Gesundheitsminister Lauterbach hatte zur Einführung der elektronischen Patientenakte versichert, dass diese sicher sei. Nun ist es Hackern offenbar gelungen, auch die verbesserten Schutzvorkehrungen auszuhebeln.
Ich seh einige Probleme, vor allem da Sicherheit (Security) und Bedienbarkeit leider stark im Konflikt stehen.
Als relativer Laie würde ich als Design einen Hardware-Schlüssel in alle Krankenkarten packen, mit dem die jeweilige EPA verschlüsselt ist. Zugriff auf die verschlüsselte EPA erhalten Arztpraxen überhaupt erst durch das existierende Verifizierungsgedöns mit dem auch Abrechnungen gemacht werden.
Problem hierbei ist, dass ein Programmierer aber keine Hardware-Entscheidungen treffen kann. Wenn also die Grundbedingungen Schrott sind, kann man höchstens so viel Schaden begrenzen. Wenn also im Ausschreiben vom Bund drinsteht, dass haufenweise Akteure leicht massenhaft Zugriff haben sollen (privatwirtschaftliche Forschung und so) kannst du nicht viel machen.
Du hast dann das Problem, dass Leute Karten verlieren und auch sonst mal neue Karten brauchen. Was machst du wenn jemand die Krankenkasse wechselt, usw.
Bei Verlust der Karte gleich alle Patientendaten zu verlieren wäre eine deutliche Verschlechterung zu jetzt. Im Moment kannst du deine medizinischen Daten noch manuell von deinen behandelnden Ärzten zusammentragen. Ginge bei Verschlüsselung mit Hardwareschlüssel bei Verlust des Schlüssels nicht mehr.
Daran hab ich auch gedacht, dies ließe sich durch eine zentrale Speicherung der Schlüssel beheben. Im Falle des Verlusts der Karte bzw. bei Wechsel der Krankenkasse - und nur dann - darf der jeweilige Schlüssel von der Datenbank gelesen werden.
So etwas sicher zu gestalten ist nicht sonderlich schwer, da der Zugang ausschließlich einer einzigen Partei - der Krankenkasse - ermöglicht werden muss. Somit kann man sämtliche Hardware, Software und Mitarbeiter kontrollieren und sicher aufsetzen. Z.B. könnte man die Server in einem Intranet der jeweiligen Krankenkasse aufstellen und den Zugang lediglich bestimmten, direkt verbundenen PCs erlauben. Selbst die größten deutschen Krankenkassen hätten nur eine handvoll Zugriffe pro Tag auf die Server; dies lässt sich sehr leicht absichern und überwachen.
Funktioniert dann im Notfall auch nicht ohne die Karte? Wenn ich ohne Versichertenkarte im Autounfall lande wäre es ja trotzdem schön, wenn man meine Medikamente und Allergien kennt.
Da muss dann ein gutes Audit System für spontane Zugriffe her, aber möglich müssen sie sein.
Naja, völlig naiv gedacht sollte Notfall Zugang möglich sein. Entweder zugänglich für jedes medizinische Personal, wird dann groß mit Zeitstempel in der Akte vermerkt und der/die Betroffene wird nochmals separat informiert, oder per extra Zugang den Leute im Rettungsdienst und Notaufnahme bekommen.
Ich seh einige Probleme, vor allem da Sicherheit (Security) und Bedienbarkeit leider stark im Konflikt stehen.
Als relativer Laie würde ich als Design einen Hardware-Schlüssel in alle Krankenkarten packen, mit dem die jeweilige EPA verschlüsselt ist. Zugriff auf die verschlüsselte EPA erhalten Arztpraxen überhaupt erst durch das existierende Verifizierungsgedöns mit dem auch Abrechnungen gemacht werden.
Problem hierbei ist, dass ein Programmierer aber keine Hardware-Entscheidungen treffen kann. Wenn also die Grundbedingungen Schrott sind, kann man höchstens so viel Schaden begrenzen. Wenn also im Ausschreiben vom Bund drinsteht, dass haufenweise Akteure leicht massenhaft Zugriff haben sollen (privatwirtschaftliche Forschung und so) kannst du nicht viel machen.
Du hast dann das Problem, dass Leute Karten verlieren und auch sonst mal neue Karten brauchen. Was machst du wenn jemand die Krankenkasse wechselt, usw.
Bei Verlust der Karte gleich alle Patientendaten zu verlieren wäre eine deutliche Verschlechterung zu jetzt. Im Moment kannst du deine medizinischen Daten noch manuell von deinen behandelnden Ärzten zusammentragen. Ginge bei Verschlüsselung mit Hardwareschlüssel bei Verlust des Schlüssels nicht mehr.
Daran hab ich auch gedacht, dies ließe sich durch eine zentrale Speicherung der Schlüssel beheben. Im Falle des Verlusts der Karte bzw. bei Wechsel der Krankenkasse - und nur dann - darf der jeweilige Schlüssel von der Datenbank gelesen werden.
So etwas sicher zu gestalten ist nicht sonderlich schwer, da der Zugang ausschließlich einer einzigen Partei - der Krankenkasse - ermöglicht werden muss. Somit kann man sämtliche Hardware, Software und Mitarbeiter kontrollieren und sicher aufsetzen. Z.B. könnte man die Server in einem Intranet der jeweiligen Krankenkasse aufstellen und den Zugang lediglich bestimmten, direkt verbundenen PCs erlauben. Selbst die größten deutschen Krankenkassen hätten nur eine handvoll Zugriffe pro Tag auf die Server; dies lässt sich sehr leicht absichern und überwachen.
Schlechte Idee. Es braucht eine ordentliche PKI mit signierten Zertifikaten usw. Lies dich da mal ordentlich ein.
Wenn man Schlüssel aus irgendeinem Grund zentral speichern will für Notfälle, dann gehört das ausgedruckt in einen Tresor.
Funktioniert dann im Notfall auch nicht ohne die Karte? Wenn ich ohne Versichertenkarte im Autounfall lande wäre es ja trotzdem schön, wenn man meine Medikamente und Allergien kennt. Da muss dann ein gutes Audit System für spontane Zugriffe her, aber möglich müssen sie sein.
Naja, völlig naiv gedacht sollte Notfall Zugang möglich sein. Entweder zugänglich für jedes medizinische Personal, wird dann groß mit Zeitstempel in der Akte vermerkt und der/die Betroffene wird nochmals separat informiert, oder per extra Zugang den Leute im Rettungsdienst und Notaufnahme bekommen.