NewsPolitikBehörde sieht Sicherheitslücken bei mobilem Authentifizierungs­verfahren für elektronische Patientenakte
Als E-Mail versenden...
Auf facebook teilen...
Twittern...
Drucken...

Politik

Behörde sieht Sicherheitslücken bei mobilem Authentifizierungs­verfahren für elektronische Patientenakte

Donnerstag, 2. Mai 2019

/terovesalainen, stockadobecom

Berlin – Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betrachtet derzeit für Smartphones vorgesehene Authentifizierungsverfahren für die elektronische Patien­ten­akte (ePA) als „neuralgischen Punkt für die gesamte nachfolgende Sicherheitskette“. Das geht aus einem Schreiben der Bundes­behör­de an das Bundesministerium für Gesundheit (BMG) hervor, das dem Deut­schen Ärzteblatt (DÄ) vorliegt.

Die Experten äußern sich in dem Schreiben zu sogenannten Schlüsselgenerierungs­diens­ten (SGD) sowie alternativen Versichertenidentitäten (al.vi) in der Tele­ma­tik­infra­struk­tur (TI). Würde das Authentifizierungsverfahren SGD überwunden, könne „sowohl auf die krypto­grafischen Mittel als auch die die Inhalte der Akte zuge­griffen werden“, warnt das BSI in dem Brief ans BMG. In Bezug auf al.vi stellt das BSI fest, dass die „starke Authenti­fizierung der eGK“ da­bei nicht mehr vorgesehen sei. „Die Gesamtsicherheit des Systems wird hierdurch deutlich verringert“, schreibt das BSI.

Anzeige

Im Ergebnis würden Sicherheitsleistungen der elektronischen Gesundheitskarte (eGK) mit entsprechend großen Freiheits­graden in die Implementierungsverantwortung der Her­steller verlagert. Auch werde die „exklusive Datenhoheit des Versicherten auf seine medi­zi­nischen Daten aufgelöst“. Die Behörde ruft das Ministerium dazu auf, „alle bekanntge­wordenen Mängel“ zu behe­ben.

Ein BSI-Sprecher erklärte dem zugleich, dass die Behörde eine SGD-Freigabe un­ter bestimmten Voraussetzungen erteilt habe. Ziel sei es, „ein dem Schutzniveau der Patien­ten­daten angemessenes Authentifizierungsverfahren zu implementieren, damit die elek­tro­ni­sche Patientenakte mit SGD hinreichend sicher betrieben werden kann. Dieses Ziel ist aus Sicht des BSI nicht gefährdet“, erklärte der BSI-Sprecher.

Datenschützer sehen juristisches Problem

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sieht in Bezug auf den SGD die gleichen Probleme wie das BSI, wie ein Schreiben an die gematik – Gesellschaft für Telematikanwen­dun­gen der Gesundheitskarte, das dem ebenfalls vorliegt, zeigt. Zu al.vi will sich der Datenschützer dem Schreiben zufolge später äußern.

Darüber hinaus macht der Datenschützer ein juristisches Problem aus. So könne mit dem neuen Verschlüsselungskonzept ohne eine rechtliche Klarstellung die Möglich­keit eröff­net werden, im Rahmen strafrechtlicher Ermittlungen ohne Wissen des Betroffe­nen Ge­sundheitsdaten zu erheben, da sich die elektronische Patientenakte nicht im Ge­wahrsam des zeugnisverweigerungsberechtigten Arztes befinde.

Wie ein Ministeriumssprecher dem sagte, habe die Sicherheit der Telematikinfra­struk­tur (TI) für das Ge­sund­heits­mi­nis­terium „oberste Priorität“. Deshalb fände regelmä­ßig ein enger Austausch zwischen dem BSI, der gematik und dem BMG statt. Das Schreiben des BMG habe zur Vorbe­rei­tung auf Entscheidungen der gematik zur Freigabe der Spezifika­tionen für zusätzliche Funktionen der elektronischen Patientenakte gedient, so der Sprecher.­

Im Kern gehe es dabei um das geplante alternative Authentifizierungsverfahren „al.vi“. Über dieses sollen Versicherte dem BMG zufolge auf eigenen Wunsch die Möglichkeit er­halten, ohne elektronische Gesundheitskarte mittels Smartphone auf die elektro­ni­sche Patientenakte zugreifen zu können. Die eGK und der Arztausweis fallen in dieser Variante als Ver- und Entschlüsselungsstufe weg.

„Das BSI weist in seinem Schreiben zurecht darauf hin, dass bei diesem alternativen Au­thentifizierungsverfahren al.vi der Sicherheitsanker der elektronischen Gesundheits­karte entfällt“, heißt es vom Ministerium. Den Versicherten, die über das Smartphone auf ihre ePA zugreifen wollten, trügen bei der Nutung von al.vi eine „erhöhte Verantwortung“. Ent­sprechend der Regelungen im Terminservice- und Versorgungsgesetz müssten die‎ Versi­cherten in die­sem Fall umfassend durch die Krankenkasse aufgeklärt werden und explizit der Nutzung des alternativen Authentifizierungsverfahrens zustimmen, erläuterte der BMG-Sprecher.

Es gelte aber „prinzipiell“, dass Versicherte, die mittels mobiler Geräte auf medizinische Daten zugreifen wollten, eine besondere Verantwortung tragen würden und elementare Sicher­heitshinweise beachten müssten. Eine Orientierung dafür böten beispielsweise die Hinweise des BSI für Bürger.

Der Sprecher des Ministeriums wies zugleich aber darauf hin, dass die Nutzung der ePA für alle Versicherten frei­willig ist und dass Versicherte neben „al.vi“ drei weitere Möglich­keiten erhalten sollen, um auf die elektronische Patientenakte (ePA) zugreifen zu können. So ist die Nutzung der ePA nur beim Arzt mittels eGK möglich. Darüber hinaus soll es einen Zugriff am heimischen PC oder Smartphone mittels eGK und Lesegerät geben. Zu­dem ist vorgesehen, dass es einen Zugriff am Smartphone mittels eGK über die NFC-Schnittstelle gibt.

© may/aerzteblatt.de

Themen:

Leserkommentare

E-Mail
Passwort

Registrieren

Um Artikel, Nachrichten oder Blogs kommentieren zu können, müssen Sie registriert sein. Sind sie bereits für den Newsletter oder den Stellenmarkt registriert, können Sie sich hier direkt anmelden.

Avatar #768337
7l7rb0cv0n1t
am Donnerstag, 2. Mai 2019, 18:36

Justiz-, sozial- und verwaltungsrechtliche Probleme sin auch in anderen Bereichen auszumachen

Die EU-DSGVO ermöglicht es, auch im sozialrechtlichen, im verwaltungsrechtlichen sowie sozialgerichtlichen Verfahren Gesundheitsdaten ohne Wissen der gesetzlich Versicherten zu "erheben", zu übermitteln usw., d.h. im umfassenden Sinne der DSGVO zu "verarbeiten", sofern es sich um jene Nutzergruppen handelt, die auf Sozialleistungen angewiesen sind (u.a. Alg2-Empfänger, Krankengeld-Empfänger usw.). Patientendaten (wie z. B. auch Sozialdaten siehe § 67 SGB X) sind laut EU-DSGVO auch "personenbezogene Daten". Sogenannte "Öffnungsklauseln" zu den Buchstaben c) und e) des Art. 6 der DSGVO wurden zu Ungunsten bestimmter Gruppen (Sozialleistungsempfänger im gesamten Bereich des SGB) geregelt. Die DSGVO-Reglungen gehen dem SGB und anderen Prozessverfahrensreglungen (hier wird noch entsprechend der DSGVO "nachgebessert") vor. Die Befungnisse der Landesdatenschutzbeauftragten und des Bundesbeauftragten für Datenschutz wurden hier nicht erweitert, sondern verringert. Die Betroffenenrechte erheblich eingeschränkt.
Noch verspricht der Sprecher des BMI, dass die Nutzung der ePa freiwillig sein wird. Ich traue diesem Versprechen nicht, es wird nicht dauerhaft für ALLE gesetzlich Versicherte aufrecht erhalten werden.
Avatar #768337
7l7rb0cv0n1t
am Donnerstag, 2. Mai 2019, 18:19

Justizprobleme sind auch in anderen Bereichen auszumachen

Die EU-DSGVO ermöglicht es, auch im sozialrechtlichen, im verwaltungsrechtlichen sowie sozialgerichtlichen Verfahren Gesundheitsdaten ohne Wissen der gesetzlich Versicherten "zu "erheben", zu übermitteln usw., d.h. im umfassenden Sinne der DSGVO zu "verarbeiten", sofern es sich um jene Nutzergruppen handelt, die auf Sozialleistungen angewiesen sind (u.a. Alg2,-Empfänger, Krankengeld-Empfänger usw.). Patientendaten (wie z. B. auch Sozialdaten siehe § 67 SGB X) sind laut EU-DSGVO auch "personenbezogene Daten". Sogenannte "Öffnungsklauseln" zu den Buchstaben c) und e) wurden zu Ungunsten bestimmter Gruppen (Sozialleistungsempfänger im gesamten Bereich des SGB) geregelt. Die DSGVO-Reglungen gehen dem SGB und anderen Prozessverfahrensreglungen (hier wird noch entsprechend der DSGVO "nachgebessert" vor. Die Befungnisse der Landesdatenschutzbeauftragten und des Bundesbeauftragten für Datenschutz wurden hier nicht erweitert, sondern verringert. Die Betroffenenrechte erheblich eingeschränkt.
Noch verspricht der Sprecher des BMI, dass die Nutzung dee ePa freiwillig sein wird. Ich traue diesem Versprechen nicht, es wird nicht dauerhaft aufrecht erhalten werden.

LNS

Nachrichten zum Thema

23. Mai 2019
Mainz – Rheinland-Pfalz will den Einsatz von telemedizinisch geschulten Mitarbeitern in Hausarztpraxen fördern. „Mit dem Projekt ‚Telemedizin-Assistenz‘ wollen wir die Versorgung der Patienten weiter
Rheinland-Pfalz will Telemedizin-Assistenz fördern
23. Mai 2019
Bochum – Lob und Kritik an dem Referentenentwurf des Gesetzes für eine verbesserte Versorgung durch Digitalisierung und Innovation (Digitale Versorgung Gesetz, DVG) hat das ZTG Zentrum für Telematik
Angedachte Honorarkürzung für Praxisinhaber ohne TI stößt auf Kritik
22. Mai 2019
Berlin – Die digitale Gesundheit ist kein Produkt „made in Germany“. Das hat Roland Eils, Experte für biomedizinische Informatik, Genomik und personalisierte Medizin, bei der Eröffnung des
Datenschätze sollten für Versorgung und Forschung nutzbar sein
22. Mai 2019
München – Die Tele­ma­tik­infra­struk­tur (TI) hat bei den Ärzten in Bayern einen schweren Stand. Das zeigt eine aktuelle Umfrage des Bayerischen Facharztverbandes (BFAV) unter 17.000 niedergelassenen
Viele Ärzte in Bayern verweigern sich der Tele­ma­tik­infra­struk­tur
21. Mai 2019
Berlin – Die elektronische Patientenakte (ePA), die von 2021 an für jeden Patienten in Deutschland zur Verfügung stehen soll, wird zunächst eine entscheidende technische Einschränkung haben. Anders
Elektronische Patientenakte soll zunächst mit eingeschränkten Patientenrechten kommen
21. Mai 2019
Berlin – Die Arbeitsgruppe Digitalisierung und E-Health der Gesellschaft für Versicherungswissenschaft und Gestaltung (GVG) hat in einem neuem Positionspapier umrissen, wie digitale Innovationen in
Zur Bewertung digitaler Medizinprodukte sind schnellere Verfahren nötig
21. Mai 2019
Frankfurt – Die Ver­tre­ter­ver­samm­lung der Kassenärztlichen Vereinigung (KV) Hessen hat darauf hingewiesen, dass durch die Anbindung an die Tele­ma­tik­infra­struk­tur (TI) häufig Folgekosten entstehen, die
VG WortLNS

Fachgebiet

Anzeige

Weitere...

Aktuelle Kommentare

Archiv

NEWSLETTER