38C3 Vorspannmusik Herald: Willkommen zur Fortsetzung von nem ziemlich spannenden Datenkrimi! Wir sind jetzt in der Staffel zwei der elektronischen Patientenakte. Jetzt gibt's seit neuestem auch noch das Opt-Out und die elektronische Patientenakte wird alle wird für alle verpflichtend. In den Hauptrollen von unserer zweiten Staffel haben wir Martin und Bianca, die ich hier- mit sehr sehr herzlich willkommen heiße. Martin und Bianca beschäftigen sich schon seit einiger Zeit damit. Applaus und bringen heute euch Updates von eurem letzten talk vom 32C3. An dieser Stelle noch mal herzlich willkommen und einen sehr sehr großen Applaus. Applaus Kastl: Ja hallo grüß euch Hamburg. Willkommen zum Talk konnte bisher noch nie gehackt werden die elektronische Patientenakte kommt jetzt für alle. Es geht ein bisschen um ältere Probleme es geht um das was in den letzten Jahren passiert ist wie sich das jetzt auf die elektrischen Patientenakte für alle auswirkt. Martin und ich machen das Thema mit Gesundheit und Digitalisierung schon bisschen länger. Dieses Zitat was ihr seht konnte bisher noch nicht gehackt werden ist tatsächlich aber sehr neu, es kommt aus dem Jahr 2023 von Karl Lauterbach als er die Gesetze für die elektronische Patientenakte beschlossen hat. Und das ist ein Talk aus dem Track Security der allerdings eigentlich gar nicht mal so technisch ist. Weil ich glaub vieles davon kann man auch mit wenigen einfachen Mitteln die gar nicht so tief technisch sind vielleicht nachstellen, gucken wir mal. Genau ich bin Bianca, das ist Martin. Wir stehen hier schon mal wieder noch so ein paar Congress talks ab und so sprechen wir auch mit Leuten in verschiedenen Bundestagsausschüssen das Thema Digitalisierung des Gesundheitswesens. Dass wir jetzt wiederstehen hier und über Probleme sprechen ist vielleicht kein so gutes Zeichen, wir werden sehen was dabei rauskommt und wir sollten vielleicht erstmal kurz sagen worüber wir eigentlich genau sprechen, nämlich über die sogenannte elektronische Patientenakte für alle. Diese elektronische Patientenakte für alle ist wirklich eine elektronische Patientenakte für alle, denn es ist eine elektronische Patientenakte die im Opt-Out Verfahren auf die gesamte Bevölkerung ausgerollt wird. Ihr könnt im Ganzen auch widersprechen, ihr könnt mehreren Ebenen widersprechen ihr könnt widersprechen, dass diese Akte angelegt wird. Ihr könnt widersprechen, dass in dieser Akte bestimmte Zugriffe möglich sind, ihr könnt widersprechen dass Daten an ein Forschungsdatenzentrum ausgeleitet werden, ihr könnt widersprechen, daß Krankenkassenabrechnungsdaten einstellen und so weiter und so fort. Vom Zeitplan her ist es so, wir sind am 15.1 an dem Punkt wahrscheinlich oder auch nicht mal gucken das ist z.B in Hamburg hier in Testregionen und in Franken und in Teilen Nordernwestfalens eine gewisse ja Testung geben wird nicht ein in der gesamten Region aber mit der ausgewählten Anzahl von sogenannten Leistungserbringern also ÄrztInnen und anderen Beteiligten des Gesundheitswesens und das ganze soll so der ursprüngliche Plan ich weiß nicht ob der noch zu halten ist aber soll am 15.2 deutschlandweit für euch alle zur Verfügung stehen. Diese elektronische Patientenakte für alle ist die Version 3.0 der elektronischen Patientenakte und die erste Version gab es eigentlich schon im Jahr 2020. Da hatte Martin damals auf dem 36C3 schon so ein paar Sachen vorher gefunden die wir nachher auch noch mal aufgreifen werden und aktuell sind wir bei einer Version 2.6 die migriert werden wird auf eine EPA 3.0. Und falls ihr euch fragt was in dieser EPA drin stehen wird, na ja natürlich so Sachen wie E-Rezepte aber auch also die Information aus den E-Rezepten bzw auch die Information welche Medikamente euch ausgegeben wurden aber z.B auch Arztbriefe. Es wird Befunde geben anfangs noch als PDF. Es wird vielleicht auch Bilddaten geben anfangs noch als PDF und es gibt vielleicht auch Abrechnungsdaten von Kassen die euch automatisch in diese elektronischen Patientenakte übermittelt werden außer Ihr widerspricht im Ganzen. Das was ist das um was es fachlich geht, also ein sehr sehr großes Projekt mit eigentlich sehr sehr vielen Daten. Das ganze auch im Opt-Out Verfahren und jetzt gehen wir ein bisschen die Technik rein und das macht am besten, der Martin der kann es vielleicht ein bisschen besser als ich. Kastl lächelt, Applaus Tschirsich: Genau schauen wir uns doch mal an zusammen was diese elektronische Patientenakte ist und beginnen wir mal bei uns das am Einfachsten. Wir das sind Versicherte Krankenversicherte gesetzlich aber auch privat. Bei den Privaten ist es tatsächlich eine freiwillige Angelegenheit, bei den gesetzlichen ist es ein Opt-Out, wer nichts tun hat so eine Akte ab nächstem Jahr. Und hier als Pat Patientinnen bezeichnet da stehen wir in der Ecke und halten eine Gesundheitskarte in der Hand oder eine App Smartphone. Und das ist unser Zugangsschlüssel zu dieser elektronischen Patientenakte. Über eine App wenn ich mich dort mit der digitalen Identität registriert habe kann ich diese Akte auch schön verwalten. Derzeit sind 1% aller Nutzer tatsächlich mit so einer App ausgestattet an einer digitalen Gesundheitsid, die das ermöglicht vielleicht werden es noch ein paar mehr. Der große Masse wird über die Gesundheitskarte diese elektronische Patientenakte ich sag mal freigeben und zwar immer dann wenn Patientinnen und Patienten zum Arzt, zum Krankenhaus in eine Pflegeeinrichtung in eine Gesundheitsinstitution gehen, dann stecken wir dort als gesetzliche Versicherte unsere Gesundheitskarte in ein Lesegerät und dadurch wird zusammen dann mit einer ähnlichen Karte die diese Gesundheitsinstitution authentisiert eine Freigabe erstellt ein sogenannte behandlungskontext nachgewiesen und auch dann hat die Praxis die Gesundheits Institution für 90 Tage lang Zugriff auf diese elektronische Akte der versicherten Person, die da gerade in die Praxis reingelaufen ist. Genau das heißt Gesundheitskarte stecken in einer Institution das Gesundheitwesen ermöglicht dieser Institution für 90 Tage Zugriff lesend und schreibend auf alle Daten die in dieser Akte eingetragen sind die nicht speziell verschattet sind, da können wir auch noch drauf kommen. Was es noch gibt bei dieser elektronischen Patientenakte es gibt eine Datenausleitung. Alle Daten die dort reinfließen in dieser Akte das sind nicht nur Daten aus den Leistungserbringintitutionen oder die wir selber reinstellen sondern das sind automatisch auch alle Abrechnungsdaten und E-Rezeptdaten die fließen in ein Forschungs Datenzentrum Gesundheit und Krankenversicherung also Krankenkassen oder die privaten Versicherung haben auch noch Zugriff auf die Akte. Das ist jetzt hier die Person mit Schlips die können Daten aber nur schreiben. Was wir dann haben ist natürlich eine technische Infrastruktur. Ein bisschen darüber da haben wir ein paar verschiedene Fachdienste die sehen wir gleich noch im im Laufe dieses talks vielleicht ein bisschen genauer IDP identity Provider Versicherten Stammdatendienst des Aktensystem, die werden betrieben und was wir dann noch haben haben das ist der sogenannte Vertrauensraum in der Telematik Infrastruktur also diesem gesamten Netz was wir hier sehen und das wird ganz schön kompliziert. Da haben wir z.B alle Kassen wir haben knapp 100 gesetzliche Krankenversicherung Kassen und jede dieser Kassen gibt Gesundheitskarten an ihre Mitglieder aus. Und auch die GesundheitsID wird durch diese Kassen ausgegeben. Das sind die Zugriffsschlüssel zur Akte. Dann haben wir die gematik in der Mitte, die legt die Spezifikation fest aber auch die gematik selbst ist Kartenherausgeber für Institutionsidentitäten für bestimmte z.B bestimmte eine privatärztlich tätige Institution. Dann haben wir die ganzen Kartenherausgeber, die die gesetzlich oder die ich sag mal Kassenärzte oder Kassenarztpraxen Praxissitze mit Identitäten versehen also Zugangskarten zu diesem System für die ganzen Krankenhäuser oder ambulanttätigen Praxen die Kassensitze haben und dann haben wir natürlich auch noch ganz am Ende alle möglichen Betreiber in dem Fall von den sogenannten Versicherten Stammdatendienste die dort symmetrische Schlüssel initiieren. Das sind auch alles da kommen wir später noch im Detail drauf alles zentrale sagen wir mal Zugangsschlüssel zu dem Gesamtsystem. Was vielleicht deutlich werden sollte ist, es ist ein sehr komplexes System. Nicht nur wir und LeistungserbringerInnen und Kassen haben dort unterschiedliche Arten von Zugriffen sondern die der gesamte Vertrauensraum die Ausstattung mit Identitäten spielt ja eine wesentliche Rolle und da haben wir hunderte von Beteiligten in diesem System. Genau. Kastl: Gut damit wir ein bisschen besser verstehen was wir gleich zeigen sollten wir vielleicht mal kurz zeigen was in den letzten Jahren passiert ist in der Telematik Infrastruktur und auf dem Kongress. Beim 36c3 und dazwischen wurden paar Sachen gezeigt. Wir haben jetzt für den 36C3 gesehen man kann da bestimmte Teile mit den Herausgabeprozessen von Karten und Vertrauensdiensten angreifen auf eine eher sehr soziale Art und Weise: man benutzt irgendwelche Formulare, man man versucht Informationen zu bekommen um solche Prozesse anzustoßen hat dann eben unter Umständen einen gewissen Zugriff auf für diese Institutionen freigegebenen elektronischen Patientenakten. Zu den Details aber vielleicht noch mal kurz Martin. Tschirsich: Genau. Wir haben uns unter anderem Konnektoren bestellt wie man sie hier sehen das sind Zugriffs sag mal Geräte Komponenten die man braucht um an dieses VPN dieses weite deutschlandweite Netz angeschlossen zu werden. Wir haben aber damals auch geschafft uns die Identitäten für die Praxen also die Institution zu beschaffen. Wir haben auch Gesundheitskarten uns beschaffen können natürlich immer auf den Namen Dritter und das waren alles sehr sehr einfache Angriffe, die sind auch schon bekannt seit mindestens 2012. Unter Anderem das regelmäßige Bestellen von von Gesundheitskarten auf anderem Namen das hat der Andrè Zilch der auch beim letzten talk auf 36C3 hier stand demonstriert wieder und wieder und wieder. Und das ist auch zum 36C3 haben das erneut demonstriert und auch die Praxisidentitäten. Kastl: Ja und wie aufwendig war das so? Tschirsich: Ja das waren würde ich mal sagen eine Stunde maximal ne? Oft war es einfach nur ein Telefonat führen oder eine E-Mail absenden und dann hat man die Zugangsschlüssel zu Akten und zwar remote das heißt vom heimischen PC aus wo auch immer der steht ob in Deutschland ob weltweit, das war völlig gleich und man hatte damit Vollzugriff auf eine Patientenakte. Und wenn man sich eine Praxisidentität besorgt hat Vollzugriff auf alle Akten auf denen diese Praxis Zugriff hatte das sind dann immer so bis zu 1000 Stück oder mehr je nachdem wie viele Patienten wie groß der Patientenstamm ist dieser Praxis und wie viele Patienten da pro Quartal durchgeschlust werden. Kastl: Ja dann gibt es natürlich Dinge die zwischen den auch passiert sind nach dem 36c3. Wir haben dann vielleicht Möglichkeiten dass man zwischen sieht na ja dieses ganze Netz der Telematik Infrastruktur ist vielleicht an den Endpunkten etwas offen und ja da war die Konnektorenfalschung. Tschirsich: Genau. Christoph Saatjohann seinerseits Professor für itsicherheit hat demonstriert damals schon dass sehr sehr viele dieser Konnektoren die ich ja gerade gezeigt habe also die Verbindungsstücke in dieses Netz falsch ruminalliert sind. Also nicht so sondern so. Also das bedeutet das lansseitige Ende das innen Ende nach außen gekehrt s dass man aus dem öffentlichen Internet auf diese Konnektoren zugreffen konnte und darüber dann auf die gesamten für diese jeweilige Praxis freigegebenen Patienten. War auch eine sehr einfache Sache vom Aufwand her was meinst Du? Kastl: Ja ich sag mal so ein Tag lächelt Tschirsich: Und zum Glück war das tatsächlich auch noch ein Projekt was vor der Veröffentlichung der EPA 1.0 sehr verantwortungsbewusst disclosed wurde. Wäre die EPA zu dem Zeitpunkt da gewesen hätte man natürlich Vollzugriff gehabt. Genau ist schon länger bekannt tatsächlich ich glaube Ärzteblatt hat schon getitelt. Telematik Infrastruktur unsachgemäße Installation, keine fehlerhafte Technik also nicht die Technik sondern wie wird diese Technik eingebracht das das Problem und auch wieder remote wäre das durchführbar oder war remote durchführbar und ermöglichte Vollzugriff auf eben wieder alle Akten die für eine leistungserbringen Situation freigegeben waren. Kastl: Gut dann ist Martin und die Künstler gegangen. Tschirsich: Genau was haben wir dann noch gemacht so um die zwischenzeiträume ein bisschen zu füllen bis so EPA für alle? Na gut wir haben uns angeschaut wie werden denn diese digitalen Identitäten ausgegeben oder damals zum Teil auch diese Zugänge zu diesen Kassen eröffnet über die ich dann alle möglichen Dinge bekomme nicht nur neue Gesundheitskarte sondern auch diese digitalen Identitäten. Und tatsächlich wir haben das Videoidentverfahren was damals ich glaube 29 der 30 größten Kassen haben Videoident eingesetzt. Eine Kasse hat komplett auf ident verzichtet, da kann man einfach anrufen lautes gemurmel und das haben wir überwunden. Man sieht hier noch seitlich so die Reste von dem markerboard da haben wir unser Ausweisdokument gescannt und dann mit den Techniken ich sag mal der in ein Art Augmented Reality vor der Kamera gezaubert und haben uns dann eine Zugang zu einer elektronischen Patientenakte eröffnet. Kastl: Ja das klingt jetzt so ein bisschen aufwendig in den Zeiten vor KI und Deep Fakes aber wie aufig war es wahrscheinlich? Tschirsich: Na ja der erste Zugang so eine Woche bis zwei Vorbereitungszeit aber dann das Wiederholen vom ersten zum zweiten zum dritten Dokument also das wäre dann sehr einfach gewesen das wäre dann maximal noch ein Tag weiter Aufwand gewesen. Genau auch schon wieder remote klar weil wir videoident ist ja remote durchführbar vom heimischen Sofa aus auch wieder Vollzugriff auf eine beliebige Akte deiner Wahl. Kastl: Ja bekannt übrigens seit 2017 dieser Angriff das BSI hat das schon einmal schön demonstriert tatsächlich auch durchgeführt damals aber noch für den Zugriff auf Bankkonten. Wir haben quasi daselbe genommen bisschen vereinfacht und dann den Zugriff nicht auf Bankkonten sondern Aktenkonten da eingesetzt. Wurde dann abgestellt als wir es demonstriert haben durch Anordnung des BfDI. Kastl: Ok jetzt ist die Frage Frage warum erzählen wir euch diese ganzen Geschichten. Na ja vieles davon wird sich vielleicht in gewisser Art und Weise wiederholen, wir zeigen euch jetzt ein paar Sachen aus dem Stand von ca Mitte Dezember 2024. Wir haben natürlich alle diese Dinge verantwortlich Menschen mitgeteilt und geguckt wie reagiert wird. Dann wurde ein bisschen schneller reagiert als wir gezeigt haben es ist dann doch mehr möglich als wir schon angekündigt haben und das ist einfach eine Auflistung für verschiedene Dingen die Mitte 24 so möglich sind oder möglich waren. Und wie gesagt 15. Januar Start EPA für alle hier so in Hamburg und in Modellregion spannende Nummer was da jetzt so alles zu finden ist es ist dann doch Einiges. Wir müssen dazu sagen dass das Projekt eigentlich als eines der größten IT-Projekte der Bundesrepublik gilt zumindest auch laut Florian Fuhmann von der gematik. Er sagt dazu auch noch dass sein Mitgeschäftsführer der gematik Florian Hartge gesagt dass keiner dieser Stats so gut vorbereitet gewesen wäre. Weiß ich nicht wer macht bei euch irgendwie Telematik Sachen vielleicht ist es ein bisschen anstrengend in letzte Zeit und Florian Fuhrmann hat das auch verglichen mit einem Basketballspiel wo es dann in das letzte Viertel geht und es sei jetzt Crunch time damit die Digitalisierung das Gesundheitswesen so wirklich vorwärts geht. Na ja guck mal ob diese Sport Vergleiche wirklich so sinnvoll sind. Die gute Frau Osikowski vom Bundesgesundheitsministerium meinte dazu aber auch dass die EPA die sicherste in Europa sei in der Form wie sie am 15 Januar kommen soll und weil wir euch jetzt diese zete so nennen da werdet ihr feststellen vielleicht ist es nicht ganz so wahr weil es dann doch noch paar Sachen gibt die man finden kann die ja diese EPA angreifbar machen. Und dann beginnen wir mal vielleicht mit einfachen Sachen so ein Klassiker oder auch kein Klassiker ich weiß nicht wer von euch kennt noch sQL Injections? viele lachen Ok ein paar. Also für die für die jüngeren Leute hier das früher musste man noch aufpassen was man für Code in irgendwelche Formulare eintippt weil dann wird es in der Datenbank ausgeführt. Das gibt's aber noch! Und ja.. viele lachen Tschirsich: Genau. Das Einzige was ich auf der Folge geändert habe sind die Namen die Bezeichner also Mitglied Passwort mit der Rest ist original SQL Statement so aus einem dieser Karten Herausgeberportale. Da beantragt man nur die Identitäten von den gesamten Gesundheitsinstitutionen in unserem Gesundheitswesen. Das heißt was sich da machen kann also ich kann dort SQL Code also ich sag mal Statements dieses SQL Statement kann ich manipulieren indem ich dort eigene Befehle dort einbringe und kann z.B hier bei diesem Karten Herausgeber Portal einer entsprechenden eines Kartenherausgebers neue Mitglieder also Mitglieder durchiterieren z.B. Ich kann die Mitgliedsnummer dort beliebig anpassen ich kann dort weitere SQL Statements anhängen neue Mitglieder eintragen manipulieren und so weiter und so fort. Was man auch machen kann was man hier sieht das ist noch ein klassischer MD5 hash Passwort man hat die komplette passportdatenbank also will bedeuten wir haben hier die Möglichkeit uns diese smc-b Karten diese Praxis Ausweise OMAs zu besorgen zu beschaffen sowohl auf bestehende Mitglieder das auf bestehende praxenintitution als auch vielleicht ganz neue zu schaffen. Das haben wir jetzt nicht ausprobiert und mit diesen Karten habe ich dann wieder was habe ich damit? Kastl: Ja mit diesen Karten kann ich als Leistungserbringer zumindest auf alles zugreifen was ich auf Leistungserbringer Ebene Zugriff habe also ich kann es z.B versuchen irgendwie die Daten eines Arztes oder eine Ärztin zu ändern die vielleicht schon Zugriff auf elektronische Patientenakten hat. Das ganzes remote durchführbar und ergibt uns quasi die Möglichkeiten die alle alle arbeitungsrechte die eine Ärztin oder eine entsprechend personierte LEI hat durchzuführen. Das Ganze ist eigentlich schon etwas länger bekannt und kann man eigentlich so über alle Jahre verteilt immer wieder mal nachweisen. Tschirsich: Genau wir regelmäßig. Kastl: Aber ja gut. Was man auch dazu sagen sollte vielleicht so von der Einschätzung was hat denn so eine Leistungserbringerintitution so an Patientenkontakt irgendwie im Jahr oder im Monat oder in 90 Tagen im Quartal? So ca 1000 also Hausärzte haben ein bisschen mehr weil die natürlich mehr Versorgung mit mit Patientinnen vor Ort haben. FachärztInnen haben weniger aber ja so 1500we s 800 also das heißt ihr habt dann wirklich tatsächlich wenn ihr wenn ihr es auf eine von diesen Institutionen geschafft habt schon auch Zugriff auf mehr als eine Aktie. Tschirsich: Und was halt bezeichnet ist das ist ja jetzt hier so ein Zugang zu 1000 Akten gleichzeitig. Das ist Passwort MD5 hash, sql-injection, irgendein modifiziertes WordPress. Wenn wir als versicherte auf unsere eigene einzige Akte zugreifen wollen ist es ein sehr sehr kompliziertes Verfahren. sehr viele lachen, Applaus. Muss ich Postident multifaktor Applaus Authentisierung. Es ist sogar noch nicht mal einige Zeit lang war es untersagt Biometrie zu verwenden am SM weil es jetzt zu unsicher ist ja dass ich mich mit Biometrie als zweiten Faktor hier haben wir ein Passwort als MD5hash. Also diese Relation diese diese diese Unterschiede die begegnen uns sehr häufig auch im weiteren Verlauf des talks heute. Kastl: Ja jetzt war bei 1000, jetzt müssen wir das Gelierung bisschen höher gehen. Das was wir jetzt zeigen ist ein bisschen aufwendiger aber es wäre für angreifende tatsächlich sehr lohnswert das zu tun, denn jetzt geht es um zentrale Dienste in der telematikinrastruktur um den Versicherten stammdatendienst. Der Versicherten stammdatendienst ermöglicht uns zumindest Zugriff für sehr sehr viele elektronischen Patienten Akten zu erlangen und wie das genau geht wird Martin jetzt erklären. Tschirsich: Sehr gerne. Also erstmal komplizierte Folie erstmal noch mal nicht auf die Folie schauen sondern einen Schritt zurück. Wir hatten mit der 1. EPA und auch der 2. EPA wir sind jetzt bei der 3.EPA für alle bei der 3.EPA, bei den ersten beiden hatten wir eine Gesundheitskarte und eine PIN. Wer hat eine PIN für seine Gesundheitskarte bitte einmal Handheben? Oh also deutschlandweit sind das 1%. Kastl: Ich glaub das können wir hier toppen, vielleicht sind hier sogar 2%. Gelächter. Tschirsich: Also diese PIN und die Gesundheitskarte zusammen die ermöglichen wenn ich dann bei in der Arztpraxis bin Zugriff freizugeben auf meine Akte. Also ich stecke ja meine Karte sowieso immer das ist das sogenannte Versicherten Stamdatenmanagement das muss ich machen um nachzuweisen dass ich hier leistungsberechtigt bin und dann gebe ich meine PIN ein und kann dann eine Befugnis erteilen vor Ort, wenn ich das nicht per App mache forort. Und jetzt hat man sich gedacht lass wir doch einfach die PIN weg weil das Beantragen der PIN ist so kompliziert gewesen damals. Dann wird es einfacher. Vor allen Dingen hat man sich gedacht wenn ich zu einem Opt-Out gehen will dann kann ich nicht Jedem und Jeder in der Bundesrepublik noch eine PIN zu schicken nachdem sie zwangsweise bei der durch irgende identverfahren gelaufen sind wir lassen sie einfach weg. Das heißt allein die Gesundheitskarte ist schon Nachweis wenn ich die Gesundheitskarte stecke in eine Arztpraxis und zwar in ein solches Lesegerät das kennen viele hier wird die Gesundheitskarte reingesteckt dann hat die Praxis Zugang auf diese Akte für 90 Tage. Das ist der sogenannte behandlungskontext der nachgewiesen wird das auch im sogenannten Digitalgesetz gesetzlich eingeführt und gefordert worden im behandlungskontext also wenn ich nachweisen kann da legt auch eine Gesundheitskarte vor dann darf die Arztpraxis auf diese Akte zugreifen. Wie funktioniert jetzt der Nachweis dass da eine Gesundheitskarte vorliegt? Ja so eine Gesundheitskarte die hat ein Chip drauf, Prozessorkarte und da sind ganz viele private Schlüssel, Zertifikate und so weiter drauf. Und da steckt auch eine sogenannte iccsn in dieser Karte ist eine Kartennummer einfach eine Kartennummer und anhand dieser Kartennummer diese Kartennummer ist quasi das Merkmal was diese Karte identifiziert. Diese Kartennummer steckt aber in mehreren Dateien auf dieser Karte einmal in dem entsprechenden Zertifikat das ist dieses EFC eGK CVC Zertifikat dazu gibt's auch ein privaten Schlüssel, den kriege ich auch nicht raus aus der Karte. Der weiß mir kryptografisch sicher nach, dass da tatsächlich eine echte Karte ist. So ein Biss wie die Chip authentication bei neuen Personalausweis. Also das ist eine echte Karte und das heißt die behauptete iccsn die in dem Certifikat steckt die entspricht auch tatsächlich der die auf dieser Karte aufgedruckt ist. Und dann gibt noch zweite Fundort dieser iccsn auf der Karte das ist eine Datei efgdo global data Object. Und die ist nicht authentisiert nicht signiert gar nichts. Und mit dieser iccsn geht jetzt quasi die Arztpraxis zum sogenannten Versicherten stammdatendienst h ccsn wird zum versicheren stammdatendienst geschickt und zurück bekomme ich ein Prüfungsnachweis. Den Prüfungsnachweis schicke ich dann zum Aktenkonto zur EPA und bekommen dann die Daten so vereinfacht gesprochen. Welche iccsn wird jetzt zum vericherten stammdatendienst geschickt die wo ich sicher den privaten Schlüssel Nachweise? gemurmel Tschirsich: Nein nein Gelächter die andere so. Wo kann ich das Angreifen? Na ja an vielen Stellen. Zum einen kann ich das ein Soap Aufruf zu diesem versicheren Stammdeitendienst im sogenannten Update Flag Service kann ich direkt aufrufen. Der einzige Parameter in diesem Soap Aufruf ist die iccsn kann ich mir frei ausdenken. Problem ist ich muss diesen connektor irgendwie unter meine Kontrolle bringen oder die Verbindung in dieses TI VPN selber aufbauen, weil der Connector ist wie eine Firewall zwischen mir hinter dem Connector und diesem Update Flag Service. Ist aber auch kein Problem, der Liebe flippke hatte das gemacht und schätzt dafür eine Woche Zeit. Wenn ich mich direkt mit der TI verbinde ohne so ein Connector zu knacken nehme ich mal Anst ein paar Tage. Wenn ich ein virtuelles Kartenterminal programmiere was ich hinterm Konnektor anhänge, was dann man in the middle Angriff auf die durchgeleitete iccsn macht was auch geht da sind wir so bei Entwicklungszeiten einem zwei Monate. Was ich natürlich auch machen kann ich kann auch vorne wenn ich die Karte stecke keine echte Gesundheitskarte stecken sondern eine wo diese GDO Datei manipuliert ist. Ist auch kommerziell erwerblich solche Kellen die ich dort stecken kann und da bin ich dabei! Tja kleiner Fehler, große Wirkung. Was bedeutet das jetzt? Vielleicht noch einmal hier, man sieht noch einmal virtualisiert haben wir natürlich gemacht. Also alles was wir hier sagen haben wir für euch demonstriert. Wir haben virtuelles kartenerminal damit haben wir diese iccsn ausgelesen, wir haben auch entsprechend einen sogenannten prüfungsnachweis erzeugt für eine beliebige iccsn allerdings in der sogenannen referenzumgebung weil produktiv kommt diese Akte erst am 15.1 ne? Eben genau. Kastl: was man vielleicht dazu sagen sollte diese ICCsn sieht so schön aufgereiht, ja die die sind quasi wirklich durchnummeriert, ihr könnt sie hochzählen. erstaunliche laute Also ihr könnt über die Krankenkasse gehen lachen, er sagt also Applaus. Wir verraten euch mal die die ersten fünf Ziffern sind immer gleich. Deutschland Gesundheitswesen, dann nimmt ihr die Krankenkasse und dann fangt ihr eben an den nummerraum hochzzählen je nachdem wie groß die Krankenkasse ist kann es über ein paar Millionen gehen oder ein paar tausend paar hundertausend, wie auch immer. Da steckt nicht so viel Logik dahinter diesen Nummernraum irgendwie zu treffen und wie Martin schon sagte so viel bzw jetzt kommt spannende daran glaube ich weil wir haben mal gesucht ob das vielleicht irgendwie jemand schon mal aufgefallen wäre. Also der Fehler der ist ja hier im Publikum sehr schnell aufgefallen ohne dass ich überhaupt sagen muss was los war, die kennen auch die gematik. Spätestens seit 2016 ist er bekannt steht in den Specks kann man nachlesen eine von der gesteckten Gesundheitskarte abweichende iccsn deutet auf einen Fehler der dezentralen ti also das das was in der Arztpraxis passiert hin oder einen Angriff. Ja Angriff das haben wir jetzt hier deutet hin steht in der Speck dennoch hat man sich entschieden genau dieses Verfahren für den Nachweis des Vorliegens ein echten Gesundheitskarte zu wählen um Zugriff auf Akten freizugeben. Genau. Was noch? Kastl: Ja was spannendes ist man macht es dann Jahr vorher anders weil man hat das z.B im Thema des eHealth-CartdLinks wieder das sicher validiert? Das heißt wir haben jetzt zwei verschiedene Verfahren das eine wird sicher validiert, das andere wird nicht sicher validiert... Hm spannend genau . Tschirsich: Also gerade letztes Jahr hatten wir das noch mal in der neuen Speck auch extra sogar eine mitigation gegen diesen Angriff aber bei der EPA wurde es nicht mitigiert. Kastl: Ja was heißt das jetzt wir haben einen Angriff der ist ein bisschen aufwendiger er braucht vielleicht ein Monat um irgendwie mal so in diesem Kontexten einfachen Prototypen zu haben, der ist remote durchführbar und der ermöglicht Vollzugriff auf alle EPAs. Wenn wir sagen alle EPAs meinen wir alle EPAs. Das heißt der braucht nur diese icssn und hab dann Zugriff auf eine von den 70 Millionen EPAs mit eben der Leistungsbringer Institution den rechten die diese Institution hat mit der man sich da quasi in der TI anmeldet. Das ist die Einschenkung dazu also wir brauchen irgendwie die Identität einer Leistungsbringer Institution um zumindest diese Rechte zu haben und dann aber Vollzugriff zu haben. Tschirsich: Genau wir brauchen so eine smcb also diese Karte die wir vorher bestellt haben und über das kartenherausgeberportal mit der sql-injektion aber vielleicht wollen wir die noch schneller vielleicht wollen wir da noch bisschen einfacher rankommen weil SQL Injektion sind ja strafbar wahrscheinlich weiß ich jetzt nicht. gemurmel, gelächter Kastl: Genau deswegen haben wir uns angeschaut gibt's ja vielleicht einen Weg der uns allen offen steht auch den ehrlichen heuteen unter uns und haben uns einfach mal angeschaut ja was gibt's denn dann noch? Tschirsich: Das eine ist gelächeter wobei wir haben jetzt gelernt wenn ich ein Passwort öffentlich irgendwo finde z.B im Kompilat und das nehme und eingebe, dann ist das doch nicht zulässig ja also vor den Gerichten wird das dennoch als strafbare Handlung gesehen hab wir es leider gesehen. Das heißt auch das wir hatten hier bei bestimmten Praxisverwaltungssystem also diese Software die Arztpraxen einsetzen eine bestimmte Standardkonfiguration und konnten übers Internet auf Akten zugreifen wenn wir da nicht responsible disclosed hätten so. Das zweite ist man kann natürlich showdown anwerfen interest of things Suchmaschine dort einfach mal Praxis eintippen und dann findet man endlos endlos endlos wenn es auf Deutschland eingrenzt Zugänge zu allen möglichen Gesundheitsinstitution. Gesundheitsinstitutionen in Deutschland sind miserabel geschützt. Das ist auch nicht deren Aufgabe die haben oft nicht die ich sag mal die die Ressourcen dafür sind e schon überlastet und natürlich kommt man remote an so eine Gesundheitsinstitution ran und kann dann die dort vorhandene it Connector smcb einfach mitnutzen. Ist alles schon freigeschaltet alles schon da ist also sehr einfach aber vielleicht gibt's ja noch ein einfachen Weg, jetzt schauen wir uns erstmal den an. Kastl: Schauen wir uns erstmal den an dauert so zwei Stunden wenn man irgendwie suchen lässt oder sucht das ganze ist remote durch führbar das Ganze das gleiche ihr kennt das inzwischen Zugriff auf alle EPAs die für diese Leistungserbringerinstitution freigegeben sind. Das ganze ist eigentlich schon mal so ein bisschen bekannt wurde gemeldet responsible disclose. Wurde dann gefixt aber es gibt wie viele Praxisverwaltungssysteme z.B 200? Tschirsich: Knapp über 100. Kastl: Ja also irgendwie ein paar die find vielleicht alle nicht so ganz proper und jetzt ist aber die Frage na ja so irgendwie remote Zugriff vielleicht möchte man das doch irgendwie in die Hand nehmen! Und ja sie an die Hand nehmen genau. Tschirsich: Genau wir haben uns noch einen Weg angeschaut ein alten Bekannten. Da muss ich nur zum Telefonhörer greifen. Und zwar haben wir uns angeschaut wie komme ich denn eigentlich an diese Gesundheitskarte? Also das ja der Schlüssel für den jeweiligen Versicherten für die Versicherte auf diese eine Akte. Wie komme ich daran? Na ja die ausgabeprozesse wie schon demonstriert 2014 2015 2016 2017 2017 2019 und auch schon davor 2012 sind nicht sicher und es ist quasi so ein jährliches Ritual sich eine neue Gesundheitskarte zu bestellen aber nicht die eigene lachen sondern ja von jemand anderem. Mit Einwilligung natürlich. Also bei uns ich weiß nicht wie ihr das Hand habt wenn ihr jährlich Gesundheitskgarten bestellt. gelächter Haben wir wieder gemacht, haben wieder Gesundheitskarte bestellt. Es waren diesmal zwei Telefonate notwendig jeweils 5 Minuten Aufwand 10 Minuten in etwa würde ich schätzen und dann kam sie frei Haus. Heutzutage brauche ich ja die PIN nicht mehr, das heißt da gibt's auch kein ident kommt die Gesundheitskarte und Gesundheitskarte ist ja der Zugangsschlüssel zu meiner Akte ich muss da nur an den Kiosk gehen und kann dann in meine Akte rumwülen. Kastl: Ja jetzt ist die Frage also 20 Minuten kann man remote machen lösch-, lesenzugriff weil ihr könnt ja quasi auch in eurer EPA Dinge löschen auch lesen und so weiter. Hat das irgendjemand schon mal gemerkt dass es vielleicht irgendwas ist was man fixen hätte sollte ja? Jetzt kommt leider das was Karl Lauterbach nicht gefallen wird. Ulrich Kelber hat angemerkt 2023 dass die elektronischen Gesundheitskarten eGK müssen persönlich zugestellt werden oder eine nachidentifizierung muss stattfinden bevor die eGK als Zugangsmittel zur it eingesetzt wird. Ja er hat halt recht. bekannt aus Funk und Fernsehen tatsächlich seit 2012 Kelber hat es noch mal auf Punkt gebracht. Applaus So jetzt waren wir eine beliebige Patienttin jetzt hatten wir Zugriff auf theoretisch alle EPAs aber irgendwie vielleicht braucht man noch mal so ein so eine so ein SNCB? B lächelt Tschirsich: Man kann nie genug haben lächelt Kastl: lächelt Ja wo findet man sowas denn? Kastl: Ja weiß nicht Internet irgendwo ne ebay? Nee. Tschirsich: Kleinanzeige ist jetzt nicht mehr ebay ist jetzt getrennt. Kastl: Ok. zeig mal kleiner zeigen. Tschirsich: Genau Kleinanzeige genau. Was haben Kleinanzeige gemacht smcb nein wir haben kartenerminals bestellt. Solche. Die sind Orga 6141 gute Teile gute Teile haben sehr viele Kartenslots ein für die Gesundheitskarte ein für heillberufausweise und zwei einmal für eine kleine Chipkarte im Kartenterminal selbst und dann für die sogenannte smcb. Und ja wir haben uns mal ein paar bestellt und haben dann auch ein paar smcb frei hausgeliefert bekommen gelächter, einzelne applaus teilweise teilweise waren ja auch noch versiegelt original also schön sicher. Auch die Pins lagen teilweise dabei also. Wenn man net gefragt hat vorher bei Kleinanzeige gibt eine Chatfunktion dann kriegt man auch die PIN. Gelächter Weil ja Restlaufzeit ausnutzen Gebrauchtmarkt Zweitverwertung ist ökologisch. Genau was wir gemacht haben wir haben die dann mal in so eine Karte eingelassen also diese smcbs das so kleine Dinger wenn man die entsprechend präpariert dann kriegt man die auch ein klassisches reiner SCT Kartenterminal da braucht man das auch nicht mehr und ja nicht nur das wir haben auch gedacht wenn kleiner zeig schon so ein gutes Hacker Tool ist schauen was es noch her gibt wir haben uns als Dienstleister auf Kleinanzeigen mal ein paar Anzeigen rausgesucht und da gibt's tatsächlich einige die aus ärzlicher Sicht Probleme mit demem connektor haben mit der Installation das ist wirklich kompliziert und haben wir gerne unseren Support angeboten und hat dann auch remote Zugriff auf eine freigeschalte Zms Applaus Kastl: Ja so wie lange dauert so eine Internetrecherche na ja 4er Stunden remote über ist Inter Tschirsich: Ja manchmal ist das das so ein bisschen haklig oder so aber kriegt man auch irgendwie hin also response time bei Kleinanzeigen ist nicht immer ideal ne? viele lachen Gibt schlechte Bewertung ja lächelt? Und was hat man damit hat Zugriff auf diese für die Leihe freigegebene EPAs das kann unterschiedlich sein was da so freigegeben ist aber ja man hat dann zumindest halt den ordentlichen Zugriff in die TI ja. Kastl: Jetzt reicht langsam würde ich sagen ja jetzt haben wir so glaube ich im Gesamtfeld eigentlich alles was wir brauchen um auf alle EPAs zuzugreifen im wahrsten Sinne das Wortes und was ist jetzt unser Fazit? hm Tschirsich: Ja also erstmal kann man noch mal aufmalen was wir uns alles angeschaut haben ne? Also überall wo hier rot eingekreist ist das haben wir uns angeschaut und da war auch irgendwas, also wir haben auf verschiedensten Wegen uns die Identitäten der Patientinnen Patienten besorgt, Gesundheitskarten. Wir haben auf verschiedensten Wegen uns die Praxisidentitäten besorgt sei es über den Zugang von außen über das Thema der Konfiguration it, oder Gebrauchtmarkt oder IT support. Wir haben uns dann auf diesen verschiedenen Wegen unter Anderem auch über die Karten Hererausgeber ganz oben die in rot markiert sind bei den Portalen mal umgeschaut haben gesehen da ist vielleicht noch einfacher und damit hatten wir wirklich alles zusammen um auf individuelle Akten beliebige zuzugreifen, um auf alle für eine Praxis freigegebenen Akten zuzugreifen, um auf alle 70 Millionen Praxis Akten zuzugreifen genau. viele Applaus Kastl: Ja so und weil diese ganzen Timelines vielleicht ein bisschen verwirrend war haben wir noch mal eine schöne Übersicht gemacht was den eigentlich so seit dem 36C3 um den 36C3 passiert ist paar Sachen. Also wir haben z.B in Zugangsweg für die Patientinnen in Reihe kompromittiert, wir haben den Zugriff über die Leistungsverbringer kompromittiert und wir haben jetzt noch dazu warum die Sache noch schlimmer zu machen einen systematischen Fehler im versicherten Stammdatenmanagement. Ja und jetzt haben wir eine Opt-Out EPA für alle die nicht widersprechen. Das ist irgendwie doof, weil es erzeugt sowas wie Opportunitätskosten. Früher wurde gesagt na ja die EPA ist zu sicher deswegen nutzt die niemand einzelne Gelächter. Ja ich glaube so sicher war sie auch eine Historie nicht wir haben jetzt aber natürlich durch das Thema EPA für alle ein wesentlich gesteigertes Schadensausmaß. Jetzt ist tatsächlich ein sagen wir mal Implementierungsdetail im versicherten Stammdatenmanagement ursächlich für einen Massendaten Abfluss theoretischen was (wir hoffen mal) dass noch gefixt wird in der EPA für alle für 70 Millionen, die nicht widersprochen haben und das kostet natürlich in der Gesamtbetrachtung das Vertrauen in das digitale Gesundheitswesen und dieses Vertrauen kann man glaube ich auch nicht so wirklich in Zahlen aufwiegen. Es ist aber am Ende unser aller Gesundheitswesen unser Digitalisierung des Gesundheitswesens und eigentlich sollten wir Interesse daran haben dass das entsprechend vertrauenswürdig und sicher ist damit es eben auch genutzt wird. Ja aber dazu vielleicht mal wir versuchen ein bisschen weiterzuhelfen. Tschirsich: Wir versuchen jetzt haben wir Symptome gesehen, ziemlich viele Symptome sogar leider und auch quasi in in jährlicher Sukzession immer wiederholt dieselben oder ähnliche Symptome, gibt irgendwie Gemeinsamkeiten um rauszufinden was die Ursache da was liegt eigentlich dahinter warum ist das so? Warum können wir uns darauf nicht verlassen dass jetzt lich Maline EPA kommt die dann sicher ist? Na ja also erstens was man sehr schnell feststellt wenn man sich damit beschäftigt da können ja einige ein Lied von Singen Das ist ein sehr komplexes Thema diese Gesamte Spezifikationslandschaft Die Vertrauensräume diese Komplexität auch der vielen Beteiligten in der Selbstverwaltung des Gesundheitwesen, wie gesagt 100 Kassen 100 Karten Herausgeber. Das sind alles außentäterszenarien die wir gezeigt haben die wirklich nur außen an der Oberfläche von dieser Komplexität kratzen ne? Hier gibt's ein großer Gutachter von TI Anwendungen und das Zitat dort ist also das System ist zwischen so komplex dass kaum noch Jemand vollständig durchtrinkt. Frauenhofer SIT hat sich dort mal versucht mit einem gematic GPT also das auf diesem Wege daran zu kommen aber auch das kann diese Komplexität in der Größe nicht durchdringen. Kastl: Ja Tschirsich: Genau was leiten wir daraus ab? Also was sehen wir das ist so ein bisschen so die die Oberfläche der wir gekratzt haben dann sind wir ein bisschen tiefer gegangen und jetzt haben wir scharf überlegt und uns ein paar Kern Forderungen zurecht geschrieben die umgesetzt werden müssen damit wir dieses Vertrauen wieder zurückgewinnen was hier verloren gegangen ist. Zunächst einmal das ist die wichtigste Forderung brauchen unabhängige belastbare Bewertung von Sicherheitsrisiken den in diesem System inherenten Risiken Es kann nicht sein, dass ehrenamtlich von draußen immer wieder und wieder zugetragen wird, wo ad hock gefixt wird. Nein. Wir brauchen unabhängige blastbare Bewertung von dem in diesem System inherenten Risiken dieser Datenverarbeitung und das kann nicht die gematik oder das BMG machen. Das muss eine unabhängige Stelle sein. Applaus Dann muss das kommuniziert werden was hier als Entscheidung als Risiko Akzeptanzkriterium als in in dieser Risikobewertung einfließendes Kriterium in diese Risiko Bewertung einfließen. dort vereinbart worden ist das muss transparent kommuniziert werden. Also transparente Kommunikation von Risiken gegenüber Betroffenen und wir sind alle betroffen weil das ist die EPA für alle. Dann wachsende Applaus brauch es ein anderen Prozess, einen anderen Entwicklungsprozess, denn wenn wir immer das Gleiche tun kommt auch am Ende immer dasselbe raus und es es irwitzig zu erwarten dass jetzt auf einmal ein sicheres Produkt kommt nachdem die EP 1 die EP 2 und die EP 3 mit derartigen Mängeln versehen war. Wir brauchen einen offenen Entwicklungsprozess open development und zwar über den gesamten Lebenszyklus hinweg. Applaus Kastl: Ja was wir aber gleich dazu sagen sollten weil vielleicht irgendwelche Leute wieder auf die Ideen kommen das musssen man irgendwie privatisieren, das macht noch viel schlimmer. Ich glaube wir brauchen eine sinnvolle digitale staatliche Lösung die auch sinnvoll als öffentliche Infrastruktur funktioniert weil ich glaube niemand will irgendwie Doctorlib oder sonst irend was seine EPA maintainen lassen. Wir merken dass diese intransparenten risobetrachtung im digitalen Gesundheitswesen Vertrauen zerstören ja das geht dann wieder dazu dass natürlich Menschen die besonders von EPA profitieren würden diese nicht nutzen. Denkt an Menschen mit HIV Erkrankungen. Denkt an Menschen mit psychischen Erkrankungen. Denkt an Menschen die irgendwie häusliche Gewalt ausgesetzt sind. All diese Menschen haben eigentlich durch Digitalisierung Gesundheitswesen vielleicht auch noch die bessere Möglichkeit ja an Gesundheitsleistungen zu kommen aber die haben natürlich ein sehr sehr viel stärkeres Sicherheits ja Bedürfnis was aber natürlich durch solche Aktionen die von der gematik ausgehen die wir nur zeigen sondern machen es nicht kaputt sondern wir zeigen nur was kaputt ist nicht unbedingt vertrauen aufbauen. Das ist leider so ein teufelskreis in dem wir uns gerade befinden und ich glaube ohne wirklichen Ändern des Prozesses wird da auch zukünftig nichts anders herauskommen. Ich meine wir stehen zwar gern hier aber irgendwann wird's auch ein bisschen langweilig sorry und na ja. Deswegen ist es eigentlich wichtig dass wir eine vertrauenswürdige Lösung auch für jeden Sicherheitsbedarf schaffen. Es gibt natürlich Menschen die haben vielleicht chronische Erkrankungen die haben ganz anderes Verständnis zu wie sicher muss das sein den ist irgendwie die medizinische Leistung wichtiger aber es gibt auch Menschen die haben sehr sehr hohen Bedarf an nach sicheren Lösungen und ich glaube da ist auch dieser Gedanke mit ja ich nehme nur eine eGK um irgendwie hinzugehen und irgendwo meine Karte zu stecken vielleicht für manche nicht ausreichend. Ja jetzt ist es aber so, jetzt stehen wir und erklagen wieder an hat vielleicht nicht irgendjemand das schon mal artikuliert. Ja schon z.B Alena Buyx ehemalige Vorsitzende des Deutschen Ethikrates sagt z.B es geht Lösungen zu finden die es möglich machen dass alle glücklich sind ja das würden wir auch gerne haben und Susanne Ozegowski ihres Zeichens im Bundesgesundheitsministerium sagte selbst das Sicherheit dass A und O für die EPA sei und das Vertrauen der Menschen in die EPA so wichtig sein. Wir merken davon nicht so viel aber zumindest ist Erkenntnis da und ja wir gucken mal wo wir in ein paar Monaten Jahren wo auch immer stehen vielleicht hoffentlich nicht auf dieser Bühne vielleicht wird's besser vielleicht wird's auch genauso bleiben schauen wir mal. Tschirsich: Vielleicht noch ein Schlusssatz um das ganze zu fassen. Also vertrauenswürdige Digitalisierung Gesundheitswesen das ist das was wir wünschen vertrauenswürdige Entwicklung und Produkte und elektronische Patientenakten für die die sind nutzen wollen und können und die davon profitieren das ist unser an unser ansinn unser Ziel. Aber dafür braucht es einen vertrauenswürdigen Prozess der Vertrauen ermöglicht und dieses Vertrauen das ist irgendwo verloren gegangen und das muss sehr hart wieder zurückgearbeitet werden und wir hoffen dass unsere Forderung Gehör finden. Herald: Jo und in diesem Sinne ausgiebige Applaus, Wows Vielen Dank Martin, Bianca. Es war wieder ein Fest. Ich muss mich leider entschuldigen es war nicht der 32C3 war natürlich der 36C3. Bin schon bisschen älter da vergisst man Sachen tut mir leid. Bevor wir zur Fragerunde kommen wir haben dafür jetzt noch 15 Minuten Zeit lass mich noch mal kurz eins fragen. Fragen Ihr habt vorhin gefragt gesagt Ehrenamt das heißt alles was wir jetzt gerade gesehen haben sind ehrenamtliche Recherchen. Kastl: Ja Herald: Das ist ziemlich cool! ausgiebige Applaus Das führt nämlich dazu dass wir zum einen natürlich mit als Ehrenamt sei rotes Kreuz sei es sonst wo aber eben auch als IT-spezialisten tatsächlich auch was für die Gesellschaft tun können das ziemlich wirklich ziemlich gut. Wie gesagt wir kommen zur Fragerunde wenn ihr Fragen habt dann bitte an die Mikros stehen es gibt hier nummerierte Mikros die stehen auch in den Mittelgängen ich meine oben gäbe es auch noch welche auf den Rängen. Wink mal jemand wenn dem so ist. Da oben ja da hinten winkt jemand sehr gut. Dann gehen wir Mikrofon für Mikrofon durch Signal Angel hat auch schon eine Frage hervorragend. Mikrofon 1 bitte da: Ja ihr habt vorhin mit der Größen Übersicht da gezeigt an welchen Stellen in dem großen Zusammenhang ihr überall gepokt habt und an Informationen gekommen seid. Die Krankenkassen waren nicht dabei. Droht uns da noch was? Kastl: Jetzt wir ein bisschen politisch die Krankenkassen dürfen inzwischen mit den ihn vorliegenden Daten Lauch Gesundheitsdaten nutzungsgesetz Paragraph 25 SGB 25b sgb5 Entschuldigung für den ganzen rechtsplan Applaus dabei von daher kenne ich das noch die Krankenkassen können mit den Abbrechnungsdaten zumindest bestimmte Krankheitsbilder oder Behandlungsszenarien auswerten das ist inzwischen schon per Design auch wieder per Opt-Out widersprechbar. Aber das ist tatsächlich so die erste Stufe wo Krankenkassen auch etwas mehr ja sagen wir mal in in Behandlungsverläufe Einsicht bekommen was da politisch passiert ist da natürlich eine Entscheidung die könnt ihr auch mit eurer Wahl bei der anstehenden Bundestagswahl ein bisschen beeinflussen. Fragt doch mal einfach eure Wahlkandidatinnen dazu was sie davon halten wie die Trennung von Krankenkassen und diesem System eigentlich sein sollte. Das kann man so und so politisch Regeln. F1: Aber ihr habt noch keinen Zugangsweg dort ausprobiert? Tschirsich: Also Kassen sind ja die Herausgeber von Gesundheitskarten und dieser Prozess ist halt teilweise angreifbar gewesen und ist auch weiterhin angreifbar. Das heißt wir müssen damit leben dass diese Prozesse auch dauerhaft nicht richtig sicher sein können. Wenn wir nicht das umsetzen was eine sehr strickte Sicherheitsforderung ist. Das zweite ist Kassen betreiben auch zum Teil diese versicheren stammdatendien selber aber ansonst haben Kassen natürlich nur ein schreibbrecht in die elektronische patientenakte. Das muss man mal ganz klar sagen also Kassen auch mit einer SMC Karte oder bzw dieser Identität einer Kasse kann ich nur schreiben auf das in diese Akte zugreifen und das ist sollte man vielleicht noch mal hervorheben. F1: Danke. Herald: Das Internet hat eine Frage. Bitte. Signal Angel: Was wäre denn eure Empfehlung für so den 081 Patienten und wie kann man aus der elektronischen Krankheit elektronischen Patientenakte Opt-Outen. Tschirsich: Opt-Out ist vielfach möglich man kann komplett optouten man kann auch später wieder einwilligen dass man oder ich sag mal sagen ich nehme den optout zurück. Man kann auch die Akte grundsätzlich erstmal haben und dann gegen einzelne verarbeitungsvorgänge wiedersprechen das ist alles auf den Seiten der gematik sehr schön dargelegt wie das geht. Grundsätzliche Empfehlung sprechen wir eigentlich nicht aus weil wir sagen jeder hat unterschiedlichen Sicherheitsbedarf. Manche die würden sehr schon davon profitieren und haben aber jetzt kein Bedürfnis ein sehr vertraulichen Umgang mit diesen Daten zu pflegen und da würde ich sagen ok. Wenn jemand sagt nein ich möchte nicht dass diese Daten in Hände von Familienangehörigen oder von Dritten gelangen und mir ist ein Aufwand von vier Stunden da zu gering für ein Angreifer dann würde ich sagen dann erstmal optout und schauen ob sich das vielleicht grundlegend mit der EP4 ändert ja? Man kann auch das optout wie gesagt jederzeit zurücknehmen. Aber das muss jeder selber für sich oder jede selber für sich entscheiden. Herald: Vielen Dank Mikrofon 2 hat noch eine Frage. Mic 2: Könntet ihr einen Grund dafür finden warum da ein statische ID verwendet wird statt die signierte. Ist das irgendwie fixbar ohne die Spec zu verändern? Tschirsich: Jetzt beim Versicherten standamard Management warum die iccsn verwendet wird statt die signierte? Das ist historisch gewachsen dass dieser Prüfungsnachweis der dort erzeugt wird der wo ist eigentlich nur Nachweis darüber dass eine eine Ärztin ein Arzt die Stammdaten auf Aktualität geprüft hat und soll nie nachweisen dass eine echte Gesundheitskarte vorlag. Das hat man dann später als das einzige was da war genutzt. Es gibt ein was diesen Mangel angeht also ist ja wie gesagt nur einer von vielen 2026 neuen Dienst der das dann richtig machen soll. Gelächter Mic 2: Danke schön ja Herald: Problem für future it. Mic 3: Guten Tag meine Frage richtet sich daran ihr hatt jetzt über Jahre kommuniziert mit den Verantwortlichen wie seht ihr diese Kommunikation was funktioniert was funktioniert nicht wie herzlich oder wie ehrlich ist die Kommunikation was hat euch was motiviert euch weiterzum machen und wo sagt ihr da sind ganz klare Wände gegen die man rennt. Kastl: Also wir haben ja schon ein bisschen auch vorher mit Menschen gesprochen Menschen draf vorbereitet was kommen wird und ich glaube auch dieses wie auch die gematik selbst diese Security Prozesse aufnimmt das ist schon auch irgendwie wie man das so vom Prozessen erwarten würde auch freundlich kollegial so ein bisschen Security do nennen wir es mal so. Ich sehe das aber halt mit politischen Prämissen die dann irgendwie sagen mit datenschätzen und so weiter und so fort die gemati auch immer ein bisschen so einer so einer ungünstigen Rolle von das sind die politischen Forderungen die erfüllt werden müssen und das ist das was man auf der Arbeitsebene noch noch regeln kann. Wenn halt eine Timeline sagt am 15 Januar müssen wir mit diesem Ding online gehen und dann sagt jemand ja securitymäßig müssen wir da vielleicht noch was fixen weil es ist vielleicht doch ein Risiko ist natürlich auch der Handlungsspielraum den man da hat vielleicht eher dazu da um das politische Ziel zu erreichen und ich glaube das ist der das Problem in dem sich dieses ganze kon dieser ganze Kontext befindet und das Z mein Eindruck davon. Tschirsich: Vielleicht kann man auf den Satz zusammenbringen also alle mit denen wir zusammenarbeiten auf fachlicher Ebene insbesondere die auch hier in beispielsweise bei der gematik versuchen alle versuchen unter den Voraussetzung das Beste zu erreichen was sie können. Aber selbst wenn alle zehn Mal besser arbeiten würden dann hätten wir die elektronische Patientenakte in den letzten 5 Jahren eben nicht zehn sondern einmal gehackt und bei einer Lebensdauer von 100 Jahren werden das halt dann nur na ja zehnmal. Ich weiß nicht wie wie oft das erwartet wie oft darf so eine Akte in der Lebenszeit gehackt werden ich glaube diese Rechnung W wir nicht anstellen und das führt auch zu nichts man muss erkennen dass dieser Prozess in dem diese Akte entsteht nicht zu einer sicheren vertrauenswürdigen digitalen Gesundheitsakte führen kann und dass es da grundlegende Änderung braucht. Es ist nicht es liegt nicht an den Menschen es liegt vielleicht an der ich sag mal der Entscheidungsebene die vorgibt dass gewisse Ziele eingehalten werden müssen zu gewissen Terminen das kann natürlich sein. Mic2: Danke für diese ausführliche Einsicht. Herald: ich danke auch ich hatte vorher nach den Reng gefragt ich kann die Nummer leider nicht sehen steht da jemand und hat eine Frage? Mic 0: Ja sind euch nech weitere Stellen bekannt in das spec in den die gematik festgestellt hat dass Angreifer eventuell Lücken ausnutzen können. Mic: Also wie gesagt wir haben von außen drauf geschaut aus einer außentäterperspektive und das sind die Lücken die wir heute vorgestellt haben aus der außentäterperspektive weil das die sind die auch am ehesten begreifbar sind und auch vorstell sind. Das System hat weitere Mängel die betreffen weitere sicherheitsannahmen organisatorisch und auf der Ebene unter den also mit entsprechend privilegierten Positionen und das was wir gemacht haben ist auch längst nicht vollständig also wir haben keine vollständige Sicherheitsanalyse gemacht sondern wir haben das angeschaut was un irgendwie untergekommen ist als erstes. Das heißt da ist durchaus der Bedarf da das weiterzuführen diese Arbeit. Signal Engel: Ja was soll man sich unter transparenter Kommunikation der Risiken für Betroffene vorstellen weil für Leien ist ja relativ schwer zu erklären was die Risikofaktoren für die EPA sind. Tschirsich: Also wir können sagen wie man sich es nicht vorstellt und das so wie es gelaufen ist und zwar zu sagen von der Sicherheit her besonders sicher die EPA ist die sicherste die wir haben in Europa Gutachten bestätigt ist sicher sicher sicher sicher nein das nicht sondern so begreifbar machen dass es unterschiedliche Risikoprofile gibt und das für manche Menschen geeigneter ist und für andere weniger und wir haben das versucht heute greifbar zu machen auf ein Foli den wir sagen okay Aufwand den angreif einsetzen muss und dann der Schaden der daraus entsteht also z.B in Stunden angegeben es gibt da sicher Bedarf darüber nachzudenken und da ein etwas zu finden was für die Betroffenen gut greifbar ist wir würden uns wünschen dass man das versucht und eben nicht sagt ist sicher verlasst euch drauf und dann ist wieder nicht sicher das führt nicht zum Ziel. Mik 4: ja hallo vielen Dank für den Talk. Ich habe eine Frage zu einem Ding das ihr vorhin angeschnitten habt und zwar wenn ich Daten in meiner Akte stehen habe die ich nicht jedem Arzt und erst recht nicht jeder Person in der Welt geben möchte wie kann ich dafür sorgen oder gibt es da Mechanismen dass ich solche verschleiern kann oder mit besonderen Sicherheitsmerkmalen praktisch belegen kann. Kastl: Ja jetzt kommt das Thema mit dem nicht so freien granuralen berichtigungsmanagement. Also EPA Zugriff heißt erstmal Zugriff oder nicht Zugriff du kannst in de elektronischen Patienten Akte 3.0 für dich selbst Dokumente so verschatten damit du nur damit du nur sie nur selbst einsehen kannst das geht aber du kannst jetzt z.B nicht sagen für ein Dokument das darf z.B jetzt nur meine Zahnärztin sehen und das andere Dokument darf noch mein mein Immunologe sehen oder sonstige Dinge sondern es gibt Zugriff oder nicht Zugriff das ist auch etwas was z.B die aktuelle BFD auch immer wieder kritisiert immer wieder mal aber ja gut und das ist das aktuell in dem zugangsberechtigungsmanagement wirklich vielleicht noch nicht der Use Case den du bräuchtest um alle Szenarien abzubilden. Tschirsich: Genau also auf Betreiben von Herrn Kelber unseren BfDI insbesondere wurde in feingranulares Berechtigungsmanagement eingeführt in die EPA 2 und mit der EPA 3 ist wieder ausgebaut. Mik 4: ja noch kurz als Folge könnte das ein Problem für transmenschen werden deswegen die Frage genau vielen Dank. Kastl: Das ist natürlich ein Problem für z.B für transmchen auch für Menschen mit HIV Diagnosen für Menschen mit sonstigen Diagnosen Depression Schwangerschaftsabbrüche es gibt im Gesetz mus den Hinweis dass man auf bestimmte Dinge hinweisen muss achtung wir stellen das jetzt in deine EPA möchtest du das? das ist aber praktisch so umgesetzt dass in der Arztpraxis und Umständen am Plakat hängt das drüber informiert und dann war die Informationspflicht erfüllt das ist wirklich so und ja ihr merkt das Problem. Herald: Danke vielmals auch für die gute Erklärung. Mikrofon sechs: Ja vielen Dank für den Vortrag meine Frage schließt sich glaube ich gut an die Vorfrage an nämlich kann ich zumindest ein Schränken welche Leistungserbringer Zugriff auf meine EPA bekommen ich glaube eure eigene Folge hat da bisschen drauf hingewiesen. Tschirsich: Ja das geht also man kann Leistungserbringer auf so eine denylist setzen dazu müssen die Leistungserbringer aber bekannt sein und ich muss sie suchen über die App ja das heißt 1% haben derzeit eine App die 99% die sie nicht haben da soll es eine Möglichkeit geben über eine ombutstelle bei der Krankenkasse anzurufen aber vielleicht schauen wir uns das an wenn es da ist Mik 5: Vielen dank euch für eure Arbeit. Wie Realistisch ist es das als Postbox als Inbox zu nutzen. Ich ziehe mir das Zeug da rein was ich tecker krieg von den entsprechenden Institutionen Ärzten und so weiter und löscht das das sofort raus manuell oder vielleicht gibt's da API wo ich mal Scripten kann, ist sowas Realist realistisch? Tschirsich: Also das das ging man kann in der EPA Dokumente für sich selber runterladen und dann auch aus der EPA löschen das geht nur wenn man sie dann wieder in die andere Richtung kommunizieren möchte die Dokumente haben keine beispielsweise Signatur durch ein Arztausweis sondern sie werden allein dadurch authentisch dass sie in ein bestimmten Fach in der EPA einsortiert sind wen einmal rausgeholt hat krieg ich n wieder rein aus dem arztfach beispielsweise wenn ich nicht selber Arzt bin das ist so ein bisschen das Problem. Kastl: Ja was auch nicht geht ist in dem Kontext dass du bestimmte Funktionen die z.B in der EPA 3 komm elektronische Medikationsliste oder elektrische medikationsplan später dass du das natürlich nur benutzen kannst wenn es z.B ein legitimes e-rezept ist was dort eingestellt wurde. Tschirsich: Und dann diese Medikationsliste generiert genau und aus der Medikationsliste kann man auch nicht individuell löschen das heißt Dokumente ja aber da wo es spannt wird semantische Daten da muss ich alles oder gar nichts nehmen ich kann da nicht einzelne Daten nachdem ich sie empfangen habe dann löschen das geht nicht. Herald: ich danke auch wir sind am Ende unserer Zeit angekommen es war wieder ein hervorragender Vortrag mit einer sehr sehr spannenden Fragerunde vielen vielen Dank Bianca und Martin. Ausgiebige Applaus 38C3 Abschlussmusik Untertitel von vielen vielen Freiwilligen und dem C3Subtitles Team erstellt. Mach mit und hilf uns!