Freitag, 5. Juni 2020

Das un-/sichere Medizinische Internet


Seit dem 27. Mai 2020 gibt es Probleme beim Einlesen von Versichertenkarten. Der Grund dafür ist ein Konfigurationsfehler in der zentralen Telematik-Infrastruktur. Deren Komponenten (unter anderem zentrale Server und Konnektoren) verwenden sogenannte Zertifikate, um sich gegenüber den anderen Komponenten als Teil der TI auszuweisen. 

Ein Zertifikat ist in diesem Fall vergleichbar mit dem Personalausweis. Kann eine Komponente kein korrektes Zertifikat vorlegen, das heißt sich also nicht gegenüber den anderen ausweisen, lehnen die anderen Komponenten die Kommunikation mit ihr ab. Solche Zertifikate haben immer eine bestimmte Gültigkeitsdauer und müssen, wie ein normaler Personalausweis auch, in regelmäßigen Abständen ausgetauscht werden. Ist unser Ausweis zum Beispiel abgelaufen, werden wir an der Grenze zurückgeschickt.

Die Zertifikate für die TI werden von einer Autorität („Trusted Authority“) erzeugt, der alle Teilnehmer vertrauen. Diese Autorität gibt außerdem für alle Teilnehmer ein Dokument heraus, das die Struktur und die Gültigkeit der in der TI verwendeten Zertifikate sowie deren Herausgeber beschreibt (die sogenannte TSL-Datei oder Whitelist). Um im Bild zu bleiben: Sie beschreibt, wie ein gültiger Personalausweis aussieht und ermöglicht es, einen vorliegenden Ausweis auf Echtheit zu prüfen. Mit Hilfe der TSL-Datei können alle Teilnehmer überprüfen, ob ein vorliegendes Zertifikat gültig ist.

mehr:
siehe auch:
Aktuelle Störung Versichertenstammdatendienst (fachportal.gematik.de, aktualisiert am 07.07.2020)
Elektronische Gesundheitskarte: Reparatur des Stammdatendienstes beginnt (Detlef Borchers, heise online, aktualisiert am 03.06.2020)
Sicher wie die TI-tanic (c’t 3/2020, aktualisiert am 07.07.2020)
"Plötzlich geht alles ganz schnell: Online-Behandlungen und elektronische Gesundheitsakten sind dieses Jahr für Millionen Krankenversicherte Wirklichkeit geworden. Zu einem hohen Preis: Bereits einfache Angriffe lassen das Sicherheitskonzept der Apps und Plattformen zusammenbrechen. Warum das so ist, welche kritischen Fehler Vivy & Co. gemacht haben und wie das möglicherweise verhindert werden kann, das soll dieser Vortrag zeigen - denn in spätestens drei Jahren sollen auch die Gesundheitsdaten aller übrigen Versicherten zentral gespeichert und online abrufbar sein."Zitat Martin Tschirsich auf dem 35C3 2018.   
[Silke Lüder, "All Your Gesundheitsakten Are Belong To Us" - Akten mit fatalen Folgen für unsere Krankheitsdaten, Bericht vom 35C3, stoppt-die-e-card.de, 31.12.2018]

Zum Punkt Vertrauen:
[…] kommen aus dem Bundesgesundheitsministerium monatlich neue Gesetze. Alle haben etwas mit Digitalisierung zu tun und werden die Medizin in Deutschland verschlechtern, weil die neuen Vorgaben die Funktionalität und den Workflow in Praxen und Kliniken massiv belas- ten werden. Während der Corona- Krise werden im Eilverfahren neue Gesetze durchgepeitscht, bei denen der konkrete Patientennutzen, die Anwenderfreundlichkeit und die Gewährung der informationellen Selbstbestimmung hinten herun- terfallen. Schon im Digitale-Versor- gung-Gesetz (April 2020) wurde darauf verzichtet, die künftigen Gesundheits-Apps vor Einführung unabhängig darau in zu prüfen, ob sie einen medizinischen Nutzen bringen. Im Vordergund stand eher, der IT-Industrie schnell Absatzchan- cen zu ermöglichen.

Zu Recht kritisieren der Bundes- datenschützer, die Ärzteschaft, die Oppositionsparteien im Deutschen Bundestag, der Chaos Computer Club und weitere Experten mas- siv das geplante Patientendaten- Schutzgesetz (Drucksache 19/18793). Es widerspreche an vielen Punkten der Datenschutzgrundverordnung und damit geltendem Recht. Der Zu- gri auf die geplante elektronische Patientenakte (ePA) geschehe ohne zuverlässige Prüfung der Identität von Personen, die auf die Daten zugreifen wollten, monieren die Kritiker. Statt die bekannten Män- gel bei der bisherigen Ausgabe der elektronischen Gesundheitskarten abzustellen, werden sie gesetzlich fixiert. Ohne sichere Identitätsprü- fungen entsprechen die Gesetzes- formulierungen zu elektronischen Einwilligungen nicht den daten- schutzrechtlichen Vorschriften.

Den Krankenkassen wird dem Gesetzentwurf zufolge ermöglicht, bei den Versicherten eine Erlaubnis dafür einzuholen, ihre gesamten sensiblen Krankheitsdaten aus der ePA zu verarbeiten zum Beispiel im Tausch gegen das „Angebot zusätzlicher Dienste“. Bisher unter- liegen diese Daten der ärztlichen Schweigepflicht und dürfen nur vom Medizinischen Dienst der Krankenkassen anlassbezogen nach Anforderung eingesehen werden. Künftig muss davon ausgegangen werden, dass Patienten in bestimm- ten Situationen, zum Beispiel wenn sie Krankengeld beziehen, aufgefor- dert werden, ihre Daten vollständig freizuschalten. Gläserne Ärzte und Patienten sind die Folge 

[Silke Lüder, Praxisfern und unsicher – Spahns Patientendaten-Schutzgesetz schützt weder die Patientendaten noch die Medizinqualität, KVH-Journal, 7-8/2020, S. 34ff.]
 

Keine Kommentare:

Kommentar veröffentlichen