bekannt [br]seit mindestens 2012. Unter Anderem das

0:10:28.200,0:10:31.520
regelmäßige Bestellen von von [br]Gesundheitskarten auf anderem Namen das

0:10:31.520,0:10:36.760
hat der Andrè Zilch der auch beim [br]letzten talk auf 36C3 hier stand

0:10:36.760,0:10:41.960
demonstriert wieder und wieder und wieder. [br]Und das ist auch zum 36C3 haben das

0:10:41.960,0:10:44.660
erneut demonstriert und auch die [br]Praxisidentitäten.

0:10:44.660,0:10:51.080
Kastl: Ja und wie aufwendig war das so?[br]Tschirsich: Ja das waren würde ich mal sagen eine

0:10:51.080,0:10:54.760
Stunde maximal ne? Oft war es einfach nur [br]ein Telefonat führen oder eine E-Mail

0:10:54.760,0:11:00.240
absenden und dann hat man die [br]Zugangsschlüssel zu Akten und zwar remote

0:11:00.240,0:11:05.040
das heißt vom heimischen PC aus wo auch [br]immer der steht ob in Deutschland ob

0:11:05.040,0:11:08.760
weltweit, das war völlig gleich und man [br]hatte damit Vollzugriff auf eine

0:11:08.760,0:11:13.600
Patientenakte. Und wenn man sich eine [br]Praxisidentität besorgt hat Vollzugriff

0:11:13.600,0:11:18.480
auf alle Akten auf denen diese Praxis [br]Zugriff hatte das sind dann immer so bis

0:11:18.480,0:11:22.360
zu 1000 Stück oder mehr je nachdem wie [br]viele Patienten wie groß der

0:11:22.360,0:11:26.080
Patientenstamm ist dieser Praxis und wie [br]viele Patienten da pro Quartal

0:11:26.080,0:11:31.200
durchgeschlust werden. [br]Kastl: Ja dann gibt es natürlich Dinge die

0:11:31.200,0:11:36.080
zwischen den auch passiert sind nach dem [br]36c3. Wir haben dann vielleicht

0:11:36.080,0:11:40.560
Möglichkeiten dass man zwischen sieht na [br]ja dieses ganze Netz der Telematik

0:11:40.560,0:11:46.240
Infrastruktur ist vielleicht an den [br]Endpunkten etwas offen und ja da war die

0:11:46.240,0:11:51.160
Konnektorenfalschung.[br]Tschirsich: Genau. Christoph Saatjohann seinerseits

0:11:51.160,0:11:56.000
Professor für itsicherheit hat [br]demonstriert damals schon dass sehr sehr

0:11:56.000,0:11:58.320
viele dieser Konnektoren die ich ja [br]gerade gezeigt habe also die

0:11:58.320,0:12:02.240
Verbindungsstücke in dieses Netz falsch [br]ruminalliert sind. Also nicht so sondern

0:12:02.240,0:12:07.800
so. Also das bedeutet das lansseitige Ende [br]das innen Ende nach außen gekehrt s dass

0:12:07.800,0:12:11.000
man aus dem öffentlichen Internet auf [br]diese Konnektoren zugreffen konnte und

0:12:11.000,0:12:16.360
darüber dann auf die gesamten für diese [br]jeweilige Praxis freigegebenen Patienten.

0:12:16.360,0:12:21.980
War auch eine sehr einfache Sache vom [br]Aufwand her was meinst Du?

0:12:21.980,0:12:29.440
Kastl: Ja ich sag mal so ein Tag <i>lächelt</i>[br]Tschirsich: Und zum Glück war das tatsächlich auch

0:12:29.440,0:12:34.400
noch ein Projekt was vor der [br]Veröffentlichung der EPA 1.0 sehr

0:12:34.400,0:12:38.480
verantwortungsbewusst disclosed wurde. [br]Wäre die EPA zu dem Zeitpunkt da gewesen

0:12:38.480,0:12:42.680
hätte man natürlich Vollzugriff gehabt. [br]Genau ist schon länger bekannt

0:12:42.680,0:12:48.360
tatsächlich ich glaube Ärzteblatt hat [br]schon getitelt. Telematik Infrastruktur

0:12:48.360,0:12:51.760
unsachgemäße Installation, keine [br]fehlerhafte Technik also nicht die

0:12:51.760,0:12:55.840
Technik sondern wie wird diese Technik [br]eingebracht das das Problem und auch

0:12:55.840,0:13:00.160
wieder remote wäre das durchführbar oder [br]war remote durchführbar und ermöglichte

0:13:00.160,0:13:04.400
Vollzugriff auf eben wieder alle Akten [br]die für eine leistungserbringen Situation

0:13:04.400,0:13:09.120
freigegeben waren.[br]Kastl: Gut dann ist Martin und die Künstler

0:13:09.120,0:13:12.440
gegangen.[br]Tschirsich: Genau was haben wir dann noch gemacht

0:13:12.440,0:13:17.640
so um die zwischenzeiträume ein bisschen [br]zu füllen bis so EPA für alle? Na gut wir

0:13:17.640,0:13:20.920
haben uns angeschaut wie werden denn [br]diese digitalen Identitäten ausgegeben

0:13:20.920,0:13:26.240
oder damals zum Teil auch diese Zugänge [br]zu diesen Kassen eröffnet über die ich

0:13:26.240,0:13:29.800
dann alle möglichen Dinge bekomme nicht [br]nur neue Gesundheitskarte sondern auch

0:13:29.800,0:13:32.720
diese digitalen Identitäten. Und [br]tatsächlich wir haben das

0:13:32.720,0:13:37.320
Videoidentverfahren was damals ich glaube [br]29 der 30 größten Kassen haben Videoident

0:13:37.320,0:13:40.920
eingesetzt. Eine Kasse hat komplett auf [br]ident verzichtet, da kann man einfach

0:13:40.920,0:13:45.800
anrufen <i>lautes gemurmel</i> und das haben [br]wir überwunden. Man sieht hier noch

0:13:45.800,0:13:49.800
seitlich so die Reste von dem markerboard [br]da haben wir unser Ausweisdokument

0:13:49.800,0:13:56.400
gescannt und dann mit den Techniken ich [br]sag mal der in ein Art Augmented Reality

0:13:56.400,0:14:01.400
vor der Kamera gezaubert und haben uns [br]dann eine Zugang zu einer elektronischen

0:14:01.400,0:14:04.960
Patientenakte eröffnet. [br]Kastl: Ja das klingt jetzt so ein bisschen

0:14:04.960,0:14:08.600
aufwendig in den Zeiten vor KI und Deep [br]Fakes aber wie aufig war es

0:14:08.600,0:14:11.440
wahrscheinlich?[br]Tschirsich: Na ja der erste Zugang so eine Woche

0:14:11.440,0:14:15.760
bis zwei Vorbereitungszeit aber dann das [br]Wiederholen vom ersten zum zweiten zum

0:14:15.760,0:14:19.640
dritten Dokument also das wäre dann sehr [br]einfach gewesen das wäre dann maximal

0:14:19.640,0:14:24.440
noch ein Tag weiter Aufwand gewesen. [br]Genau auch schon wieder remote klar weil

0:14:24.440,0:14:29.600
wir videoident ist ja remote durchführbar [br]vom heimischen Sofa aus auch wieder

0:14:29.600,0:14:33.320
Vollzugriff auf eine beliebige Akte [br]deiner Wahl.

0:14:33.320,0:14:39.040
Kastl: Ja bekannt übrigens seit 2017 dieser [br]Angriff das BSI hat das schon einmal

0:14:39.040,0:14:41.760
schön demonstriert tatsächlich auch [br]durchgeführt damals aber noch für den

0:14:41.760,0:14:45.320
Zugriff auf Bankkonten. Wir haben quasi [br]daselbe genommen bisschen vereinfacht und

0:14:45.320,0:14:50.160
dann den Zugriff nicht auf Bankkonten [br]sondern Aktenkonten da eingesetzt. Wurde

0:14:50.160,0:14:56.020
dann abgestellt als wir es demonstriert [br]haben durch Anordnung des BfDI.

0:14:56.020,0:15:00.440
Kastl: Ok jetzt ist die Frage Frage warum [br]erzählen wir euch diese ganzen

0:15:00.440,0:15:04.760
Geschichten. Na ja vieles davon wird sich [br]vielleicht in gewisser Art und Weise

0:15:04.760,0:15:09.280
wiederholen, wir zeigen euch jetzt ein [br]paar Sachen aus dem Stand von ca Mitte

0:15:09.280,0:15:14.120
Dezember 2024. Wir haben natürlich alle [br]diese Dinge verantwortlich Menschen

0:15:14.120,0:15:17.880
mitgeteilt und geguckt wie reagiert wird. [br]Dann wurde ein bisschen schneller

0:15:17.880,0:15:20.680
reagiert als wir gezeigt haben es ist [br]dann doch mehr möglich als wir schon

0:15:20.680,0:15:25.920
angekündigt haben und das ist einfach [br]eine Auflistung für verschiedene Dingen

0:15:25.920,0:15:32.760
die Mitte 24 so möglich sind oder möglich [br]waren. Und wie gesagt 15. Januar Start

0:15:32.760,0:15:37.480
EPA für alle hier so in Hamburg und in [br]Modellregion spannende Nummer was da

0:15:37.480,0:15:43.960
jetzt so alles zu finden ist es ist dann [br]doch Einiges. Wir müssen dazu sagen dass

0:15:43.960,0:15:47.880
das Projekt eigentlich als eines der [br]größten IT-Projekte der Bundesrepublik

0:15:47.880,0:15:51.840
gilt zumindest auch laut Florian Fuhmann [br]von der gematik. Er sagt dazu auch noch

0:15:51.840,0:15:56.440
dass sein Mitgeschäftsführer der gematik [br]Florian Hartge gesagt dass keiner dieser

0:15:56.440,0:16:00.480
Stats so gut vorbereitet gewesen wäre. [br]Weiß ich nicht wer macht bei euch

0:16:00.480,0:16:03.240
irgendwie Telematik Sachen vielleicht ist [br]es ein bisschen anstrengend in letzte

0:16:03.240,0:16:08.960
Zeit und Florian Fuhrmann hat das auch [br]verglichen mit einem Basketballspiel

0:16:08.960,0:16:13.880
wo es dann in das letzte Viertel geht und [br]es sei jetzt Crunch time damit die

0:16:13.880,0:16:18.760
Digitalisierung das Gesundheitswesen so [br]wirklich vorwärts geht. Na ja guck mal ob

0:16:18.760,0:16:24.320
diese Sport Vergleiche wirklich so [br]sinnvoll sind. Die gute Frau Osikowski

0:16:24.320,0:16:28.920
vom Bundesgesundheitsministerium meinte [br]dazu aber auch dass die EPA die sicherste

0:16:28.920,0:16:34.160
in Europa sei in der Form wie sie am 15 [br]Januar kommen soll und weil wir euch

0:16:34.160,0:16:38.840
jetzt diese zete so nennen da werdet ihr [br]feststellen vielleicht ist es nicht ganz

0:16:38.840,0:16:45.120
so wahr weil es dann doch noch paar [br]Sachen gibt die man finden kann die ja

0:16:45.120,0:16:50.520
diese EPA angreifbar machen. Und dann [br]beginnen wir mal vielleicht mit einfachen

0:16:50.520,0:16:55.280
Sachen so ein Klassiker oder auch kein [br]Klassiker ich weiß nicht wer von euch

0:16:55.280,0:16:59.280
kennt noch sQL Injections?[br]<i>viele lachen</i>

0:16:59.280,0:17:04.000
Ok ein paar. Also für die für die [br]jüngeren Leute hier das früher musste man

0:17:04.000,0:17:08.080
noch aufpassen was man für Code in [br]irgendwelche Formulare eintippt weil dann

0:17:08.080,0:17:14.317
wird es in der Datenbank ausgeführt. Das [br]gibt's aber noch! Und ja.. <i>viele lachen</i>

0:17:14.317,0:17:21.200
Tschirsich: Genau. Das Einzige was ich auf der [br]Folge geändert habe sind die Namen die

0:17:21.200,0:17:26.880
Bezeichner also Mitglied Passwort mit der [br]Rest ist original SQL Statement so aus

0:17:26.880,0:17:32.800
einem dieser Karten Herausgeberportale. Da [br]beantragt man nur die Identitäten von den

0:17:32.800,0:17:36.720
gesamten Gesundheitsinstitutionen in [br]unserem Gesundheitswesen. Das heißt was

0:17:36.720,0:17:42.200
sich da machen kann also ich kann dort [br]SQL Code also ich sag mal Statements

0:17:42.200,0:17:46.720
dieses SQL Statement kann ich [br]manipulieren indem ich dort eigene

0:17:46.720,0:17:51.200
Befehle dort einbringe und kann z.B hier [br]bei diesem Karten Herausgeber Portal

0:17:51.200,0:17:58.840
einer entsprechenden eines [br]Kartenherausgebers neue Mitglieder also

0:17:58.840,0:18:02.920
Mitglieder durchiterieren z.B. Ich kann [br]die Mitgliedsnummer dort beliebig

0:18:02.920,0:18:05.760
anpassen ich kann dort weitere SQL [br]Statements anhängen neue Mitglieder

0:18:05.760,0:18:09.400
eintragen manipulieren und so weiter und [br]so fort. Was man auch machen kann was man

0:18:09.400,0:18:13.880
hier sieht das ist noch ein klassischer [br]MD5 hash Passwort man hat die komplette

0:18:13.880,0:18:19.200
passportdatenbank also will bedeuten wir [br]haben hier die Möglichkeit uns diese

0:18:19.200,0:18:27.320
smc-b Karten diese Praxis Ausweise OMAs zu [br]besorgen zu beschaffen sowohl auf

0:18:27.320,0:18:31.600
bestehende Mitglieder das auf bestehende [br]praxenintitution als auch vielleicht ganz

0:18:31.600,0:18:35.840
neue zu schaffen. Das haben wir jetzt [br]nicht ausprobiert und mit diesen Karten

0:18:35.840,0:18:39.560
habe ich dann wieder was habe ich damit?[br]Kastl: Ja mit diesen Karten kann ich als

0:18:39.560,0:18:43.720
Leistungserbringer zumindest auf alles [br]zugreifen was ich auf Leistungserbringer

0:18:43.720,0:18:47.760
Ebene Zugriff habe also ich kann es z.B [br]versuchen irgendwie die Daten eines

0:18:47.760,0:18:50.720
Arztes oder eine Ärztin zu ändern die [br]vielleicht schon Zugriff auf

0:18:50.720,0:18:54.760
elektronische Patientenakten hat. Das [br]ganzes remote durchführbar und ergibt

0:18:54.760,0:19:01.480
uns quasi die Möglichkeiten die alle alle [br]arbeitungsrechte die eine Ärztin oder

0:19:01.480,0:19:06.200
eine entsprechend personierte LEI hat [br]durchzuführen. Das Ganze ist eigentlich

0:19:06.200,0:19:09.920
schon etwas länger bekannt und kann man [br]eigentlich so über alle Jahre verteilt

0:19:09.920,0:19:12.440
immer wieder mal nachweisen. [br]Tschirsich: Genau wir regelmäßig.

0:19:12.440,0:19:17.560
Kastl: Aber ja gut. Was man auch dazu sagen [br]sollte vielleicht so von der Einschätzung

0:19:17.560,0:19:20.880
was hat denn so eine [br]Leistungserbringerintitution so an

0:19:20.880,0:19:26.920
Patientenkontakt irgendwie im Jahr oder [br]im Monat oder in 90 Tagen im Quartal? So

0:19:26.920,0:19:31.800
ca 1000 also Hausärzte haben ein bisschen [br]mehr weil die natürlich mehr Versorgung

0:19:31.800,0:19:37.840
mit mit Patientinnen vor Ort haben. [br]FachärztInnen haben weniger aber ja so

0:19:37.840,0:19:42.440
1500we s 800 also das heißt ihr habt dann [br]wirklich tatsächlich wenn ihr wenn ihr es

0:19:42.440,0:19:46.960
auf eine von diesen Institutionen [br]geschafft habt schon auch Zugriff auf

0:19:46.960,0:19:50.880
mehr als eine Aktie. [br]Tschirsich: Und was halt bezeichnet ist das ist ja

0:19:50.880,0:19:56.840
jetzt hier so ein Zugang zu 1000 Akten [br]gleichzeitig. Das ist Passwort MD5 hash,

0:19:56.840,0:20:01.680
sql-injection, irgendein modifiziertes [br]WordPress. Wenn wir als versicherte auf

0:20:01.680,0:20:04.680
unsere eigene einzige Akte zugreifen [br]wollen ist es ein sehr sehr kompliziertes

0:20:04.680,0:20:06.040
Verfahren.[br]<i>sehr viele lachen, Applaus</i>.

0:20:06.040,0:20:17.280
Muss ich Postident multifaktor <i>Applaus</i>[br]Authentisierung. Es ist sogar noch nicht

0:20:17.280,0:20:20.600
mal einige Zeit lang war es untersagt [br]Biometrie zu verwenden am SM weil es

0:20:20.600,0:20:23.760
jetzt zu unsicher ist ja dass ich mich [br]mit Biometrie als zweiten Faktor hier

0:20:23.760,0:20:28.080
haben wir ein Passwort als MD5hash. Also [br]diese Relation diese diese diese

0:20:28.080,0:20:32.560
Unterschiede die begegnen uns sehr häufig [br]auch im weiteren Verlauf des talks heute.

0:20:32.560,0:20:38.440
Kastl: Ja jetzt war bei 1000, jetzt müssen [br]wir das Gelierung bisschen höher gehen.

0:20:38.440,0:20:43.080
Das was wir jetzt zeigen ist ein bisschen [br]aufwendiger aber es wäre für angreifende

0:20:43.080,0:20:48.200
tatsächlich sehr lohnswert das zu tun, [br]denn jetzt geht es um zentrale Dienste in

0:20:48.200,0:20:51.920
der telematikinrastruktur um den [br]Versicherten stammdatendienst. Der

0:20:51.920,0:20:57.440
Versicherten stammdatendienst ermöglicht [br]uns zumindest Zugriff für sehr sehr viele

0:20:57.440,0:21:01.480
elektronischen Patienten Akten zu [br]erlangen und wie das genau geht wird

0:21:01.480,0:21:06.000
Martin jetzt erklären. [br]Tschirsich: Sehr gerne. Also erstmal komplizierte

0:21:06.000,0:21:08.760
Folie erstmal noch mal nicht auf die [br]Folie schauen sondern einen Schritt

0:21:08.760,0:21:13.120
zurück. Wir hatten mit der 1. EPA und [br]auch der 2. EPA wir sind jetzt bei der

0:21:13.120,0:21:16.440
3.EPA für alle bei der 3.EPA, bei den [br]ersten beiden hatten wir eine

0:21:16.440,0:21:20.440
Gesundheitskarte und eine PIN. Wer hat [br]eine PIN für seine Gesundheitskarte bitte

0:21:20.440,0:21:25.120
einmal Handheben? Oh also deutschlandweit [br]sind das 1%.

0:21:25.120,0:21:28.520
Kastl: Ich glaub das können wir hier toppen, [br]vielleicht sind hier sogar 2%.

0:21:28.520,0:21:29.875
<i>Gelächter</i>.

0:21:29.875,0:21:33.560
Tschirsich: Also diese PIN und die [br]Gesundheitskarte zusammen die ermöglichen

0:21:33.560,0:21:38.360
wenn ich dann bei in der Arztpraxis bin [br]Zugriff freizugeben auf meine Akte. Also

0:21:38.360,0:21:41.320
ich stecke ja meine Karte sowieso immer [br]das ist das sogenannte Versicherten

0:21:41.320,0:21:44.880
Stamdatenmanagement das muss ich machen [br]um nachzuweisen dass ich hier

0:21:44.880,0:21:49.360
leistungsberechtigt bin und dann gebe ich [br]meine PIN ein und kann dann eine Befugnis

0:21:49.360,0:21:53.760
erteilen vor Ort, wenn ich das nicht per [br]App mache forort. Und jetzt hat man sich

0:21:53.760,0:21:56.480
gedacht lass wir doch einfach die PIN weg [br]weil das Beantragen der PIN ist so

0:21:56.480,0:22:00.840
kompliziert gewesen damals. Dann wird es [br]einfacher. Vor allen Dingen hat man sich

0:22:00.840,0:22:06.320
gedacht wenn ich zu einem Opt-Out gehen [br]will dann kann ich nicht Jedem und Jeder

0:22:06.320,0:22:10.200
in der Bundesrepublik noch eine PIN zu [br]schicken nachdem sie zwangsweise bei der

0:22:10.200,0:22:13.840
durch irgende identverfahren gelaufen [br]sind wir lassen sie einfach weg. Das

0:22:13.840,0:22:18.440
heißt allein die Gesundheitskarte ist [br]schon Nachweis wenn ich die

0:22:18.440,0:22:21.920
Gesundheitskarte stecke in eine [br]Arztpraxis und zwar in ein solches

0:22:21.920,0:22:25.880
Lesegerät das kennen viele hier wird die [br]Gesundheitskarte reingesteckt dann hat

0:22:25.880,0:22:31.880
die Praxis Zugang auf diese Akte für 90 [br]Tage. Das ist der sogenannte

0:22:31.880,0:22:35.320
behandlungskontext der nachgewiesen wird [br]das auch im sogenannten Digitalgesetz

0:22:35.320,0:22:38.720
gesetzlich eingeführt und gefordert [br]worden im behandlungskontext also wenn

0:22:38.720,0:22:41.640
ich nachweisen kann da legt auch eine [br]Gesundheitskarte vor dann darf die

0:22:41.640,0:22:47.480
Arztpraxis auf diese Akte zugreifen. Wie [br]funktioniert jetzt der Nachweis dass da

0:22:47.480,0:22:50.800
eine Gesundheitskarte vorliegt? Ja so [br]eine Gesundheitskarte die hat ein Chip

0:22:50.800,0:22:56.480
drauf, Prozessorkarte und da sind ganz [br]viele private Schlüssel, Zertifikate und

0:22:56.480,0:23:01.200
so weiter drauf. Und da steckt auch eine [br]sogenannte iccsn in dieser Karte ist eine

0:23:01.200,0:23:06.040
Kartennummer einfach eine Kartennummer [br]und anhand dieser Kartennummer diese

0:23:06.040,0:23:11.160
Kartennummer ist quasi das Merkmal was [br]diese Karte identifiziert. Diese

0:23:11.160,0:23:15.680
Kartennummer steckt aber in mehreren [br]Dateien auf dieser Karte einmal in dem

0:23:15.680,0:23:20.920
entsprechenden Zertifikat das ist dieses [br]EFC eGK CVC Zertifikat dazu gibt's auch

0:23:20.920,0:23:23.920
ein privaten Schlüssel, den kriege ich [br]auch nicht raus aus der Karte. Der weiß

0:23:23.920,0:23:28.240
mir kryptografisch sicher nach, dass da [br]tatsächlich eine echte Karte ist. So ein

0:23:28.240,0:23:31.680
Biss wie die Chip authentication bei [br]neuen Personalausweis. Also das ist eine

0:23:31.680,0:23:37.360
echte Karte und das heißt die behauptete [br]iccsn die in dem Certifikat steckt die

0:23:37.360,0:23:40.720
entspricht auch tatsächlich der die auf [br]dieser Karte aufgedruckt ist. Und dann

0:23:40.720,0:23:48.000
gibt noch zweite Fundort dieser iccsn auf [br]der Karte das ist eine Datei efgdo global

0:23:48.000,0:23:52.480
data Object. Und die ist nicht [br]authentisiert nicht signiert gar nichts.

0:23:52.480,0:23:57.160
Und mit dieser iccsn geht jetzt quasi die [br]Arztpraxis zum sogenannten Versicherten

0:23:57.160,0:24:01.000
stammdatendienst h ccsn wird zum [br]versicheren stammdatendienst geschickt

0:24:01.000,0:24:03.880
und zurück bekomme ich ein [br]Prüfungsnachweis. Den Prüfungsnachweis

0:24:03.880,0:24:08.280
schicke ich dann zum Aktenkonto zur EPA [br]und bekommen dann die Daten so

0:24:08.280,0:24:12.400
vereinfacht gesprochen. Welche iccsn wird [br]jetzt zum vericherten stammdatendienst

0:24:12.400,0:24:18.030
geschickt die wo ich sicher den privaten [br]Schlüssel Nachweise? <i>gemurmel</i>

0:24:18.030,0:24:24.800
Tschirsich: Nein nein <i>Gelächter</i> die andere so. Wo [br]kann ich das Angreifen? Na ja an vielen

0:24:24.800,0:24:28.680
Stellen. Zum einen kann ich das ein Soap [br]Aufruf zu diesem versicheren

0:24:28.680,0:24:32.360
Stammdeitendienst im sogenannten Update Flag [br]Service kann ich direkt aufrufen. Der

0:24:32.360,0:24:36.040
einzige Parameter in diesem Soap Aufruf [br]ist die iccsn kann ich mir frei

0:24:36.040,0:24:41.080
ausdenken. Problem ist ich muss diesen [br]connektor irgendwie unter meine Kontrolle

0:24:41.080,0:24:45.640
bringen oder die Verbindung in dieses TI [br]VPN selber aufbauen, weil der Connector

0:24:45.640,0:24:48.800
ist wie eine Firewall zwischen mir hinter [br]dem Connector und diesem Update Flag

0:24:48.800,0:24:52.560
Service. Ist aber auch kein Problem, der [br]Liebe flippke hatte das gemacht und

0:24:52.560,0:24:56.680
schätzt dafür eine Woche Zeit. Wenn ich [br]mich direkt mit der TI verbinde ohne so

0:24:56.680,0:25:00.600
ein Connector zu knacken nehme ich mal [br]Anst ein paar Tage. Wenn ich ein

0:25:00.600,0:25:03.920
virtuelles Kartenterminal programmiere [br]was ich hinterm Konnektor anhänge, was

0:25:03.920,0:25:07.520
dann man in the middle Angriff auf die [br]durchgeleitete iccsn macht was auch geht

0:25:07.520,0:25:11.680
da sind wir so bei Entwicklungszeiten [br]einem zwei Monate. Was ich natürlich auch

0:25:11.680,0:25:14.680
machen kann ich kann auch vorne wenn ich [br]die Karte stecke keine echte

0:25:14.680,0:25:19.320
Gesundheitskarte stecken sondern eine wo [br]diese GDO Datei manipuliert ist. Ist auch

0:25:19.320,0:25:23.600
kommerziell erwerblich solche Kellen die [br]ich dort stecken kann und da bin ich

0:25:23.600,0:25:29.800
dabei! Tja kleiner Fehler, große Wirkung. [br]Was bedeutet das jetzt? Vielleicht noch

0:25:29.800,0:25:32.160
einmal hier, man sieht noch einmal [br]virtualisiert haben wir natürlich

0:25:32.160,0:25:35.400
gemacht. Also alles was wir hier sagen [br]haben wir für euch demonstriert. Wir

0:25:35.400,0:25:39.280
haben virtuelles kartenerminal damit [br]haben wir diese iccsn ausgelesen, wir

0:25:39.280,0:25:43.800
haben auch entsprechend einen sogenannten [br]prüfungsnachweis erzeugt für eine

0:25:43.800,0:25:47.680
beliebige iccsn allerdings in der [br]sogenannen referenzumgebung weil

0:25:47.680,0:25:51.040
produktiv kommt diese Akte erst am 15.1 [br]ne? Eben genau.

0:25:51.040,0:25:55.440
Kastl: was man vielleicht dazu sagen sollte [br]diese ICCsn sieht so schön aufgereiht, ja

0:25:55.440,0:25:58.360
die die sind quasi wirklich [br]durchnummeriert, ihr könnt sie

0:25:58.360,0:26:00.840
hochzählen. <i>erstaunliche laute</i> Also ihr [br]könnt über die Krankenkasse gehen

0:26:00.840,0:26:06.680
<i>lachen</i>, er sagt also <i>Applaus</i>. Wir [br]verraten euch mal die die ersten fünf

0:26:06.680,0:26:09.920
Ziffern sind immer gleich. Deutschland [br]Gesundheitswesen, dann nimmt ihr die

0:26:09.920,0:26:13.640
Krankenkasse und dann fangt ihr eben an [br]den nummerraum hochzzählen je nachdem wie

0:26:13.640,0:26:16.080
groß die Krankenkasse ist kann es über [br]ein paar Millionen gehen oder ein paar

0:26:16.080,0:26:19.840
tausend paar hundertausend, wie auch immer. [br]Da steckt nicht so viel Logik dahinter

0:26:19.840,0:26:24.800
diesen Nummernraum irgendwie zu treffen [br]und wie Martin schon sagte so viel

0:26:24.800,0:26:29.280
bzw jetzt kommt spannende daran glaube [br]ich weil wir haben mal gesucht ob das

0:26:29.280,0:26:32.920
vielleicht irgendwie jemand schon mal [br]aufgefallen wäre. Also der Fehler der ist

0:26:32.920,0:26:35.320
ja hier im Publikum sehr schnell [br]aufgefallen ohne dass ich überhaupt sagen

0:26:35.320,0:26:40.400
muss was los war, die kennen auch die [br]gematik. Spätestens seit 2016 ist er

0:26:40.400,0:26:43.320
bekannt steht in den Specks kann man [br]nachlesen eine von der gesteckten

0:26:43.320,0:26:47.800
Gesundheitskarte abweichende iccsn deutet [br]auf einen Fehler der dezentralen ti also

0:26:47.800,0:26:51.640
das das was in der Arztpraxis passiert [br]hin oder einen Angriff. Ja Angriff das

0:26:51.640,0:26:55.560
haben wir jetzt hier deutet hin steht in [br]der Speck dennoch hat man sich

0:26:55.560,0:27:00.200
entschieden genau dieses Verfahren für [br]den Nachweis des Vorliegens ein echten

0:27:00.200,0:27:05.120
Gesundheitskarte zu wählen um Zugriff auf [br]Akten freizugeben. Genau. Was noch?

0:27:05.120,0:27:10.520
Kastl: Ja was spannendes ist man macht es [br]dann Jahr vorher anders weil man hat das

0:27:10.520,0:27:15.600
z.B im Thema des eHealth-CartdLinks wieder [br]das sicher validiert? Das heißt wir haben

0:27:15.600,0:27:17.880
jetzt zwei verschiedene Verfahren das [br]eine wird sicher validiert, das andere

0:27:17.880,0:27:20.637
wird nicht sicher validiert... Hm [br]spannend genau .

0:27:20.637,0:27:23.760
Tschirsich: Also gerade letztes Jahr hatten wir [br]das noch mal in der neuen Speck auch

0:27:23.760,0:27:27.480
extra sogar eine mitigation gegen diesen [br]Angriff aber bei der EPA wurde es nicht

0:27:27.480,0:27:31.240
mitigiert. [br]Kastl: Ja was heißt das jetzt wir haben einen

0:27:31.240,0:27:34.440
Angriff der ist ein bisschen aufwendiger [br]er braucht vielleicht ein Monat um

0:27:34.440,0:27:38.600
irgendwie mal so in diesem Kontexten [br]einfachen Prototypen zu haben, der ist

0:27:38.600,0:27:42.000
remote durchführbar und der ermöglicht [br]Vollzugriff auf alle EPAs. Wenn wir sagen

0:27:42.000,0:27:46.440
alle EPAs meinen wir alle EPAs. Das heißt [br]der braucht nur diese icssn und hab dann

0:27:46.440,0:27:51.760
Zugriff auf eine von den 70 Millionen [br]EPAs mit eben der Leistungsbringer

0:27:51.760,0:27:54.920
Institution den rechten die diese [br]Institution hat mit der man sich da quasi

0:27:54.920,0:27:59.120
in der TI anmeldet. Das ist die [br]Einschenkung dazu also wir brauchen

0:27:59.120,0:28:03.440
irgendwie die Identität einer [br]Leistungsbringer Institution um zumindest

0:28:03.440,0:28:06.480
diese Rechte zu haben und dann aber [br]Vollzugriff zu haben.

0:28:06.480,0:28:10.880
Tschirsich: Genau wir brauchen so eine smcb also [br]diese Karte die wir vorher bestellt haben

0:28:10.880,0:28:16.560
und über das kartenherausgeberportal mit [br]der sql-injektion aber vielleicht wollen

0:28:16.560,0:28:20.840
wir die noch schneller vielleicht wollen [br]wir da noch bisschen einfacher rankommen

0:28:20.840,0:28:28.120
weil SQL Injektion sind ja strafbar [br]wahrscheinlich weiß ich jetzt nicht.

0:28:28.120,0:28:29.570
<i>gemurmel, gelächter</i>

0:28:29.570,0:28:34.160
Kastl: Genau deswegen haben wir uns [br]angeschaut gibt's ja vielleicht einen Weg

0:28:34.160,0:28:38.840
der uns allen offen steht auch den [br]ehrlichen heuteen unter uns und haben uns

0:28:38.840,0:28:42.200
einfach mal angeschaut ja was gibt's denn [br]dann noch?

0:28:42.720,0:28:49.640
Tschirsich: Das eine ist <i>gelächeter</i> wobei wir [br]haben jetzt gelernt wenn ich ein Passwort

0:28:49.640,0:28:53.720
öffentlich irgendwo finde z.B im Kompilat [br]und das nehme und eingebe, dann ist das

0:28:53.720,0:28:57.240
doch nicht zulässig ja also vor den [br]Gerichten wird das dennoch als strafbare

0:28:57.240,0:29:00.800
Handlung gesehen hab wir es leider [br]gesehen. Das heißt auch das wir hatten

0:29:00.800,0:29:03.200
hier bei bestimmten [br]Praxisverwaltungssystem also diese

0:29:03.200,0:29:06.680
Software die Arztpraxen einsetzen eine [br]bestimmte Standardkonfiguration und

0:29:06.680,0:29:14.560
konnten übers Internet auf Akten [br]zugreifen wenn wir da nicht responsible

0:29:14.560,0:29:19.560
disclosed hätten so. Das zweite ist man [br]kann natürlich showdown anwerfen interest

0:29:19.560,0:29:23.560
of things Suchmaschine dort einfach mal [br]Praxis eintippen und dann findet man

0:29:23.560,0:29:27.440
endlos endlos endlos wenn es auf [br]Deutschland eingrenzt Zugänge zu allen

0:29:27.440,0:29:31.040
möglichen Gesundheitsinstitution. [br]Gesundheitsinstitutionen in Deutschland

0:29:31.040,0:29:34.000
sind miserabel geschützt. Das ist auch [br]nicht deren Aufgabe die haben oft nicht

0:29:34.000,0:29:38.040
die ich sag mal die die Ressourcen dafür [br]sind e schon überlastet und natürlich

0:29:38.040,0:29:41.240
kommt man remote an so eine [br]Gesundheitsinstitution ran und kann dann

0:29:41.240,0:29:47.000
die dort vorhandene it Connector smcb [br]einfach mitnutzen. Ist alles schon

0:29:47.000,0:29:51.240
freigeschaltet alles schon da ist also [br]sehr einfach aber vielleicht gibt's ja

0:29:51.240,0:29:53.560
noch ein einfachen Weg, jetzt schauen wir [br]uns erstmal den an.

0:29:53.560,0:29:57.240
Kastl: Schauen wir uns erstmal den an dauert [br]so zwei Stunden wenn man irgendwie suchen

0:29:57.240,0:30:01.280
lässt oder sucht das ganze ist remote durch[br]führbar das Ganze das gleiche ihr kennt das

0:30:01.280,0:30:05.040
inzwischen Zugriff auf alle EPAs die für [br]diese Leistungserbringerinstitution

0:30:05.040,0:30:08.560
freigegeben sind. Das ganze ist [br]eigentlich schon mal so ein bisschen

0:30:08.560,0:30:12.360
bekannt wurde gemeldet responsible [br]disclose. Wurde dann gefixt aber es gibt

0:30:12.360,0:30:15.120
wie viele Praxisverwaltungssysteme z.B [br]200?

0:30:15.120,0:30:17.960
Tschirsich: Knapp über 100.[br]Kastl: Ja also irgendwie ein paar die find

0:30:17.960,0:30:22.040
vielleicht alle nicht so ganz proper und [br]jetzt ist aber die Frage na ja so

0:30:22.040,0:30:26.080
irgendwie remote Zugriff vielleicht [br]möchte man das doch irgendwie in die Hand

0:30:26.080,0:30:37.480
nehmen! Und ja sie an die Hand nehmen genau.[br]Tschirsich: Genau wir haben uns noch einen Weg

0:30:37.480,0:30:44.080
angeschaut ein alten Bekannten. Da muss [br]ich nur zum Telefonhörer greifen. Und

0:30:44.080,0:30:46.240
zwar haben wir uns angeschaut wie komme [br]ich denn eigentlich an diese

0:30:46.240,0:30:50.400
Gesundheitskarte? Also das ja der [br]Schlüssel für den jeweiligen Versicherten

0:30:50.400,0:30:55.000
für die Versicherte auf diese eine Akte. [br]Wie komme ich daran? Na ja die

0:30:55.000,0:31:01.880
ausgabeprozesse wie schon demonstriert [br]2014 2015 2016 2017 2017 2019 und auch

0:31:01.880,0:31:06.520
schon davor 2012 sind nicht sicher und es [br]ist quasi so ein jährliches Ritual sich

0:31:06.520,0:31:13.080
eine neue Gesundheitskarte zu bestellen [br]aber nicht die eigene <i>lachen</i> sondern ja

0:31:13.080,0:31:18.240
von jemand anderem. Mit Einwilligung [br]natürlich. Also bei uns ich weiß nicht

0:31:18.240,0:31:23.880
wie ihr das Hand habt wenn ihr jährlich [br]Gesundheitskgarten bestellt. <i>gelächter</i>

0:31:23.880,0:31:26.960
Haben wir wieder gemacht, haben wieder [br]Gesundheitskarte bestellt. Es waren

0:31:26.960,0:31:31.440
diesmal zwei Telefonate notwendig jeweils [br]5 Minuten Aufwand 10 Minuten in etwa

0:31:31.440,0:31:34.880
würde ich schätzen und dann kam sie frei [br]Haus. Heutzutage brauche ich ja die PIN

0:31:34.880,0:31:39.160
nicht mehr, das heißt da gibt's auch kein [br]ident kommt die Gesundheitskarte und

0:31:39.160,0:31:41.800
Gesundheitskarte ist ja der [br]Zugangsschlüssel zu meiner Akte ich muss

0:31:41.800,0:31:44.840
da nur an den Kiosk gehen und kann dann [br]in meine Akte rumwülen.

0:31:44.840,0:31:51.640
Kastl: Ja jetzt ist die Frage also 20 Minuten [br]kann man remote machen lösch-,

0:31:51.640,0:31:55.120
lesenzugriff weil ihr könnt ja quasi auch [br]in eurer EPA Dinge löschen auch lesen und

0:31:55.120,0:31:59.640
so weiter. Hat das irgendjemand schon mal [br]gemerkt dass es vielleicht irgendwas ist

0:31:59.640,0:32:03.080
was man fixen hätte sollte ja? Jetzt [br]kommt leider das was Karl Lauterbach

0:32:03.080,0:32:07.040
nicht gefallen wird. Ulrich Kelber hat [br]angemerkt 2023 dass die elektronischen

0:32:07.040,0:32:10.480
Gesundheitskarten eGK müssen persönlich [br]zugestellt werden oder eine

0:32:10.480,0:32:14.600
nachidentifizierung muss stattfinden [br]bevor die eGK als Zugangsmittel zur it

0:32:14.600,0:32:20.560
eingesetzt wird. Ja er hat halt recht. [br]bekannt aus Funk und Fernsehen

0:32:20.560,0:32:27.840
tatsächlich seit 2012 Kelber hat es noch [br]mal auf Punkt gebracht.

0:32:27.840,0:32:32.360
<i>Applaus</i>

0:32:32.360,0:32:39.240
So jetzt waren wir eine beliebige [br]Patienttin jetzt hatten wir Zugriff auf

0:32:39.240,0:32:43.360
theoretisch alle EPAs aber irgendwie [br]vielleicht braucht man noch mal so ein so

0:32:43.360,0:32:45.717
eine so ein SNCB?[br]<i>B lächelt</i>

0:32:45.717,0:32:51.240
Tschirsich: Man kann nie genug haben <i>lächelt</i>[br]Kastl: <i>lächelt</i> Ja wo findet man sowas denn?

0:32:51.240,0:32:56.720
Kastl: Ja weiß nicht Internet irgendwo ne [br]ebay? Nee.

0:32:56.720,0:33:00.400
Tschirsich: Kleinanzeige ist jetzt nicht mehr ebay [br]ist jetzt getrennt.

0:33:00.400,0:33:07.840
Kastl: Ok. zeig mal kleiner zeigen. [br]Tschirsich: Genau Kleinanzeige genau. Was haben

0:33:07.840,0:33:15.160
Kleinanzeige gemacht smcb nein wir haben [br]kartenerminals bestellt. Solche. Die sind

0:33:15.160,0:33:20.160
Orga 6141 gute Teile gute Teile haben [br]sehr viele Kartenslots ein für die

0:33:20.160,0:33:25.600
Gesundheitskarte ein für [br]heillberufausweise und zwei einmal für

0:33:25.600,0:33:31.080
eine kleine Chipkarte im Kartenterminal [br]selbst und dann für die sogenannte smcb.

0:33:31.080,0:33:34.880
Und ja wir haben uns mal ein paar [br]bestellt und haben dann auch ein paar

0:33:34.880,0:33:38.520
smcb frei hausgeliefert bekommen [br]<i>gelächter, einzelne applaus</i> teilweise

0:33:38.520,0:33:43.840
teilweise waren ja auch noch versiegelt [br]original also schön sicher. Auch die Pins

0:33:43.840,0:33:49.040
lagen teilweise dabei also. Wenn man net [br]gefragt hat vorher bei Kleinanzeige gibt

0:33:49.040,0:33:51.040
eine Chatfunktion dann kriegt man auch [br]die PIN. <i>Gelächter</i>

0:33:51.040,0:33:58.920
Weil ja Restlaufzeit ausnutzen [br]Gebrauchtmarkt Zweitverwertung ist

0:33:58.920,0:34:02.800
ökologisch. Genau was wir gemacht haben [br]wir haben die dann mal in so eine Karte

0:34:02.800,0:34:07.600
eingelassen also diese smcbs das so [br]kleine Dinger wenn man die entsprechend

0:34:07.600,0:34:11.320
präpariert dann kriegt man die auch ein [br]klassisches reiner SCT Kartenterminal da

0:34:11.320,0:34:16.760
braucht man das auch nicht mehr und ja [br]nicht nur das wir haben auch gedacht wenn

0:34:16.760,0:34:21.400
kleiner zeig schon so ein gutes Hacker [br]Tool ist schauen was es noch her gibt wir

0:34:21.400,0:34:24.840
haben uns als Dienstleister auf [br]Kleinanzeigen mal ein paar Anzeigen

0:34:24.840,0:34:29.240
rausgesucht und da gibt's tatsächlich [br]einige die aus ärzlicher Sicht Probleme

0:34:29.240,0:34:31.640
mit demem connektor haben mit der [br]Installation das ist wirklich kompliziert

0:34:31.640,0:34:34.320
und haben wir gerne unseren Support [br]angeboten und hat dann auch remote

0:34:34.320,0:34:38.153
Zugriff auf eine freigeschalte Zms

0:34:38.153,0:34:38.197
<i>Applaus</i>

0:34:38.197,0:34:50.600
Kastl: Ja so wie lange dauert so eine [br]Internetrecherche na ja 4er Stunden

0:34:50.600,0:34:54.880
remote über ist Inter [br]Tschirsich: Ja manchmal ist das das so ein

0:34:54.880,0:34:58.240
bisschen haklig oder so aber kriegt man [br]auch irgendwie hin also response time bei

0:34:58.240,0:35:00.791
Kleinanzeigen ist nicht immer ideal ne?

0:35:00.791,0:35:00.840
<i>viele lachen</i>

0:35:00.840,0:35:05.920
Gibt schlechte Bewertung ja <i>lächelt</i>? [br]Und was hat man damit hat Zugriff auf

0:35:05.920,0:35:10.440
diese für die Leihe freigegebene EPAs das [br]kann unterschiedlich sein was da so

0:35:10.440,0:35:14.960
freigegeben ist aber ja man hat dann [br]zumindest halt den ordentlichen Zugriff

0:35:14.960,0:35:18.880
in die TI ja. [br]Kastl: Jetzt reicht langsam würde ich sagen

0:35:18.880,0:35:23.600
ja jetzt haben wir so glaube ich im [br]Gesamtfeld eigentlich alles was wir

0:35:23.600,0:35:28.920
brauchen um auf alle EPAs zuzugreifen im [br]wahrsten Sinne das Wortes und was ist

0:35:28.920,0:35:32.240
jetzt unser Fazit? hm [br]Tschirsich: Ja also erstmal kann man noch mal

0:35:32.240,0:35:36.760
aufmalen was wir uns alles angeschaut [br]haben ne? Also überall wo hier rot

0:35:36.760,0:35:39.320
eingekreist ist das haben wir uns [br]angeschaut und da war auch irgendwas,

0:35:39.320,0:35:42.920
also wir haben auf verschiedensten Wegen [br]uns die Identitäten der Patientinnen

0:35:42.920,0:35:46.800
Patienten besorgt, Gesundheitskarten. Wir [br]haben auf verschiedensten Wegen uns die

0:35:46.800,0:35:52.080
Praxisidentitäten besorgt sei es über den [br]Zugang von außen über das Thema der

0:35:52.080,0:35:59.360
Konfiguration it, oder Gebrauchtmarkt [br]oder IT support. Wir haben uns dann auf

0:35:59.360,0:36:02.520
diesen verschiedenen Wegen unter Anderem [br]auch über die Karten Hererausgeber ganz

0:36:02.520,0:36:06.480
oben die in rot markiert sind bei den [br]Portalen mal umgeschaut haben gesehen da

0:36:06.480,0:36:11.160
ist vielleicht noch einfacher und damit [br]hatten wir wirklich alles zusammen um auf

0:36:11.160,0:36:15.920
individuelle Akten beliebige zuzugreifen, [br]um auf alle für eine Praxis freigegebenen

0:36:15.920,0:36:24.140
Akten zuzugreifen, um auf alle 70 [br]Millionen Praxis Akten zuzugreifen

0:36:24.140,0:36:31.970
genau. <i>viele Applaus</i>[br]Kastl: Ja so und weil diese ganzen Timelines

0:36:31.970,0:36:35.960
vielleicht ein bisschen verwirrend war [br]haben wir noch mal eine schöne Übersicht

0:36:35.960,0:36:41.760
gemacht was den eigentlich so seit dem [br]36C3 um den 36C3 passiert ist paar

0:36:41.760,0:36:46.680
Sachen. Also wir haben z.B in Zugangsweg [br]für die Patientinnen in Reihe

0:36:46.680,0:36:49.080
kompromittiert, wir haben den Zugriff [br]über die Leistungsverbringer

0:36:49.080,0:36:52.000
kompromittiert und wir haben jetzt noch [br]dazu warum die Sache noch schlimmer zu

0:36:52.000,0:36:58.760
machen einen systematischen Fehler im [br]versicherten Stammdatenmanagement. Ja und

0:36:58.760,0:37:02.480
jetzt haben wir eine Opt-Out EPA für alle [br]die nicht widersprechen. Das ist

0:37:02.480,0:37:09.920
irgendwie doof, weil es erzeugt sowas wie [br]Opportunitätskosten. Früher wurde gesagt

0:37:09.920,0:37:15.280
na ja die EPA ist zu sicher deswegen [br]nutzt die niemand <i>einzelne Gelächter</i>.

0:37:15.280,0:37:20.040
Ja ich glaube so sicher war sie auch eine [br]Historie nicht wir haben jetzt aber

0:37:20.040,0:37:23.640
natürlich durch das Thema EPA für alle [br]ein wesentlich gesteigertes

0:37:23.640,0:37:29.760
Schadensausmaß. Jetzt ist tatsächlich ein [br]sagen wir mal Implementierungsdetail im

0:37:29.760,0:37:34.400
versicherten Stammdatenmanagement [br]ursächlich für einen Massendaten Abfluss

0:37:34.400,0:37:40.120
theoretischen was (wir hoffen mal) dass [br]noch gefixt wird in der EPA für alle für

0:37:40.120,0:37:44.440
70 Millionen, die nicht widersprochen [br]haben und das kostet natürlich in der

0:37:44.440,0:37:49.850
Gesamtbetrachtung das Vertrauen in das [br]digitale Gesundheitswesen und dieses

0:37:49.850,0:37:54.800
Vertrauen kann man glaube ich auch nicht [br]so wirklich in Zahlen aufwiegen. Es ist

0:37:54.800,0:37:58.720
aber am Ende unser aller Gesundheitswesen [br]unser Digitalisierung des

0:37:58.720,0:38:01.840
Gesundheitswesens und eigentlich sollten [br]wir Interesse daran haben dass das

0:38:01.840,0:38:08.120
entsprechend vertrauenswürdig und sicher [br]ist damit es eben auch genutzt wird. Ja

0:38:08.120,0:38:11.740
aber dazu vielleicht mal wir versuchen [br]ein bisschen weiterzuhelfen.

0:38:11.740,0:38:15.040
Tschirsich: Wir versuchen jetzt haben wir Symptome [br]gesehen, ziemlich viele Symptome sogar

0:38:15.040,0:38:19.040
leider und auch quasi in in jährlicher [br]Sukzession immer wiederholt dieselben

0:38:19.040,0:38:23.200
oder ähnliche Symptome, gibt irgendwie [br]Gemeinsamkeiten um rauszufinden was die

0:38:23.200,0:38:26.360
Ursache da was liegt eigentlich dahinter [br]warum ist das so? Warum können wir uns

0:38:26.360,0:38:29.600
darauf nicht verlassen dass jetzt lich [br]Maline EPA kommt die dann sicher ist? Na

0:38:29.600,0:38:33.210
ja also erstens was man sehr schnell [br]feststellt wenn man sich damit

0:38:33.210,0:38:36.010
beschäftigt da können ja einige ein Lied [br]von Singen

0:38:36.010,0:38:39.850
Das ist ein sehr komplexes Thema diese [br]Gesamte Spezifikationslandschaft

0:38:39.850,0:38:42.160
Die Vertrauensräume diese

0:38:42.160,0:38:44.240
Komplexität auch der vielen Beteiligten [br]in der Selbstverwaltung des

0:38:44.240,0:38:48.870
Gesundheitwesen, wie gesagt 100 Kassen [br]100 Karten Herausgeber. Das sind alles

0:38:48.870,0:38:52.490
außentäterszenarien die wir gezeigt haben [br]die wirklich nur außen an der Oberfläche

0:38:52.490,0:38:57.370
von dieser Komplexität kratzen ne? Hier [br]gibt's ein großer Gutachter von TI

0:38:57.370,0:39:02.060
Anwendungen und das Zitat dort ist also [br]das System ist zwischen so komplex dass

0:39:02.060,0:39:05.660
kaum noch Jemand vollständig durchtrinkt. [br]Frauenhofer SIT hat sich dort mal

0:39:05.660,0:39:11.990
versucht mit einem gematic GPT also das [br]auf diesem Wege daran zu kommen aber auch

0:39:11.990,0:39:17.950
das kann diese Komplexität in der Größe [br]nicht durchdringen.

0:39:17.950,0:39:18.830
Kastl: Ja [br]Tschirsich: Genau was leiten wir daraus ab? Also

0:39:18.830,0:39:24.860
was sehen wir das ist so ein bisschen so [br]die die Oberfläche der wir gekratzt haben

0:39:24.860,0:39:27.980
dann sind wir ein bisschen tiefer [br]gegangen und jetzt haben wir scharf

0:39:27.980,0:39:30.860
überlegt und uns ein paar Kern [br]Forderungen zurecht geschrieben die

0:39:30.860,0:39:36.910
umgesetzt werden müssen damit wir dieses [br]Vertrauen wieder zurückgewinnen was hier

0:39:36.910,0:39:40.630
verloren gegangen ist. Zunächst einmal [br]das ist die wichtigste Forderung brauchen

0:39:40.630,0:39:44.670
unabhängige belastbare Bewertung von Sicherheitsrisiken[br]den in diesem System inherenten Risiken

0:39:44.670,0:39:49.330
Es kann nicht sein, dass ehrenamtlich von [br]draußen immer wieder und wieder zugetragen

0:39:49.330,0:39:53.540
wird, wo ad hock gefixt wird. Nein. Wir brauchen [br]unabhängige blastbare Bewertung

0:39:53.540,0:39:55.876
dieser Datenverarbeitung und das kann [br]nicht die gematik oder das BMG machen

0:39:55.876,0:39:55.920
<i>Applaus</i>

0:39:55.920,0:40:07.560
das muss eine unabhängige Stelle sein. [br]Dann muss das kommuniziert werden was

0:40:07.560,0:40:13.080
hier als Entscheidung als Risiko [br]Akzeptanzkriterium als in in dieser

0:40:13.080,0:40:17.560
Risikobewertung einfließendes Kriterium [br]was dort niedergeschrieben worden ist was

0:40:17.560,0:40:20.640
dort vereinbart worden ist das muss [br]transparent kommuniziert werden. Also

0:40:20.640,0:40:24.040
transparente Kommunikation von Risiken [br]gegenüber Betroffenen und wir sind alle

0:40:24.040,0:40:27.320
betroffen weil das ist die EPA für alle.

0:40:27.320,0:40:27.480
<i>wachsende Applaus</i>

0:40:27.480,0:40:40.160
Dann brauch es ein anderen Prozess, einen [br]anderen Entwicklungsprozess, denn wenn

0:40:40.160,0:40:43.600
wir immer das Gleiche tun kommt auch am [br]Ende immer dasselbe raus und es es

0:40:43.600,0:40:46.520
irwitzig zu erwarten dass jetzt auf [br]einmal ein sicheres Produkt kommt nachdem

0:40:46.520,0:40:50.040
die EP 1 die EP 2 und die EP 3 mit [br]derartigen Mängeln versehen war. Wir

0:40:50.040,0:40:53.400
brauchen einen offenen [br]Entwicklungsprozess open development und

0:40:53.400,0:40:57.240
zwar über den gesamten Lebenszyklus [br]hinweg.

0:40:57.240,0:41:04.355
<i>Applaus</i>

0:41:04.355,0:41:08.080
Kastl: Ja was wir aber gleich dazu sagen [br]sollten weil vielleicht irgendwelche

0:41:08.080,0:41:10.320
Leute wieder auf die Ideen kommen das [br]musssen man irgendwie privatisieren, das

0:41:10.320,0:41:13.480
macht noch viel schlimmer. Ich glaube wir [br]brauchen eine sinnvolle digitale

0:41:13.480,0:41:18.960
staatliche Lösung die auch sinnvoll als [br]öffentliche Infrastruktur funktioniert

0:41:18.960,0:41:22.560
weil ich glaube niemand will irgendwie [br]Doctorlib oder sonst irend was seine EPA

0:41:22.560,0:41:30.280
maintainen lassen. Wir merken dass diese [br]intransparenten risobetrachtung im

0:41:30.280,0:41:33.880
digitalen Gesundheitswesen Vertrauen [br]zerstören ja das geht dann wieder dazu

0:41:33.880,0:41:36.640
dass natürlich Menschen die besonders von [br]EPA profitieren würden diese nicht

0:41:36.640,0:41:41.240
nutzen. Denkt an Menschen mit HIV [br]Erkrankungen. Denkt an Menschen mit

0:41:41.240,0:41:44.920
psychischen Erkrankungen. Denkt an [br]Menschen die irgendwie häusliche Gewalt

0:41:44.920,0:41:49.760
ausgesetzt sind. All diese Menschen haben [br]eigentlich durch Digitalisierung

0:41:49.760,0:41:53.120
Gesundheitswesen vielleicht auch noch die [br]bessere Möglichkeit ja an

0:41:53.120,0:41:56.160
Gesundheitsleistungen zu kommen aber die [br]haben natürlich ein sehr sehr viel

0:41:56.160,0:42:03.600
stärkeres Sicherheits ja Bedürfnis was [br]aber natürlich durch solche Aktionen die

0:42:03.600,0:42:06.520
von der gematik ausgehen die wir nur [br]zeigen sondern machen es nicht kaputt

0:42:06.520,0:42:11.960
sondern wir zeigen nur was kaputt ist [br]nicht unbedingt vertrauen aufbauen. Das

0:42:11.960,0:42:16.480
ist leider so ein teufelskreis in dem wir [br]uns gerade befinden und ich glaube ohne

0:42:16.480,0:42:20.440
wirklichen Ändern des Prozesses wird da [br]auch zukünftig nichts anders

0:42:20.440,0:42:23.840
herauskommen. Ich meine wir stehen zwar [br]gern hier aber irgendwann wird's auch ein

0:42:23.840,0:42:30.320
bisschen langweilig sorry und na ja. [br]Deswegen ist es eigentlich wichtig dass

0:42:30.320,0:42:34.000
wir eine vertrauenswürdige Lösung auch [br]für jeden Sicherheitsbedarf schaffen. Es

0:42:34.000,0:42:36.480
gibt natürlich Menschen die haben [br]vielleicht chronische Erkrankungen die

0:42:36.480,0:42:40.840
haben ganz anderes Verständnis zu wie [br]sicher muss das sein den ist irgendwie

0:42:40.840,0:42:44.400
die medizinische Leistung wichtiger aber [br]es gibt auch Menschen die haben sehr sehr

0:42:44.400,0:42:47.840
hohen Bedarf an nach sicheren Lösungen [br]und ich glaube da ist auch dieser Gedanke

0:42:47.840,0:42:50.680
mit ja ich nehme nur eine eGK um [br]irgendwie hinzugehen und irgendwo meine

0:42:50.680,0:42:56.000
Karte zu stecken vielleicht für manche [br]nicht ausreichend. Ja jetzt ist es aber

0:42:56.000,0:42:59.920
so, jetzt stehen wir und erklagen wieder [br]an hat vielleicht nicht irgendjemand das

0:42:59.920,0:43:07.440
schon mal artikuliert. Ja schon z.B Alena [br]Buyx ehemalige Vorsitzende des Deutschen

0:43:07.440,0:43:11.600
Ethikrates sagt z.B es geht Lösungen zu [br]finden die es möglich machen dass alle

0:43:11.600,0:43:18.040
glücklich sind ja das würden wir auch [br]gerne haben und Susanne Ozegowski ihres

0:43:18.040,0:43:23.120
Zeichens im Bundesgesundheitsministerium [br]sagte selbst das Sicherheit dass A und O

0:43:23.120,0:43:28.320
für die EPA sei und das Vertrauen der [br]Menschen in die EPA so wichtig sein. Wir

0:43:28.320,0:43:35.440
merken davon nicht so viel aber zumindest [br]ist Erkenntnis da und ja wir gucken mal

0:43:35.440,0:43:40.200
wo wir in ein paar Monaten Jahren wo auch [br]immer stehen vielleicht hoffentlich nicht

0:43:40.200,0:43:44.160
auf dieser Bühne vielleicht wird's besser [br]vielleicht wird's auch genauso bleiben

0:43:44.160,0:43:47.440
schauen wir mal.[br]Tschirsich: Vielleicht noch ein Schlusssatz um das

0:43:47.440,0:43:52.160
ganze zu fassen. Also vertrauenswürdige [br]Digitalisierung Gesundheitswesen das ist

0:43:52.160,0:43:55.200
das was wir wünschen vertrauenswürdige [br]Entwicklung und Produkte und

0:43:55.200,0:43:58.080
elektronische Patientenakten für die die [br]sind nutzen wollen und können und die

0:43:58.080,0:44:03.120
davon profitieren das ist unser an unser [br]ansinn unser Ziel. Aber dafür braucht es

0:44:03.120,0:44:08.240
einen vertrauenswürdigen Prozess der [br]Vertrauen ermöglicht und dieses Vertrauen

0:44:08.240,0:44:10.560
das ist irgendwo verloren gegangen und [br]das muss sehr hart wieder

0:44:10.560,0:44:13.640
zurückgearbeitet werden und wir hoffen [br]dass unsere Forderung Gehör finden.

0:44:13.640,0:44:32.013
Herald: Jo und in diesem Sinne

0:44:32.013,0:44:40.680
<i>ausgiebige Applaus, Wows</i>

0:44:40.680,0:44:45.280
Vielen Dank Martin, Bianca. Es war wieder [br]ein Fest. Ich muss mich leider

0:44:45.280,0:44:49.920
entschuldigen es war nicht der 32C3 war [br]natürlich der 36C3. Bin schon bisschen

0:44:49.920,0:44:54.440
älter da vergisst man Sachen tut mir [br]leid. Bevor wir zur Fragerunde kommen wir

0:44:54.440,0:44:57.040
haben dafür jetzt noch 15 Minuten Zeit [br]lass mich noch mal kurz eins fragen.

0:44:57.040,0:45:01.160
Fragen Ihr habt vorhin gefragt gesagt [br]Ehrenamt das heißt alles was wir jetzt

0:45:01.160,0:45:03.440
gerade gesehen haben sind ehrenamtliche [br]Recherchen.

0:45:03.440,0:45:15.985
Kastl: Ja [br]Herald: Das ist ziemlich cool!

0:45:15.985,0:45:16.040
<i>ausgiebige Applaus</i>

0:45:16.040,0:45:21.120
Das führt nämlich dazu dass wir zum einen [br]natürlich mit als Ehrenamt sei rotes

0:45:21.120,0:45:25.600
Kreuz sei es sonst wo aber eben auch als [br]IT-spezialisten tatsächlich auch was für

0:45:25.600,0:45:29.920
die Gesellschaft tun können das ziemlich [br]wirklich ziemlich gut. Wie gesagt wir

0:45:29.920,0:45:34.320
kommen zur Fragerunde wenn ihr Fragen [br]habt dann bitte an die Mikros stehen es

0:45:34.320,0:45:39.120
gibt hier nummerierte Mikros die stehen [br]auch in den Mittelgängen ich meine oben

0:45:39.120,0:45:46.800
gäbe es auch noch welche auf den Rängen. [br]Wink mal jemand wenn dem so ist. Da oben

0:45:46.800,0:45:52.320
ja da hinten winkt jemand sehr gut. Dann [br]gehen wir Mikrofon für Mikrofon durch

0:45:52.320,0:45:54.560
Signal Angel hat auch schon eine Frage [br]hervorragend.

0:45:54.560,0:45:59.920
Mikrofon 1 bitte da: Ja ihr habt vorhin [br]mit der Größen Übersicht da gezeigt an

0:45:59.920,0:46:04.000
welchen Stellen in dem großen [br]Zusammenhang ihr überall gepokt habt und

0:46:04.000,0:46:08.880
an Informationen gekommen seid. Die [br]Krankenkassen waren nicht dabei. Droht

0:46:08.880,0:46:13.360
uns da noch was?[br]Kastl: Jetzt wir ein bisschen politisch die

0:46:13.360,0:46:17.640
Krankenkassen dürfen inzwischen mit den [br]ihn vorliegenden Daten Lauch

0:46:17.640,0:46:23.040
Gesundheitsdaten nutzungsgesetz Paragraph [br]25 SGB 25b sgb5 Entschuldigung für den

0:46:23.040,0:46:28.800
ganzen rechtsplan <i>Applaus</i> dabei von [br]daher kenne ich das noch die

0:46:28.800,0:46:33.080
Krankenkassen können mit den [br]Abbrechnungsdaten zumindest bestimmte

0:46:33.080,0:46:36.960
Krankheitsbilder oder [br]Behandlungsszenarien auswerten das ist

0:46:36.960,0:46:42.040
inzwischen schon per Design auch wieder [br]per Opt-Out widersprechbar. Aber das ist

0:46:42.040,0:46:48.320
tatsächlich so die erste Stufe wo [br]Krankenkassen auch etwas mehr ja sagen

0:46:48.320,0:46:53.320
wir mal in in Behandlungsverläufe [br]Einsicht bekommen was da politisch

0:46:53.320,0:46:58.080
passiert ist da natürlich eine [br]Entscheidung die könnt ihr auch mit eurer

0:46:58.080,0:47:01.800
Wahl bei der anstehenden Bundestagswahl [br]ein bisschen beeinflussen. Fragt doch mal

0:47:01.800,0:47:07.040
einfach eure Wahlkandidatinnen dazu was [br]sie davon halten wie die Trennung von

0:47:07.040,0:47:12.920
Krankenkassen und diesem System [br]eigentlich sein sollte. Das kann man so

0:47:12.920,0:47:16.680
und so politisch Regeln.[br]F1: Aber ihr habt noch keinen Zugangsweg

0:47:16.680,0:47:19.720
dort ausprobiert? [br]Tschirsich: Also Kassen sind ja die Herausgeber

0:47:19.720,0:47:24.440
von Gesundheitskarten und dieser Prozess [br]ist halt teilweise angreifbar gewesen und

0:47:24.440,0:47:27.840
ist auch weiterhin angreifbar. Das heißt [br]wir müssen damit leben dass diese

0:47:27.840,0:47:32.400
Prozesse auch dauerhaft nicht richtig [br]sicher sein können. Wenn wir nicht das

0:47:32.400,0:47:35.280
umsetzen was eine sehr strickte [br]Sicherheitsforderung ist. Das zweite ist

0:47:35.280,0:47:38.480
Kassen betreiben auch zum Teil diese [br]versicheren stammdatendien selber aber

0:47:38.480,0:47:41.080
ansonst haben Kassen natürlich nur ein [br]schreibbrecht in die elektronische

0:47:41.080,0:47:44.320
ptientenakte. Das muss man mal ganz klar [br]sagen also Kassen auch mit einer SMC

0:47:44.320,0:47:48.120
Karte oder bzw dieser Identität einer [br]Kasse kann ich nur schreiben auf das in

0:47:48.120,0:47:51.960
diese Akte zugreifen und das ist sollte [br]man vielleicht noch mal hervorheben.

0:47:51.960,0:47:55.280
F1: Danke.[br]Herald: Das Internet hat eine Frage.

0:47:55.280,0:47:57.520
Bitte.[br]Signal Angel: Was wäre denn eure

0:47:57.520,0:48:02.760
Empfehlung für so den 081 Patienten und [br]wie kann man aus der elektronischen

0:48:02.760,0:48:05.940
Krankheit elektronischen Patientenakte [br]Opt-Outen.

0:48:05.940,0:48:10.520
Tschirsich: Opt-Out ist vielfach möglich man kann [br]komplett optouten man kann auch später

0:48:10.520,0:48:15.240
wieder einwilligen dass man oder ich sag [br]mal sagen ich nehme den optout zurück.

0:48:15.240,0:48:18.680
Man kann auch die Akte grundsätzlich [br]erstmal haben und dann gegen einzelne

0:48:18.680,0:48:21.560
verarbeitungsvorgänge wiedersprechen das [br]ist alles auf den Seiten der gematik sehr

0:48:21.560,0:48:24.720
schön dargelegt wie das geht. [br]Grundsätzliche Empfehlung sprechen wir

0:48:24.720,0:48:27.880
eigentlich nicht aus weil wir sagen jeder [br]hat unterschiedlichen Sicherheitsbedarf.

0:48:27.880,0:48:31.080
Manche die würden sehr schon davon [br]profitieren und haben aber jetzt kein

0:48:31.080,0:48:34.880
Bedürfnis ein sehr vertraulichen Umgang [br]mit diesen Daten zu pflegen und da würde

0:48:34.880,0:48:38.440
ich sagen ok. Wenn jemand sagt nein ich [br]möchte nicht dass diese Daten in Hände

0:48:38.440,0:48:42.520
von Familienangehörigen oder von Dritten [br]gelangen und mir ist ein Aufwand von vier

0:48:42.520,0:48:47.520
Stunden da zu gering für ein Angreifer [br]dann würde ich sagen dann erstmal optout

0:48:47.520,0:48:50.560
und schauen ob sich das vielleicht [br]grundlegend mit der EP4 ändert ja? Man

0:48:50.560,0:48:54.400
kann auch das optout wie gesagt jederzeit [br]zurücknehmen. Aber das muss jeder selber

0:48:54.400,0:48:59.720
für sich oder jede selber für sich [br]entscheiden. Herald: Vielen Dank Mikrofon

0:48:59.720,0:49:05.160
2 hat noch eine Frage.[br]Mic 2: Könntet ihr einen Grund dafür

0:49:05.160,0:49:11.640
finden warum da ein statische ID [br]verwendet wird statt die signierte. Ist

0:49:11.640,0:49:15.380
das irgendwie fixbar ohne die Spec zu [br]verändern?

0:49:15.380,0:49:20.800
Tschirsich: Jetzt beim Versicherten standamard [br]Management warum die iccsn verwendet wird

0:49:20.800,0:49:25.080
statt die signierte? Das ist historisch [br]gewachsen dass dieser Prüfungsnachweis

0:49:25.080,0:49:30.920
der dort erzeugt wird der wo ist [br]eigentlich nur Nachweis darüber dass eine

0:49:30.920,0:49:36.360
eine Ärztin ein Arzt die Stammdaten auf [br]Aktualität geprüft hat und soll nie

0:49:36.360,0:49:38.920
nachweisen dass eine echte [br]Gesundheitskarte vorlag. Das hat man dann

0:49:38.920,0:49:44.280
später als das einzige was da war [br]genutzt. Es gibt ein was diesen Mangel

0:49:44.280,0:49:49.360
angeht also ist ja wie gesagt nur einer [br]von vielen 2026 neuen Dienst der das dann

0:49:49.360,0:49:55.226
richtig machen soll.

0:49:55.226,0:49:55.273
<i>Gelächter</i>

0:49:55.273,0:50:00.800
Mic 2: Danke schön ja[br]Herald: Problem für future it.

0:50:00.800,0:50:07.040
Mic 3: Guten Tag meine Frage richtet sich [br]daran ihr hatt jetzt über Jahre

0:50:07.040,0:50:13.960
kommuniziert mit den Verantwortlichen wie [br]seht ihr diese Kommunikation was

0:50:13.960,0:50:18.560
funktioniert was funktioniert nicht wie [br]herzlich oder wie ehrlich ist die

0:50:18.560,0:50:23.480
Kommunikation was hat euch was motiviert [br]euch weiterzum machen und wo sagt ihr da

0:50:23.480,0:50:29.880
sind ganz klare Wände gegen die man rennt.[br]Kastl: Also wir haben ja schon ein bisschen

0:50:29.880,0:50:33.600
auch vorher mit Menschen gesprochen [br]Menschen draf vorbereitet was kommen wird

0:50:33.600,0:50:37.240
und ich glaube auch dieses wie auch die [br]gematik selbst diese Security Prozesse

0:50:37.240,0:50:41.400
aufnimmt das ist schon auch irgendwie wie [br]man das so vom Prozessen erwarten würde

0:50:41.400,0:50:47.600
auch freundlich kollegial so ein bisschen [br]Security do nennen wir es mal so. Ich

0:50:47.600,0:50:51.440
sehe das aber halt mit politischen [br]Prämissen die dann irgendwie sagen mit

0:50:51.440,0:50:55.360
datenschätzen und so weiter und so fort [br]die gemati auch immer ein bisschen so

0:50:55.360,0:50:58.480
einer so einer ungünstigen Rolle von das [br]sind die politischen Forderungen die

0:50:58.480,0:51:01.880
erfüllt werden müssen und das ist das was [br]man auf der Arbeitsebene noch noch regeln

0:51:01.880,0:51:07.720
kann. Wenn halt eine Timeline sagt am 15 [br]Januar müssen wir mit diesem Ding online

0:51:07.720,0:51:10.760
gehen und dann sagt jemand ja [br]securitymäßig müssen wir da vielleicht

0:51:10.760,0:51:14.160
noch was fixen weil es ist vielleicht [br]doch ein Risiko ist natürlich auch der

0:51:14.160,0:51:18.680
Handlungsspielraum den man da hat [br]vielleicht eher dazu da um das politische

0:51:18.680,0:51:22.680
Ziel zu erreichen und ich glaube das ist [br]der das Problem in dem sich dieses ganze

0:51:22.680,0:51:25.520
kon dieser ganze Kontext befindet und das [br]Z mein Eindruck davon.

0:51:25.520,0:51:27.640
Tschirsich: Vielleicht kann man auf den Satz [br]zusammenbringen also alle mit denen wir

0:51:27.640,0:51:32.720
zusammenarbeiten auf fachlicher Ebene [br]insbesondere die auch hier in

0:51:32.720,0:51:37.560
beispielsweise bei der gematik versuchen [br]alle versuchen unter den Voraussetzung

0:51:37.560,0:51:40.680
das Beste zu erreichen was sie können. [br]Aber selbst wenn alle zehn Mal besser

0:51:40.680,0:51:43.520
arbeiten würden dann hätten wir die [br]elektronische Patientenakte in den

0:51:43.520,0:51:48.800
letzten 5 Jahren eben nicht zehn sondern [br]einmal gehackt und bei einer Lebensdauer

0:51:48.800,0:51:56.640
von 100 Jahren werden das halt dann nur [br]na ja zehnmal. Ich weiß nicht wie wie oft

0:51:56.640,0:51:59.480
das erwartet wie oft darf so eine Akte in [br]der Lebenszeit gehackt werden ich glaube

0:51:59.480,0:52:02.280
diese Rechnung W wir nicht anstellen und [br]das führt auch zu nichts man muss

0:52:02.280,0:52:06.480
erkennen dass dieser Prozess in dem diese [br]Akte entsteht nicht zu einer sicheren

0:52:06.480,0:52:10.200
vertrauenswürdigen digitalen [br]Gesundheitsakte führen kann und dass es

0:52:10.200,0:52:14.160
da grundlegende Änderung braucht. Es ist [br]nicht es liegt nicht an den Menschen es

0:52:14.160,0:52:17.360
liegt vielleicht an der ich sag mal der [br]Entscheidungsebene die vorgibt dass

0:52:17.360,0:52:20.000
gewisse Ziele eingehalten werden müssen [br]zu gewissen Terminen das kann natürlich

0:52:20.000,0:52:23.840
sein. [br]Mic2: Danke für diese ausführliche

0:52:23.840,0:52:27.320
Einsicht.[br]Herald: ich danke auch ich hatte vorher

0:52:27.320,0:52:29.880
nach den Reng gefragt ich kann die Nummer [br]leider nicht sehen steht da jemand und

0:52:29.880,0:52:36.160
hat eine Frage?[br]Mic 0: Ja sind euch nech weitere Stellen

0:52:36.160,0:52:40.080
bekannt in das spec in den die gematik [br]festgestellt hat dass Angreifer eventuell

0:52:40.080,0:52:46.520
Lücken ausnutzen können.[br]Mic: Also wie gesagt wir haben von außen

0:52:46.520,0:52:49.560
drauf geschaut aus einer [br]außentäterperspektive und das sind die

0:52:49.560,0:52:52.640
Lücken die wir heute vorgestellt haben [br]aus der außentäterperspektive weil das

0:52:52.640,0:52:57.920
die sind die auch am ehesten begreifbar [br]sind und auch vorstell sind. Das System

0:52:57.920,0:53:03.640
hat weitere Mängel die betreffen weitere [br]sicherheitsannahmen organisatorisch und

0:53:03.640,0:53:08.360
auf der Ebene unter den also mit [br]entsprechend privilegierten Positionen

0:53:08.360,0:53:10.720
und das was wir gemacht haben ist auch [br]längst nicht vollständig also wir haben

0:53:10.720,0:53:13.000
keine vollständige Sicherheitsanalyse [br]gemacht sondern wir haben das angeschaut

0:53:13.000,0:53:17.160
was un irgendwie untergekommen ist als [br]erstes. Das heißt da ist durchaus der

0:53:17.160,0:53:21.300
Bedarf da das weiterzuführen diese [br]Arbeit.

0:53:21.300,0:53:29.840
Signal Engel: Ja was soll man sich unter [br]transparenter Kommunikation der Risiken

0:53:29.840,0:53:34.200
für Betroffene vorstellen weil für Leien [br]ist ja relativ schwer zu erklären was die

0:53:34.200,0:53:38.680
Risikofaktoren für die EPA sind. [br]Tschirsich: Also wir können sagen wie man sich es

0:53:38.680,0:53:42.400
nicht vorstellt und das so wie es [br]gelaufen ist und zwar zu sagen von der

0:53:42.400,0:53:47.520
Sicherheit her besonders sicher die EPA [br]ist die sicherste die wir haben in Europa

0:53:47.520,0:53:53.200
Gutachten bestätigt ist sicher sicher [br]sicher sicher nein das nicht sondern so

0:53:53.200,0:53:56.680
begreifbar machen dass es [br]unterschiedliche Risikoprofile gibt und

0:53:56.680,0:54:00.560
das für manche Menschen geeigneter ist [br]und für andere weniger und wir haben das

0:54:00.560,0:54:04.440
versucht heute greifbar zu machen auf ein [br]Foli den wir sagen okay Aufwand den

0:54:04.440,0:54:08.760
angreif einsetzen muss und dann der [br]Schaden der daraus entsteht also z.B in

0:54:08.760,0:54:13.000
Stunden angegeben es gibt da sicher [br]Bedarf darüber nachzudenken und da ein

0:54:13.000,0:54:17.480
etwas zu finden was für die Betroffenen [br]gut greifbar ist wir würden uns wünschen

0:54:17.480,0:54:20.640
dass man das versucht und eben nicht sagt [br]ist sicher verlasst euch drauf und dann

0:54:20.640,0:54:25.560
ist wieder nicht sicher das führt nicht [br]zum Ziel.

0:54:25.560,0:54:34.680
Mik 4: ja hallo vielen Dank für den Talk. [br]Ich habe eine Frage zu einem Ding das ihr

0:54:34.680,0:54:40.600
vorhin angeschnitten habt und zwar wenn [br]ich Daten in meiner Akte stehen habe die

0:54:40.600,0:54:48.520
ich nicht jedem Arzt und erst recht nicht [br]jeder Person in der Welt geben möchte wie

0:54:48.520,0:54:54.560
kann ich dafür sorgen oder gibt es da [br]Mechanismen dass ich solche verschleiern

0:54:54.560,0:55:00.440
kann oder mit besonderen [br]Sicherheitsmerkmalen praktisch belegen

0:55:00.440,0:55:04.240
kann.[br]Kastl: Ja jetzt kommt das Thema mit dem nicht

0:55:04.240,0:55:08.600
so freien granuralen [br]berichtigungsmanagement. Also EPA Zugriff

0:55:08.600,0:55:12.840
heißt erstmal Zugriff oder nicht Zugriff [br]du kannst in de elektronischen Patienten

0:55:12.840,0:55:18.680
Akte 3.0 für dich selbst Dokumente so [br]verschatten damit du nur damit du nur sie

0:55:18.680,0:55:22.680
nur selbst einsehen kannst das geht aber [br]du kannst jetzt z.B nicht sagen für ein

0:55:22.680,0:55:27.200
Dokument das darf z.B jetzt nur meine [br]Zahnärztin sehen und das andere Dokument

0:55:27.200,0:55:33.160
darf noch mein mein Immunologe sehen oder [br]sonstige Dinge sondern es gibt Zugriff

0:55:33.160,0:55:37.440
oder nicht Zugriff das ist auch etwas was [br]z.B die aktuelle BFD auch immer wieder

0:55:37.440,0:55:44.680
kritisiert immer wieder mal aber ja gut [br]und das ist das aktuell in dem

0:55:44.680,0:55:50.280
zugangsberechtigungsmanagement wirklich [br]vielleicht noch nicht der Use Case den du

0:55:50.280,0:55:54.200
bräuchtest um alle Szenarien abzubilden. [br]Tschirsich: Genau also auf Betreiben von Herrn

0:55:54.200,0:55:58.400
Kelber unseren BfDI insbesondere wurde in [br]feingranulares Berechtigungsmanagement

0:55:58.400,0:56:02.713
eingeführt in die EPA 2 und mit der EPA 3 [br]ist wieder ausgebaut.

0:56:02.713,0:56:08.360
Mik 4: ja noch kurz als Folge könnte das [br]ein Problem für transmenschen werden

0:56:08.360,0:56:14.040
deswegen die Frage genau vielen Dank.[br]Kastl: Das ist natürlich ein Problem für z.B

0:56:14.040,0:56:17.680
für transmchen auch für Menschen mit HIV [br]Diagnosen für Menschen mit sonstigen

0:56:17.680,0:56:21.080
Diagnosen Depression [br]Schwangerschaftsabbrüche es gibt im

0:56:21.080,0:56:24.800
Gesetz mus den Hinweis dass man auf [br]bestimmte Dinge hinweisen muss achtung

0:56:24.800,0:56:28.760
wir stellen das jetzt in deine EPA [br]möchtest du das? das ist aber praktisch

0:56:28.760,0:56:33.080
so umgesetzt dass in der Arztpraxis und [br]Umständen am Plakat hängt das drüber

0:56:33.080,0:56:37.120
informiert und dann war die [br]Informationspflicht erfüllt das ist

0:56:37.120,0:56:45.000
wirklich so und ja ihr merkt das Problem.[br]Herald: Danke vielmals auch für die gute

0:56:45.000,0:56:51.520
Erklärung.[br]Mikrofon sechs: Ja vielen Dank für den

0:56:51.520,0:56:55.240
Vortrag meine Frage schließt sich glaube [br]ich gut an die Vorfrage an nämlich kann

0:56:55.240,0:57:00.000
ich zumindest ein Schränken welche [br]Leistungserbringer Zugriff auf meine EPA

0:57:00.000,0:57:03.280
bekommen ich glaube eure eigene Folge hat [br]da bisschen drauf hingewiesen.

0:57:03.280,0:57:07.880
Tschirsich: Ja das geht also man kann [br]Leistungserbringer auf so eine denylist

0:57:07.880,0:57:11.080
setzen dazu müssen die Leistungserbringer [br]aber bekannt sein und ich muss sie suchen

0:57:11.080,0:57:16.440
über die App ja das heißt 1% haben [br]derzeit eine App die 99% die sie nicht

0:57:16.440,0:57:19.760
haben da soll es eine Möglichkeit geben [br]über eine ombutstelle bei der

0:57:19.760,0:57:26.160
Krankenkasse anzurufen aber vielleicht [br]schauen wir uns das an wenn es da ist

0:57:27.800,0:57:40.800
Mik 5: Vielen dank euch für eure Arbeit. [br]Wie Realistisch ist es das als Postbox

0:57:40.800,0:57:46.760
als Inbox zu nutzen. Ich ziehe mir das [br]Zeug da rein was ich tecker krieg von den

0:57:46.760,0:57:55.400
entsprechenden Institutionen Ärzten und [br]so weiter und löscht das das sofort raus

0:57:55.400,0:58:01.440
manuell oder vielleicht gibt's da API wo [br]ich mal Scripten kann, ist sowas Realist

0:58:01.440,0:58:05.040
realistisch?[br]Tschirsich: Also das das ging man kann in der EPA

0:58:05.040,0:58:08.120
Dokumente für sich selber runterladen und [br]dann auch aus der EPA löschen das geht

0:58:08.120,0:58:11.720
nur wenn man sie dann wieder in die [br]andere Richtung kommunizieren möchte die

0:58:11.720,0:58:16.600
Dokumente haben keine beispielsweise [br]Signatur durch ein Arztausweis sondern

0:58:16.600,0:58:19.040
sie werden allein dadurch authentisch [br]dass sie in ein bestimmten Fach in der

0:58:19.040,0:58:21.480
EPA einsortiert sind wen einmal [br]rausgeholt hat krieg ich n wieder rein

0:58:21.480,0:58:24.040
aus dem arztfach beispielsweise wenn ich [br]nicht selber Arzt bin das ist so ein

0:58:24.040,0:58:27.200
bisschen das Problem.[br]Kastl: Ja was auch nicht geht ist in dem

0:58:27.200,0:58:30.440
Kontext dass du bestimmte Funktionen die [br]z.B in der EPA 3 komm elektronische

0:58:30.440,0:58:34.840
Medikationsliste oder elektrische [br]medikationsplan später dass du das

0:58:34.840,0:58:40.240
natürlich nur benutzen kannst wenn es z.B [br]ein legitimes e-rezept ist was dort

0:58:40.240,0:58:42.720
eingestellt wurde.[br]Tschirsich: Und dann diese Medikationsliste

0:58:42.720,0:58:45.080
generiert genau und aus der [br]Medikationsliste kann man auch nicht

0:58:45.080,0:58:49.600
individuell löschen das heißt Dokumente [br]ja aber da wo es spannt wird semantische

0:58:49.600,0:58:52.320
Daten da muss ich alles oder gar nichts [br]nehmen ich kann da nicht einzelne Daten

0:58:52.320,0:58:55.480
nachdem ich sie empfangen habe dann [br]löschen das geht nicht.

0:58:55.480,0:59:00.560
Herald: ich danke auch wir sind am Ende [br]unserer Zeit angekommen es war wieder ein

0:59:00.560,0:59:02.350
hervorragender Vortrag mit einer sehr [br]sehr spannenden Fragerunde vielen vielen

0:59:02.350,0:59:10.647
Dank Bianca und Martin.

0:59:10.647,0:59:13.222
<i>Ausgiebige Applaus</i>

0:59:13.222,0:59:15.503
<i>38C3 Abschlussmusik</i>

0:59:15.503,0:59:23.000
Untertitel von vielen vielen Freiwilligen und dem[br]C3Subtitles Team erstellt. Mach mit und hilf uns!