NewsPolitikBehörde sieht Sicherheitslücken bei mobilem Authentifizierungs­verfahren für elektronische Patientenakte
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Politik

Behörde sieht Sicherheitslücken bei mobilem Authentifizierungs­verfahren für elektronische Patientenakte

Donnerstag, 2. Mai 2019

/terovesalainen, stockadobecom

Berlin – Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betrachtet derzeit für Smartphones vorgesehene Authentifizierungsverfahren für die elektronische Patien­ten­akte (ePA) als „neuralgischen Punkt für die gesamte nachfolgende Sicherheitskette“. Das geht aus einem Schreiben der Bundes­behör­de an das Bundesministerium für Gesundheit (BMG) hervor, das dem Deut­schen Ärzteblatt (DÄ) vorliegt.

Die Experten äußern sich in dem Schreiben zu sogenannten Schlüsselgenerierungs­diens­ten (SGD) sowie alternativen Versichertenidentitäten (al.vi) in der Tele­ma­tik­infra­struk­tur (TI). Würde das Authentifizierungsverfahren SGD überwunden, könne „sowohl auf die krypto­grafischen Mittel als auch die die Inhalte der Akte zuge­griffen werden“, warnt das BSI in dem Brief ans BMG. In Bezug auf al.vi stellt das BSI fest, dass die „starke Authenti­fizierung der eGK“ da­bei nicht mehr vorgesehen sei. „Die Gesamtsicherheit des Systems wird hierdurch deutlich verringert“, schreibt das BSI.

Anzeige

Im Ergebnis würden Sicherheitsleistungen der elektronischen Gesundheitskarte (eGK) mit entsprechend großen Freiheits­graden in die Implementierungsverantwortung der Her­steller verlagert. Auch werde die „exklusive Datenhoheit des Versicherten auf seine medi­zi­nischen Daten aufgelöst“. Die Behörde ruft das Ministerium dazu auf, „alle bekanntge­wordenen Mängel“ zu behe­ben.

Ein BSI-Sprecher erklärte dem zugleich, dass die Behörde eine SGD-Freigabe un­ter bestimmten Voraussetzungen erteilt habe. Ziel sei es, „ein dem Schutzniveau der Patien­ten­daten angemessenes Authentifizierungsverfahren zu implementieren, damit die elek­tro­ni­sche Patientenakte mit SGD hinreichend sicher betrieben werden kann. Dieses Ziel ist aus Sicht des BSI nicht gefährdet“, erklärte der BSI-Sprecher.

Datenschützer sehen juristisches Problem

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sieht in Bezug auf den SGD die gleichen Probleme wie das BSI, wie ein Schreiben an die gematik – Gesellschaft für Telematikanwen­dun­gen der Gesundheitskarte, das dem ebenfalls vorliegt, zeigt. Zu al.vi will sich der Datenschützer dem Schreiben zufolge später äußern.

Darüber hinaus macht der Datenschützer ein juristisches Problem aus. So könne mit dem neuen Verschlüsselungskonzept ohne eine rechtliche Klarstellung die Möglich­keit eröff­net werden, im Rahmen strafrechtlicher Ermittlungen ohne Wissen des Betroffe­nen Ge­sundheitsdaten zu erheben, da sich die elektronische Patientenakte nicht im Ge­wahrsam des zeugnisverweigerungsberechtigten Arztes befinde.

Wie ein Ministeriumssprecher dem sagte, habe die Sicherheit der Telematikinfra­struk­tur (TI) für das Ge­sund­heits­mi­nis­terium „oberste Priorität“. Deshalb fände regelmä­ßig ein enger Austausch zwischen dem BSI, der gematik und dem BMG statt. Das Schreiben des BMG habe zur Vorbe­rei­tung auf Entscheidungen der gematik zur Freigabe der Spezifika­tionen für zusätzliche Funktionen der elektronischen Patientenakte gedient, so der Sprecher.­

Im Kern gehe es dabei um das geplante alternative Authentifizierungsverfahren „al.vi“. Über dieses sollen Versicherte dem BMG zufolge auf eigenen Wunsch die Möglichkeit er­halten, ohne elektronische Gesundheitskarte mittels Smartphone auf die elektro­ni­sche Patientenakte zugreifen zu können. Die eGK und der Arztausweis fallen in dieser Variante als Ver- und Entschlüsselungsstufe weg.

„Das BSI weist in seinem Schreiben zurecht darauf hin, dass bei diesem alternativen Au­thentifizierungsverfahren al.vi der Sicherheitsanker der elektronischen Gesundheits­karte entfällt“, heißt es vom Ministerium. Den Versicherten, die über das Smartphone auf ihre ePA zugreifen wollten, trügen bei der Nutung von al.vi eine „erhöhte Verantwortung“. Ent­sprechend der Regelungen im Terminservice- und Versorgungsgesetz müssten die‎ Versi­cherten in die­sem Fall umfassend durch die Krankenkasse aufgeklärt werden und explizit der Nutzung des alternativen Authentifizierungsverfahrens zustimmen, erläuterte der BMG-Sprecher.

Es gelte aber „prinzipiell“, dass Versicherte, die mittels mobiler Geräte auf medizinische Daten zugreifen wollten, eine besondere Verantwortung tragen würden und elementare Sicher­heitshinweise beachten müssten. Eine Orientierung dafür böten beispielsweise die Hinweise des BSI für Bürger.

Der Sprecher des Ministeriums wies zugleich aber darauf hin, dass die Nutzung der ePA für alle Versicherten frei­willig ist und dass Versicherte neben „al.vi“ drei weitere Möglich­keiten erhalten sollen, um auf die elektronische Patientenakte (ePA) zugreifen zu können. So ist die Nutzung der ePA nur beim Arzt mittels eGK möglich. Darüber hinaus soll es einen Zugriff am heimischen PC oder Smartphone mittels eGK und Lesegerät geben. Zu­dem ist vorgesehen, dass es einen Zugriff am Smartphone mittels eGK über die NFC-Schnittstelle gibt. © may/aerzteblatt.de

Themen:

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Avatar #768337
7l7rb0cv0n1t
am Donnerstag, 2. Mai 2019, 18:36

Justiz-, sozial- und verwaltungsrechtliche Probleme sin auch in anderen Bereichen auszumachen

Die EU-DSGVO ermöglicht es, auch im sozialrechtlichen, im verwaltungsrechtlichen sowie sozialgerichtlichen Verfahren Gesundheitsdaten ohne Wissen der gesetzlich Versicherten zu "erheben", zu übermitteln usw., d.h. im umfassenden Sinne der DSGVO zu "verarbeiten", sofern es sich um jene Nutzergruppen handelt, die auf Sozialleistungen angewiesen sind (u.a. Alg2-Empfänger, Krankengeld-Empfänger usw.). Patientendaten (wie z. B. auch Sozialdaten siehe § 67 SGB X) sind laut EU-DSGVO auch "personenbezogene Daten". Sogenannte "Öffnungsklauseln" zu den Buchstaben c) und e) des Art. 6 der DSGVO wurden zu Ungunsten bestimmter Gruppen (Sozialleistungsempfänger im gesamten Bereich des SGB) geregelt. Die DSGVO-Reglungen gehen dem SGB und anderen Prozessverfahrensreglungen (hier wird noch entsprechend der DSGVO "nachgebessert") vor. Die Befungnisse der Landesdatenschutzbeauftragten und des Bundesbeauftragten für Datenschutz wurden hier nicht erweitert, sondern verringert. Die Betroffenenrechte erheblich eingeschränkt.
Noch verspricht der Sprecher des BMI, dass die Nutzung der ePa freiwillig sein wird. Ich traue diesem Versprechen nicht, es wird nicht dauerhaft für ALLE gesetzlich Versicherte aufrecht erhalten werden.
Avatar #768337
7l7rb0cv0n1t
am Donnerstag, 2. Mai 2019, 18:19

Justizprobleme sind auch in anderen Bereichen auszumachen

Die EU-DSGVO ermöglicht es, auch im sozialrechtlichen, im verwaltungsrechtlichen sowie sozialgerichtlichen Verfahren Gesundheitsdaten ohne Wissen der gesetzlich Versicherten "zu "erheben", zu übermitteln usw., d.h. im umfassenden Sinne der DSGVO zu "verarbeiten", sofern es sich um jene Nutzergruppen handelt, die auf Sozialleistungen angewiesen sind (u.a. Alg2,-Empfänger, Krankengeld-Empfänger usw.). Patientendaten (wie z. B. auch Sozialdaten siehe § 67 SGB X) sind laut EU-DSGVO auch "personenbezogene Daten". Sogenannte "Öffnungsklauseln" zu den Buchstaben c) und e) wurden zu Ungunsten bestimmter Gruppen (Sozialleistungsempfänger im gesamten Bereich des SGB) geregelt. Die DSGVO-Reglungen gehen dem SGB und anderen Prozessverfahrensreglungen (hier wird noch entsprechend der DSGVO "nachgebessert" vor. Die Befungnisse der Landesdatenschutzbeauftragten und des Bundesbeauftragten für Datenschutz wurden hier nicht erweitert, sondern verringert. Die Betroffenenrechte erheblich eingeschränkt.
Noch verspricht der Sprecher des BMI, dass die Nutzung dee ePa freiwillig sein wird. Ich traue diesem Versprechen nicht, es wird nicht dauerhaft aufrecht erhalten werden.

LNS

Nachrichten zum Thema

5. Juni 2020
Berlin – Anwender der künftigen Corona-Warn-App können auch über eine Telefonhotline ihren Infektionsstatus in der App aktualisieren, wenn sie positiv getestet wurden. Die Hotline sei einer von zwei
Corona-Warn-App: Positiv Getestete können sich über Hotline melden
5. Juni 2020
Berlin – Die Linke im Bundestag hat sich erneut – wie schon wiederholt auch die Grünen – dafür ausgesprochen, den Einsatz der geplanten Corona-Warn-App per Gesetz zu regeln. „Die Einführung einer
Linke rufen erneut nach Gesetz für Corona-Warn-App
5. Juni 2020
Berlin – Ärzte und Psychotherapeuten dürfen keinesfalls auf den Kosten sitzen bleiben, die ihnen durch die Behebung der Störung in der Tele­ma­tik­infra­struk­tur (TI) entstehen. Das forderte das
TI-Störung: KBV drängt auf Kostenübernahme
5. Juni 2020
Hannover – Die Justizvollzugsanstalt (JVA) Hannover und die Kassenärztliche Vereinigung Niedersachsen (KVN) starten am 1. Juli eine Telemedizinpilotprojekt. Ziel sei es, die medizinische Versorgung
KV Niedersachsen erprobt Telemedizin im Justizvollzug
5. Juni 2020
Berlin – Das Bundesministerium für Gesundheit (BMG) fördert eine Initiative des Medizinischen Fakultätentages (MFT), der Universitätsmedizin Göttingen (UMG) und des LMU Klinikums München zum digitalen
Förderung für digitales Lernen im Medizinstudium
3. Juni 2020
Berlin – Die vier Justizminister der Grünen in den Bundesländern bestehen darauf, den Einsatz der geplanten Corona-Warn-App per Gesetz zu regeln. So müsse sichergestellt werden, dass die App lediglich
Grüne Justizminister beharren auf Gesetz für Corona-Warn-App
3. Juni 2020
Berlin – Der Versichertenstammdatendienst (VSDM) der Tele­ma­tik­infra­struk­tur (TI) ist weiterhin gestört. Die Gematik hat nun ein auf einer eigens eingerichteten Internetseite wichtige Informationen
VG WortLNS

Fachgebiet

Anzeige

Weitere...

Aktuelle Kommentare

Archiv

NEWSLETTER