“The Electronic Patient Safety Narrative Is No Longer Stopping”

In February 2025, the electronic patient (ePA) was contacted for everyone, but its scope is not wider. In the last 74 million years of the collection of jewels you can find them.

Only once generated data is subject to risks. Aus Gesundheitsdaten lassen sich sensitive Informationen zu jeder einzelnen versicherten Person ableiten. If you leave the besonders behind, you will be able to read them – if Forschenden and Kriminellen gleichermaßen.

Das weiß also Bundesgesundheitsminister Karl Lauterbach (SPD). Mantraartig versichert er, dass die ePA sicher sei. “Der Datenschutz und die Datensicherheit waren uns zu jedem Zeitpunkt der Einführung das wichtigste Anliegen,” said the minister. And the president of the Bundesamtes für Sicherheit in der Informationtechnik (BSI), Claudia Plattner, told the EPA that she “so sicher wie nur irgend möglich”. “Unsere Leute sind da mit der Zahnbürste drübergegangen,” says Plattner.

Offenbar waren sie dabei nicht gründlich genug, wie die Sicherheitsexpert: chez Bianca Kastl et Martin Tschirsich au 38. Chaos Communication Congress à Hamburg. Kastl ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. and Kolumnistin bei netzpolitik.org. Tschirsich is a member of the Chaos Computer Club activity and a referee in the field of information security.

These are demonstrierten, if they are Dritte mit geringem Aufwand und gleich auf mehreren Wegen Zugang zu den en jeder beliebigen ePA Hinterlegten Gesundheitsdaten verschaffen können. The EPA Safety Center is intended for your safety – now, before the electropatientenakte bundesweit an den Start gehen soll.

L’ePA zu hacken, ist nicht schwer

The electronic patient is allowed to freely choose their variant from 2021. From 2025 it will be possible to obtain all available standard versions. Finally, the diagnosis, labor and other medical information are available.

Kastl and Tschirsich are gelungen, a gültige Heilberufs- and Praxisausweise sowie an Gesundheitskarten von dritten Personen zu gelangen. Möglich machen dies Mängel in the Ausgabeprozessen, bei den Kartenherausgeberportalen sowie in der Kartenhandhabung im Alltag. One of the EPA conferences took place in January and took place at the Chaos Communication Congress quasi Tradition.

The cards of the Versicherten and the Praxis cards of the Handels are subject to change, but also the dates of the ePA are correct. Stecken Patient:innen ihre elektronische Gesundheitskarte in das Leegerät einer Praxis, erhalten Ärzt:innen damit standardmäßig die Berechtigung, 90 Tage lang auf deren ePA zuzugreifen. Pharmacies, professional services and doctors in the business sector: they must meet the highest standards for the past three years.

Electronic cards with their name are stored and stored in a fast, classic version Weise gelangt: mit Anrufen bei den Krankenversicherung. Time: 10 to 20 minutes. A Missbrauch this card is now also available in the Vergangenheit, because the security standards are defined by you. Just search for all the details, you can freely find a valid ePA, a PIN – there is a bank card. This security service has fallen into the recommended version 3.0 of the ePA, auf der die “ePA für alle” beruht.

Praxiskarten “en masse”

Noch weiter gehen die Rechte, die Behandelnde mit Praxiskarten erhalten. Damit können sich Angreifende als Ärzt:innen ausgeben und so Zugriff auf die completten Daten von Arztpraxen erhalten – including aller Bearbeitungsrechte, die Behandelnde haben. A fully-compromised Praxiszugang ermögliche dabei den Zugriff auf durchschnittlich rund 1,000 Patient:innen-Akten.

Solche Praxiskarten könnten sich Angreifende “en masse” beschaffen, therefore Kastl and Tschirsich. Dafür müssen sich als Leistungserbringer ausgeben et als solche uneine Sicherheitslücke in der Datenbank uns Kartenherausgeberportals mittels SQL-Injektion ausnutzen. Der Angriff sei aus der Ferne durchführbar und zeitlich etwas aufwändiger, dit Tschirsich. “Corporate law on dates in the ePA is well completed. »

Fernzugriff auf jedede liebige ePA

Noch effektiver sei de Zugriff über den Versichertenstammdatenienst (VSDD). This message may be the genuine number of the electronic card – the integrated circuit card serial number (ICCSN) – unsigned and without a security box in the VSDD übermittelt wird. L’ICCSN reiche aus, um die Gesundheitsdaten beliebiger Versicherter einzusehen. The last time you handle it, it will be easy to handle. “Kleiner Fehler, große Wirkung”, therefore Tschirsich.

This Fehler is the gematian who is so long, like Kastl and Tschirsich, that he must have called on his specialties without knowing it. The gematik is based on the digital project “ePA for all” umzusetzen, independently of other defined standards.

Der Aufwand bei this Method must be größer aus. Please note that the connection to your Telematikinfrastruktur is limited. Die dafür erforderlichen Karten-Terminals gebe es allerdings bei kleinanzeigen.de gebraucht zu kaufen. Mitunter est la SMC-B-Karte gleich dazu, mit der sich Praxen et Betriebe innerhalb der Telematikinfrastruktur digital identifizieren können. Damit könnten Angreifende ohne Gesundheitskarte aus der Ferne auf jede liebige ePA zugreifen.

Verhallte Mahnungen des Bundesdatenschutzbeauftragten

Die Befürchtung, the ePA derart große Sicherheitslücken aufweist, gibt es bereits seit longem. Today in June, Ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber was warned, by the EPA, of the safety standards drawn up by experts. “Das wird sich noch als Fehler in der Vertrauensbildung herausstellen,” says Kelber. Konkret bezog er sich dabei auf die herabgestuften Sicherheitsstandards beim Zugriff auf die ePA pour tous.

Kelber must be in one state of mind within a building, but he is often inside the SPD-Fraktion Vorbehalte to create a second state of mind. Federal Environment Minister Lauterbach has decided to end his work with Kelber beim Thema ePA beyond the time difference. Möglicherweise war das auch ein Grund dafür, dass der Bundesgesundheitsminister die Mitspracherechte des Bundesdatenschutzbeauftragten grundsätzlich beschnitten hat.

Inzwischen Fordert Kelber, der Diplominformatiker und aktuell Professor für Datenethik an der Hochschule Rhein-Sieg-Kreis est, the last month-long ePA test phase over the course of half a year.

If it doesn’t change, it doesn’t change.

Then you will be able to check out more information about the IT-Scherheit and the privacy of the Versicherten gewarnt. The Unterzeichnenden Gehören among others the Verbraucherzentrale Bundesverband, the Deutsche Aidshilfe and the Chaos Computer Club. Sie mahnen, dass “the Sensibilität and Kritikalität der zugrunde liegenden Gesundheitsdaten… un sorgfältige Risikoabwägung in Aspekten der Datensicherheit et der Privatsphäre” are proposed.

And the Fraunhofer Institute for Security Information Technology (Fraunhofer SIT) gave proof of security in August under the Lupe genome. In a 90-page Gutachten identifiziert das Institut these gravelende Schwachstellen, die vor dem Start der ePA noch losesen werden müssten.

Guarantee for greater security and transparency

I want this to be possible, that means it’s fragile. “The EPA’s safety story doesn’t get any longer,” Kastl says at the end of Vortrags. The security service is not expected to start until the start of the ePA testing phase on January 15, 2025.

Zum Abschluss ihres mahnen Kastl und Tschirsich, the Leistungserbringer et Versicherte die Digital Patientenakte nur dann akzeptieren et nutzen werden, wenn die Sicherheit der ePA for alle ausreichend gewährleistet ist. The details do not appear to be correct if they are not verified.

The currency must be left, a eine ePA zu bauen, die tatsächlich für alle ist et deren Daten schützt. Dafür sei aber dreierlei erforderlich: Erstens müssten Sicherheitsrisiken unabhängig von außen bewertet werden. Two must take the risk of an EPA for all public and transparent, communicating and discreet services. And drittens müsse die elektronische Patientenakte über ihren gesamten Lebenszyklus hinweg als offener Entwicklungsprozess versstanden werden.

“Green digital infrastructures are not ready for use”, therefore Kastl and Tschirsich, “when the investment project is lbst selbst Vertrauen ermöglicht. » A big piece of these vertrauen is a good way to do this.