 in diesem Block an Tag 3 des 36. Chaos-Communication-Kongress. Wir erfahren über 15 Jahre deutsche Telematikinfrastruktur. Irgendwann wurde die elektronische Gesundheitskarte eingeführt, mit Versprechungen und Plänen darauf nicht nur persönliche Daten zu speichern, sondern auch Rezepte, Diagnosen, möglicherweise sogar Dokumente. Wie viel davon tatsächlich heute umgesetzt wurde, wie sich die Technik in letzter Zeit entwickelt hat in den letzten Jahren, ob die vollmundigen Versprechen eingehalten wurden, ob die überhaupt eine gute Idee waren. Das wird uns jetzt Christoph erklären. Er ist Mitarbeiter an der FH Münster und wird uns einen Überblick geben über die Entwicklung der letzten Jahre der Technologie. Herzlich willkommen, Christoph. Ja, danke schön und willkommen hier. Jetzt zu der fortgeschrittenen Zeit möchte ich noch einmal kurz über die Telematikinfrastruktur reden. Wir hatten vor zwei Tagen schon einen kleinen Talk über die EPA. Was ich heute Abend machen möchte, ist ein bisschen über den technischen Spezifikationen zu reden. Das heißt, ich möchte einen kleinen Überblick ja euch geben. Das kann auch nur ein kleiner sein, weil wenn man hier sich anschaut, wenn man sich die Spezifikationen mal anschaut, dann schauen die runterladen auf dem Fachbottagematik.de. Findet man so ZIP-Dateien, das sind aktuell 97, das sind 8.000 PDF-Seiten. Dazu kommen noch 1, 2.000 Seiten Konzepte und Felddesdokument und Ähnliches. Das heißt, hier kann man wirklich nur jetzt einen kleinen Überblick geben. Und ich möchte anregen zu einer informierten Diskussion über die Telematikinfrastruktur, allerdings auch eine objektive und eine Faktenbasierte. Und ich werde da nochmal kurz darauf eingehen. Es gibt relativ viele Berichte aktuell in den Monaten, im letzten Jahr vor allem, über die EPA-Telematikinfrastruktur. Aber meines Erachtens war nicht alles immer so ganz korrekt vom technischen her, dass da halt einige Halbverheiten teilweise herumschwirren. Und da möchte ich hier so ein bisschen informieren heute. Das heißt, fangen wir an, die Telematinfrastruktur, woüber reden wir da eigentlich? Und hier sieht man es halt links, sind die IT-Systeme Heilberufler. Das ist quasi die Praxis, das Praxisnetzwerk. Meistens ist ja ein bestehendes Netzwerk. Viele Ärzte sind da schon vernetzt oder haben zumindest digitale Systeme. Und was kommt jetzt dazu durch die TI? Wir haben die Kartenterminals, damit die versicherten Karten gesteckt werden können. Wir haben dann auch noch verschiedene andere Karten, wie zum Beispiel den Heilberufsausweis. Und wir haben diesen Connector. Dieser Connector verbindet das bestehende Netz der Ärztin oder des Arztes über das Internet mit dem zentralen TI-Netzwerk. Das ist diese zentrale Zone. Dort finden wir verschiedene Dienste wie beispielsweise PKI-Dienste. Wir haben da eine eigene CA für die Telematinfrastruktur. Wir haben auch weitere zentrale Dienste wie beispielsweise ein Zeit-Server, DNS-Auflösung. Wir haben auch ein Verzeichnendienst, also sprich ein LDAP-Server. Und was man hier auch sieht, es ist kein transparentes Netz. Es ist ein bisschen abgeschottet noch. Es ist kein eines separatives Netz hier, sondern es ist trotzdem noch ein bisschen getrennt durch Sicherheitsmaßnahmen. Und dann haben wir die Providerzone. Das ist diese Zone, wo beispielsweise dann die Hersteller, wenn wir später über die elektronischen Patientenakte reden, dort wird sie gehostet werden. In dieser Zone kommen dann die Hersteller mit ihren Fachanwendungsdienste. Und ganz interessant ist noch, ganz rechts, da steht jetzt nur Bestandssystem. Das ist so, die Telematinfrastruktur ist nicht das Erste und auch nicht die einzige medizinische Vernetzung in Deutschland. Es gibt schon weitere Netze wie beispielsweise das sichere Netz der KVK. Das wird aktuell benutzt. Ich glaube seit 2015 ist es Pflicht, wenn die Vertragsärzte abrechnen. Das heißt, ihre Honorarforderung gelten machen. Dann rechnen Sie das durch dieses sichere Netz der KVK ab. Das geht beispielsweise durch einen VPN-Konnektor. Das heißt, viele Praxen haben heutzutage schon einen VPN-Konnektor und haben das schon jahrelang in ihrem Netzwerk drin stehen. Und was man sich überlegt hat für die ETI, nun wollen wir jetzt nicht verschiedene Konnektoren, verschiedene Zugänge machen. Deswegen koppeln wir die alle an die Telematinfrastruktur, dass wir nur noch einen Konnektor brauchen. Wir müssen mal auf die Akteure. Wenn wir mal gucken, wer macht überhaupt was, wo kommt die Telematinfrastruktur her? Da haben wir natürlich das Bundesministerium für Gesundheit. Das ist mir mit dem aktuellen Minister Jens Spahn. Seit dem Mai dieses Jahres ist das BMG auch Mehrheitsgesellschafter mit 51 Prozent an dieser Gematik GmbH. Gleichzeitig mit dem Gesetz zu diesen 51 Prozent wurde verabschiedelt, dass für Entscheidungen nur noch eine einfache Mehrheit nötig ist. Das war früher anders, da brauchte man mehr. Das heißt, früher mussten nicht wirklich alle KVK, alle Gesellschaften zusammensetzen. Man braucht dann gemeinsam Konsens. Das wurde geändert. Das heißt, jetzt kann das BMG, wenn es will, wirklich bei der Gematik ja quasi hart durchgreifen und Sachen voran pushen. Das hat man gemacht oder das hat, insbesondere Jens Spahn, wollte das ganze Telematinfrastruktur ein bisschen verschnellern und hat das dadurch gemacht. Die Gematik in der Mitte spezifiziert die Telematikinfrastruktur an sich, die Dienste, die Komponenten, die Fachanwendungen. Das macht sie nicht alleine. Das macht sie in enger Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik. Das BSI überprüft die Spezifikation nochmal oder schreibt auch technische Richtlinien. Das heißt, die Gematik handelt dann nicht alleine. Das sind wirklich auch noch die, das BSI macht damit. Die Gematik stellt allerdings keine Komponenten her. Sie betreibt auch keine Dienste oder Server. Das wird dann durch die Privatwirtschaft abgebildet. Und hier sehen wir zum Beispiel die großen Player, hier T-Systems, Arvato, Bertelsmann oder die CGM Groups sind dabei. Diese Hersteller betreiben die Dienste, Server oder auch produzieren die Konnektoren zum Beispiel. Dafür brauchen sie eine Zulassung. Für diese Zulassung brauchen sie eine Zertifizierung von BSI. Das BSI wiederum prüft allerdings auch nicht selber, sondern hat halt verschiedene Prüfstellen, wie zum Beispiel TÜV-IT. Und dafür gibt es diese Evaluierung, beispielsweise Kommenkriteria. Interessant zu erwähnen ist vielleicht noch, die Dienstleister können sich normalerweise die Prüfstellen aussuchen und müssen diese Prüfstellen nachher auch noch bezahlen. Das muss man bei der Kommenkriteria wissen. Es gibt also ein kleines Abhängigkeitsverhältnis zwischen den Prüfstellen und den Dienstleistern, um das ein bisschen gerade zurückzugeben. Es gibt halt die Auditierung und die Anerkennung des BSI. Und die Prüfstellen müssen nicht anerkennen lassen durch den Prüfungsprozess durch und sich auch wieder reevaluieren lassen. Kommen wir zu den Fachanwendungen. Das heißt, dass die Anwendungen, die später von Patienten und Ärzten benutzt werden sollen. Das Ding mit dem langen Wort nennt sich versicherten Stammdat-Management, kurz dann VSTM. Und was wir hier haben, ist eigentlich nur ein Online-Update der versicherten Daten. Das heißt, früher war es so, ich bin umgezogen, ich habe eine neue Adresse bekommen, ich habe der Krankenkasse gesagt, ich wohne jetzt woanders, ich brauche eine neue Karte. Dann habe ich eine neue Karte bekommen. Das soll wegfallen und zwar durch dieses Online-Update. Das heißt, ich sage der Krankenkasse Bescheid, ich kriege eine neue Adresse und gehe dann zum Arzt hin, steckt die Karte rein und mit diesem Einstecken der Karte mit einer Online-Verbindung aufgebaut zum Krankenkassen-Server Internet geschoben und auf der Karte aktualisiert. Bis jetzt, so nach 15 Jahren Entwicklung, ist das auch quasi die einzige produktive Anwendung in der TI, die wir so weit haben. Immerhin, immerhin. Das sagt sich auch, da haben wir jetzt so eine Anwendung, kann ich das mal ausprobieren, ich bin vor ein paar Monaten umgezogen, dachte mir, cool, kann ich mal gucken, was passiert. Ich habe meine Kasse geschickt hier, ich habe eine neue Adresse, ich brauche eine neue Karte, bzw. ich brauche ein Online-Update. Später hatte ich die neue Karte im Briefkasten. Also es wird aktuell noch gar nicht richtig benutzt, und zwar folgenderweise, und zwar aus folgendem Grund, es gibt noch nicht genug Praxen, die angeschlossen sind. Wir haben so in Deutschland 177.000 Arztpraxen, davon sind aktuell, glaube ich, angeschlossen so ungefähr 120, 122.000. Das heißt, die Kasse kann noch nicht sicher gehen, dass die Karte wirklich abgedatet wird. Daher wird es aktuell noch gar nicht benutzt, also zumindest noch nicht zum Update der Karte benutzt. Könnte dann wahrscheinlich nächstes Jahr irgendwann kommen. Aber jetzt haben wir natürlich hier diese personenbezogenen Daten, wir haben Stammdaten, wir haben auch ein, zwei kritischere Daten, wie spezielle Kennzeichnungen noch für disease management Programme, das heißt, wir haben auch teilweise medizinische Daten, das heißt, wir brauchen hier gute Sicherheit. Und jetzt gucken wir uns mal in der Spezifikation um, was haben wir da? Wie gesagt, mein Talk ist jetzt ein bisschen technischer, also die Spezifikation, die Prozess hat mich vor zwei Tagen, um es zu holen. Aber was haben wir bei der Technik? Und hier haben wir jetzt wirklich echtes Ende zu Ende. Das heißt, wir haben ganz rechts den Versicherungs-Server, VSDD hier in der Spezifikation. Und ganz links ist die Karte. Und in der Mitte haben wir das VPN, das ist dieser VPN-Konnektor im Internet, dann haben wir noch zwischen dem Kartenterminal und dem Krankenkassen-Server eine 1 zu 1-TLS-Verbindung. Und auch um das letzte Gap noch so zu schließen, zwischen dem Terminal und der EGK-Kartekarte, nutzt man dann jetzt hier das Secure-Messaging-Verfahren, das ist ein Verfahren auf dem ISO-Standard, auf dem ISO-Smartcard-Standard und ist in diesem Fall wirklich eine symmetrische Verschlüsselung mit AES und einem anschließenden MAC. Das heißt, hier haben wir wirklich echtes Ende zu Ende zwischen dem Krankenkassen-Server und der Karte. Das heißt, die Daten werden wirklich erst auf der Karte, auf dem Sicherheitschip entschlüsselt. Gucken wir uns die zweite Anwendung an, Kommunikation-Leistungserbringer, kurz COMLE. Und was wir hier haben, ist eine sichere E-Mail-Kommunikation zwischen den Leistungserbringern, also beispielsweise Erz- oder Protekern. Das Ganze basiert auf ZV-Karten. Das heißt, ich habe diesen Adressdienst, der ein LDAP-Server. Dort sind dann die Ärzte später, also nächstes Jahr irgendwann, der Feldtest startet bald. Haben wir diese registrierten E-Mail-Adressen, die Ärzte, samt ZV-Karten und Public Keys. Das heißt, als Arzt oder Proteker oder Psychotherapeut kann ich später einfach jeden Arzt suchen, den ich anschreiben möchte und ihm dann verschüsselt und signiert, die Daten zukommen zu lassen, also die E-Mail. Wenn man sich jetzt anschaut, PGP oder S-Mail, ist ein bisschen anders, weil hier hat man sich überlegt, okay, wir wollen den Betreff auf jeden Fall mit sichern und wir wollen auf jeden Fall moderne Kryptoen. Das heißt, wir wollen wirklich auch einen Meck dabei und deswegen hat man sich überlegt, man macht das Ganze nochmal ein bisschen anders, man nimmt den Betreff mit in die Krypto mit rein und nutzt auch ASG-CM. Wenn man sich jetzt erstmal nochmal in Erinnerung ruft oder PGP, dort haben wir halt kein G-CM und da haben wir dann meistens CBC mit einem Meck oder sowas Ähnliches bei PGP und wenn man sich jetzt noch einer zurückerinnert, E-Fail war ein großes Problem oder ist auch noch ein großes Problem, das haben wir hier gar nicht, das ist hier rausgenommen, weil wir halt eine andere Krypto haben. Im Genauen sieht es so aus, wir haben ja links den Client, das kann der Thunderbird sein oder Outlook oder auch das Praxisverwaltungssystem vom Arzt, wo er dann per Klick einfach Röntgenbilder verschicken kann beispielsweise und dann die Original-Rechte, die Original-Nachricht. Diese sehr schützenswerte Nachricht wird dann verpackt in eine neue Nachricht und die die Original-Nachricht, die dann, was hier, gekapselt wird, die wird verschlüsselt und signiert und zwar in der Praxis. Jetzt steht hier die zentrale Plattform, das ist der Connector, das heißt in der Praxis an sich wird das Ganze eingepackt und dann über den E-Mail-Server zum Arzt hingeschickt. Das ist eine Praxis und der Praxisempfänger zwischen dem einen Connector und dem anderen Connector. Dann kommen wir zu dem EPA, das ist die elektronische Patientenakte und das soll so das Meisterstück werden, das soll quasi die Killeranwendung in der TI werden. Was haben wir hier? Wir haben eine freiwillige Patientin geführte Akte und freiwillig heißt, es ist ein echtes Opt-in, als Patient muss ich zu meiner Versicherung hingehen und sagen, ich möchte die EPA haben, ich möchte ein Antragsformular haben und muss anschließend nochmal zum Arzt gehen und seine Karte stecken und das zu bestätigen. Und es ist Patienten geführt, das heißt der Patient muss dem Arzt explizit einwilligen, dass er da Zugriff hat. Es wird auch keine leere EPA erstellt oder ähnliches für die Patienten. Sie wird wirklich erst beim Arzt erstellt und der Zugangsschüssel auch erst beim Arzt quasi freigegeben für diesen einen Arzt. Das zeitlich limitiert, kann man sagen 7 Tage bis zu 18 Monate geht es und weil es Patienten geführt ist, kann er was schreiben, kann beispielsweise ein Krankheitstagebuch führen, er kann aber auch Sachen löschen. Das heißt, falls er mal den Psychotherapeutin Zugriff gegeben hat und er dort eine Diagnose reingestellt hat und man möchte jetzt ein Jahr später das Haus haben, kann der Patient das löschen. Das heißt natürlich auch, ein Arzt kann sich nicht darauf verlassen, dass wirklich alle Daten drin sind. Das muss man wissen, das ist ein Patientengeführte Akte. Das ist quasi wie heute, wo ich meine Auskünfte vom Arzt sammeln kann und das heißt, hier kann ich es halt digital speichern. Die Daten liegen dann bei den Patienten gewählten Dienstleister, also einer dieser privatwirtschaftlichen Hersteller, nicht auf der EGK, auch nicht bei der Krankenkasse und sie werden beim Arzt verschlüsselt oder im Handy. Jetzt haben wir ein Problem, wir haben gute Krypto. Was passiert denn, wenn der Schlüssel verloren geht? Die erste Idee war, man kann den Schlüssel erst speichern auf der EGK. Da ist er relativ fest, da kann man ihn nicht exportierbar markieren, das kriegen wir gut hin. Aber wenn die Karte verloren geht, was anscheinend relativ häufig passiert, dann haben wir das Problem, dass die EPA wertlos ist. Die Daten werden weg, das selbstgeschriebene Buch wäre weg und ich müsste zu allen jetzt wiederum und die Daten wieder sammeln, wenn ich diese EPA nutzen möchte. Jetzt kommt die Lösung, dieses Schlüsselbeer gehabt. Das haben wir vor zwei Tagen schon mal kurz gehört oder wer dabei war beim Talk. Der Akten-Schlüssel wird genauso hoch geladen wie die EPA. Da denkt man natürlich, okay, das klingt gefährlich. Deswegen hat man den Schlüssel nochmals verschlüsselt. Das sieht jetzt hier so aus. Das kann man am besten nochmal nachlesen. Die Spezifikation liest sich sehr gut. Das ist relativ gut erklärt. Aber im Grunde genommen geht es so, dass der Client, also beispielsweise die Handy-App, lädt sich dann vom Schlüsselgenerierung Dienst 1 ein Schlüssel und vom SGD 2 auch noch mal und verschlüsselt diesen Master Schlüssel. Da wird die EPA verschlüsselt und mit diesem Master Schlüssel der wird auch noch mal verschlüsselt und zwar zweimal mit Key 1 und 2. Zweimal, weil wir haben SGD 1 und 2, sind strikt getrennt, personell, juristisch, zwei Firmen, auch nicht der gleiche Konzern, auch nicht die gleiche Administratoren. Man möchte hier halt so ein bisschen eine Art Nordic Shaving oder Secret Shaving einführen, dass ich halt nicht ein Einzelangreifer quasi die EPA rausholen kann. Das heißt, das sieht dann so aus, wenn wir jetzt einen Angreifer haben, eine Autorisierung. Noch mal zurück, zwei Tage, wir haben bei der Autorisierung ein Problem. Technisch ist es aber so, ich bräuchte jetzt ein Keyback ab, ich bräuchte die verschlüsselte EPA und dann müsste ich halt die beiden Schlüssel vom SGD 1 und 2 mir irgendwie besorgen. Das heißt, hier hat man halt versucht, eine nutzbare Möglichkeit zu erschaffen vom EPA, dass auch falls der Schlüssel mal verloren geht, dass ich trotzdem noch rankommen, das ist so. Weitere Knackpunkt ist die App. Das heißt, der Patient soll ja über sein Smartphone, die die ganzen Sachen steuern können. Hier wird der Hersteller auditiert und zugelassen, wie wir es am Anfang gesehen haben mit einer Kommentarierüberprüfung. Allerdings, es wird nicht jedes Update neu zertifiziert. Ist der Hersteller einmal zertifiziert und zugelassen, kann er weitere Updates quasi in den Google Play Store reinpushen, ohne dass diese App gut getestet. Aber es wird nicht von einer unabhängigen Stelle überprüft. Das heißt, hier muss man mal nachher gucken in der Praxis, wie sieht das aus. Wir haben mal letztes Jahr gesehen, auf den 35 C3 Gesundheits-Apps sehen nicht immer ganz gut aus. Da bin ich mal gespannt, wie die Updates aussehen. Jetzt bin ich neben meiner Arbeit an der FH Münster. Wir treuen noch eine kleine Zahnarzt-Praxis IT-technisch mit. Das heißt, ich habe das ganz auch live gesehen. Es ist wirklich unverschlüsselt. Man arbeitet viel mit Faxen. Röntgenbilder werden meistens bei E-Mails verschickt und es ist oft unverschlüsselt. Seit der DSGVO einführen, da gab es relativ viele Diskussionen, was kann man machen. Da gibt es ein paar Empfehlungen teilweise von den Zahnärztekammern. Es ist ein Cryptfile oder Cryptshare. Die haben aber auch so ein paar Probleme. Bei Cryptfile ist die Usability nicht so toll. Bei Cryptshare habe ich das Problem, ich muss meine Daten im Klartext auf einem Server schicken, wie da außerhalb der Praxis. Das ist das Problem, dass die DSGVO auch mindestens bedenklich. Wenn man noch so Empfehlungen sich raus sucht aus dem Handbuch von Cryptfile, was sollen wir machen? Man muss ein Passwort wählen. Dann verschickt man die verschlüsselte Datei per E-Mail und soll eine zweite E-Mail hinterher schicken mit dem Klartext-Passwort. Dann kann man sie auch sparen. Dieses Sicherheitsmodell, dass der Angreifer nur eine E-Mail kriegt, ich weiß nicht, ob das so valide ist. Das ist das Handbuch. Dann sehe ich das Gerät innerhalb von einem Umkreis. Im Umkreis von 1 Meter darf keine Kamera sein. Kein Festnet-Telefon, auch kein Mobiltelefon. Das überlegt man sich jetzt. Später soll der Patient ja auch die Pin ein-tippen. Er muss aufpassen, dass das Smartphone mindestens 1 Meter weit weg ist und sich so ein bisschen verrenken, damit das wirklich im zugelassenen Betrieb läuft. Weiterhin darf ich natürlich nicht zu nah an einer Wand das Gerät aufstellen, weil dahinter könnte eine E-M-Sonde sein und die elektromagnetische Abstrahlung mit Rausfischen und durch den Seitenkanal an Griffen die Pinnen auskriegen. Dann betreibe ich das Gerät. Ich habe also meinen sicheren Standort gefunden und muss dann vorher mit Triebnahme, d.h. morgens und auch nach dem Mittagessen nochmal kurz mein Gerät überprüfen, d.h. in die Hand nehmen, schauen, ob es irgendwelche neuen Löcher drin sind ob der Angreifer in der Mittagspause das Gerät hat, ich muss die Siegel überprüfen. Das Gerät hat 3 Siegel. Wie geht das? Ich habe natürlich mir vorher alle Siegelnummern auf meine Liste geschrieben und kontrolliere die. Anschließend öffne ich dann meine Scheibgeschublade, hole meine UV-Schwarzdichtlampe raus und überprüfe die ganzen Siegel, ob ich diese Hologramme auch alle sehen kann. Ich habe mal ein bisschen rumgefragt. Ich habe einfach keinen Arzt gefunden, der das wirklich macht. Also in der Praxis wird das halt alles funktioniert so nicht. Aber ich habe auch noch viele Anforderungen. Die muss man alle natürlich gut beachten. Das ist allerdings leider natürlich realitätsfremd. Zur Erklärung, das Ganze kommt aus diesem kommendkriterial Schutzprofil. Hier haben wir die Stufe 5 bei dem Angriffspotenzial und das ist auch wirklich die höchste Stufe. D.h. hier haben wir ein Angreiferpotenzial irgendwo kurz unter Geheimdienst. Kann man sich überlegen, ob das wirklich der leichteste Angriff ist, ob ich mit der EM-Sonde durch die Wand 1 m weiter den Pinup fische oder jemand aus dem Praxist-Team, ob das nicht schneller geht, wahrscheinlich nämlich. Dann habe ich den VPN-Konnektor. Den muss ich mir auch in meiner Praxis stellen. Da gab es dieses Jahr auch viele Diskussionen über diesen Anschluss. Da gibt es sehr real. D.h. ich stecke den VPN-Konnektor zwischen meiner Praxis und dem Internetanschluss. Wenn ich Internet haben möchte, geht das auch noch. Über diese gestrichelte Linen habe ich so eingezeichnet. Das geht dann über den sicheren Internetzugang. D.h. der VPN-Zugangsanbieter bietet mir ein Internet an. Allerdings geht das dann durch den VPN-Dienst nochmal durch. D.h. wenn ich das so mache, habe ich meinen kompletten Internet-Traffic einmal durch, beispielsweise erwartet, ob er das nochmal durchgeroutet. Kann man machen, sollte man sich aber überlegen, ob man das wirklich machen möchte. Andere Möglichkeit ist, ich habe das parallele Installationsmodell. Ich habe meinen Praxis-Netzwerk, ganz normal wie immer Internet, und ich habe den VPN-Konnektor parallel angeschleift. D.h. die TI-Anfragen gehen durch den VPN-Konnektor, die normalen Anfragen als Internet gehen parallel. So, diese beiden Möglichkeiten gibt es im Grunde genommen. Der Anschluss selber läuft meistens durch den sogenannten Dienstleister vor Ort. Es gab einen vertraulichen Bericht dieses Jahr von der Gematik. Dort wurde gesagt, 90% der Praxen sind parallel angeschlossen. Wenn man das googelt, 90% Telematik, Gematik findet man gerne, 90% der Arztpraxen sind unsicher angeschlossen. Möchte ich auch kurz erwähnen, das ist automatisch unsicher. Wenn ich sowieso schon ein Netzwerk habe, was im Internet drin ist, ich habe eine gute Firewall, ich habe mir Gedanken gemacht, ich habe ein paar Dienste, ich habe ein E-Mail-Klein zum Beispiel, dann bin ich eventuell im Internet. Und dann möchte ich den Konnektor anschließen, dann würde ich es persönlich auch parallel machen. Ich möchte nicht mehr den kompletten Traffic einmal über Wato ruten, wenn ich eh schon Internet habe. Problem ist allerdings, wenn man das Internet bekommt und der wird meistens pauschal bezahlt, das heißt, er möchte schnell wieder raus aus der Praxis, der wird sich nicht viele Gedanken machen, der stirbt sich das Gerät parallel ein und verschwindet wieder. Und was bleibt ist, dieses Netzwerk, was nie im Internet war, plötzlich jetzt im Internet drin ist. Das heißt, das ist wirklich problematisch. Aber diese 90% sind nicht per se unsicher. Aber was passiert denn, wenn der DVO da ist? Nun, der hat ein Technikerhandbuch, das erste oder das elfte, was er macht, ist dann halt TLS und Ausentifizierung ausschalten, weil das macht ja nur Probleme. Da steht halt so live in diesem vertraulichen Technikerhandbuch drin. Das ist aber nur zur Lahnseite. Aber trotzdem immerhin, warum macht man es pauschal aus? Wenn es drin steht, wird es der Techniker machen. Anschließend, es gibt noch so einen akustischen Pinschutz, das ist auch wieder hier so geheimdiensteniveau, das Gerät rauscht wie Hulle, wenn ich es anmache, wenn ich eine Pin ein-tippen muss. Das wird erst mal ausgemacht und ich würde sagen, ich habe keine Ahnung, was machst du da? Mach doch einfach. Das ist ja ganz schön laut, mach's aus. Guck mir wieder ins Handbuch, ja, das darf ich gar nicht machen. Ich arbeite dann gegen die Spezifikation. Ja, dann noch kurz ein, zwei Punkte zu der TI-Neröffentlichkeit. Dieses Jahr war die Telematik-Infrastruktur relativ häufig dort. Was haben wir gesehen? Zum Beispiel haben wir diesen ZDF-Zoombeitrag gesehen. Was dort passiert ist oder was dort gemacht wurde, das war ein Szenario. Da war dann Trojaner auf dem Praxissystem und dann wurde gezeigt, wenn der Trojaner auf dem Praxissystem ist, dann kann ich die Stammdaten von der elektronischen Gesundheitskarte mitlesen. Da frage ich mich aber, wenn ich ein Trojaner auf dem Rechner habe, habe ich doch sowieso eigentlich Zugriff auf das Praxisverwaltungssystem und dann sind die paar Stammdaten nicht mehr so richtig relevant meiner Meinung nach. Und vor allem, anschließend wurde noch behauptet, ab 2021 wären auch noch alle Befunde, auch die EGK-Karte drauf. Und auch das ist nicht ganz richtig. Was ich hiermit nur ausdrücken möchte ist, wir sollten eine faktmasierte Diskussion haben und wir sollten das diskutieren. Wir haben Probleme gefunden oder es wurden Probleme aufgedeckt. Keine Frage, aber es sollte ein bisschen korrekter laufen. Andere Sache ist auch, ich habe auch schon gesagt, es gibt weitere Vernetzungsprojekte. Hier ist der Medibund, jetzt habe ich genannt. Die haben auch eine Klage am Laufen mit Teilung und Interviews gegen die TI und sagen, vieles ist unsicher und sprechen sich auch explizit gegen diese zentrale Datenspeicherung aus. Das heißt, diese EPA, dass das bei einem Dienstleister ist, man sollte zentrale Datenspeicherung nicht machen, sagen Sie. Jetzt hat der Mediverbund, es ist auch freiwillig, ich wünsche mir auch eine EPA, wo ich freiwillig das dezentral speichern könnte auf meinem Grad selber. Aber okay, der Mediverbund sagt, zentrale Datenspeicherung geht nicht, hat allerdings ein eigenes Haus Ärzte-Vernetzungsprogramm und sagt, wir speichern die Daten auch zentral. Hier möchte ich sagen, okay, das ist ein bisschen irreführend. Man kann nicht auf der einen Seite sagen, man darf es nicht machen zentral, auf der anderen Seite ist es aber selber machen. Das heißt, man muss auch immer gucken, wenn Kritik kommt, wo kommt die her, von welcher Seite. Vielleicht gibt es nur andere Beweggründe. Was ist jetzt mein Fazit und das muss wesentlich besser spezifiziert werden. Da gibt es Probleme. Das kann nicht sein, dass ein Techniker eine Stunde hinfährt und irgendwas reinstüpfelt und wegfährt und alles ist gut. Das funktioniert nicht, das haben wir gesehen. Das muss nachgebessert werden. Das Problem ist, wir haben jetzt schon 120.000 Praxen dran. Das heißt, wir hätten hier einmal die Superchunks gehabt, alle deutschen Praxen auf einen hohen Sicherheitsniveau zu heben. Wir hätten was Verpflichtendes machen können, und das haben wir leider verpasst. Es gab irgendwelche Techniker, die haben dann zehn Stunden Schulung bekommen. Ich habe gehört, teilweise waren die Schulungen auch mehr eine Verkaufsschuhe anstatt der Schulung. Da stehen wir nun mit teilweise schlecht angeschlossenen Praxen oder zumindest, wo die IT Sicherheit verbessert hätte werden können. Was man auch machen muss, man muss die Ärzte mit besser reinholen, auch ins Boot. Die Spezifikation haben wir gesehen. Dieses Kartenterminal, das funktioniert in der Praxis nicht. Wer sowas ins Handbuch reinschreibt, funktioniert nicht, dass es irre führt. Und auch wenn man den Arzt mit ins Boot holt und den überzeugt, wird er auch die Patienten überzeugen. Da frage ich mich, warum man das so macht, warum man nicht besser mit den Ärzten, dass ihm wie abspricht. Persönlich würde ich mir Transparenz wünschen. Es gibt z.B. von der Gematik so ein Sicherheitsbericht, wer den gelesen hat und der mal reinschaut, der ist relativ dünn. Das sind, glaube ich, zehn PDF-Seiten. Dann kommt er noch ein bisschen in Presse und er ist ein bisschen, ja, es ist alles sicher. Wenn alles sicher ist, hätte ich gern z.B. die Pintest-Ergebnisse, die es gibt, die könnte man noch mal veröffentlichen. Als Schlussfahrt würde ich sagen, ihr hältst, dass das werden wir nicht aufhalten können, das wird digitaler werden, auch in der Arztpraxis. Niemand möchte mehr Röntgenmüller verschicken oder zumindest wäre leichter, wenn sie digital verschickt werden. Ich persönlich möchte es auch nicht, nicht überall aufhalten. Ich möchte es aber so sicher wie möglich machen. Wir sollten gucken, wie es stand der Technik, wie es stand der Prozesse. Passt das so? Was müssen wir verändern? Warum haben wir eine zentrale EPA? Kann man das nicht vielleicht noch freiwillig dezentral machen? Das heißt, wir sollten uns wirklich als Community uns die Sachen anschauen und so sicher wie möglich machen. Damit, vielen Dank. Dankeschön, Christoph. Jetzt haben wir viel erfahren über ein Thema, was uns alle im Alltag betrifft. Wir haben alle so eine Gesundheitskarte in der Tasche. Ich bin mir sicher, es gibt einige Fragen. Bitte, wer aus dem Auditorium eine Frage stellen möchte, stellt sich in den Saar-Mikrofonen an. Ich rufe die dann auf. In der Zwischenzeit werden wir unseren Signal-Engine nach einer Frage aus dem Internet befragen. Gibt es bei der TI eine Art Lawful Interception beziehungsweise kommen Sicherheitsbehörden an Patientendaten oder die EPA ran? Ich spreche immer nur über die aktuelle Spezifikation. Was in der Zukunft ist, weiß man natürlich nicht. Gesetze können sich ändern, keine Frage. Aber aktuell ist es nicht so. Die EPA, also ich denke, die Frage zählt auf die EPA ab, ist wirklich so spezifiziert, dass nur der Patient ran kann und nur der Patient die Freigaben erstellen kann. Auch diese Schlüssel-Generierungsdienste haben zertifizierte HSMs drin. Der Schlüssel ist nicht per SIE exportierbar. Er ist exportierbar, damit er gebackappt werden soll. Aber auch diese Schlüssel-Export ist auch noch mal gekoppelt mit einem Shamir-Sequit-Shaving-Schema. Das heißt, es ist nicht spezifiziert, dass es eine Lawful Interception gibt. Mikrofon 6, da hinten bitte. Was mir dabei immer nicht so ganz klar ist, wird nicht der Arzt, als allererstes in die Daten in sein internes Praxissystem übernehmen. Und wie ist das, wenn ich halt die Zustimmung zurücknehme später? Genau, wenn ich die Zustimmung erteile, kann der Arzt natürlich die Daten einsehen und kopieren. Wenn ich die allerdings später zurücknehme von der EPA, kann das sein, dass die Daten noch beim Arzt sind. Das muss man sich vorher bewusst machen, dass man die Daten wirklich freigibt und der Arzt sie kopieren kann. Selbstverständlich kann man auch aufgrund der DSGVO mit dem Arzt reden, dass er eventuell die Daten korrigieren kann oder korrigieren muss, wenn sie falsch sind. Aber ja, die Daten können kopiert werden. Dankeschön. Vielen Dank. Danke für den Talk. Eine Frage zu den VPN-Appliants, die bei jedem Arzt stehen sollten. Wie sieht das aus bezüglich Backups und Konfigurationsupdates und Firmenwareupdates? Wir hatten letztens den Fall bei der Telekom wo die ein paar Ports übersehen wurden. Gibt es da eine spitzige Fraktion vorgegeben? Ja. Was ist das mit der Telekom und der Konfigurationsverwaltung, oder wird das lokal von dem Dienstleister gemacht? Die Updates für die Geräte, wie dem Kartenlesegerett und dem Konnektor, können zentral eingespielt werden. Es ist nicht so, sie können nicht verpflichtend eingespielt werden. Die Gematik kann es nicht pushen und der Hersteller auch nicht. Man muss immer noch lokal vor Ort auf OK drücken. Das macht im Zweifel der Arzt selber ein Service-German-Verträge hat. Man kann die Daten allerdings auch aus der TI runterladen. Man kann das durchklicken auf der Konnektoroberfläche und die Updates kommen dann rein. Bei dem Konnektor ist es so, dass die Updates zertifiziert werden müssen. Ich hoffe, das beantwortet die Frage. Die nächste Frage vom Signal Angel, bitte. Mit Blick auf das IT-Nohau und der aktuell demografischen Situation, wie ist denn so die erwartete Nutzung der elektronischen Patientenakte? Gute Frage. Persönlich denke ich, dass es eher die Jüngeren nutzen werden. Ich weiß es. Ich kann es auch nur schätzen. Es gibt vorab Feldteststudien. Die habe ich jetzt aber nicht im Kopf die Zahlen, wie die vermutete Nutzung ist. Mikrofon 8, bitte. Danke für den Talk. Wie sieht es denn aus, wenn ich sagen würde, ich schreibe mir halt meine EPA-App selbst oder da gibt es ein Open Source Projekt. Das kompiliere ich mir und ich übernimm selbst Verantwortung dafür. Ist das vorgesehen? Muss ich mich dann zertifizieren lassen? Muss das Projekt sich irgendwie zertifizieren lassen? Das ist nicht vorgesehen, dass man es selber machen kann. Das ist nur durch die Herstellerzulassung, durch die Gematik und den BSI vorgesehen. Ich brauche halt diesen Zugang zur TI für die Nutzung. Das heißt, ich muss dann zur Gematik hingehen und die wollen dann natürlich die kommenden Kriterierüberprüfungen haben. Das wird auf jeden Fall aufwändig und das kostet jede Menge Geld. Es ist nicht vorgesehen, dass man Open Source Tools nutzen kann. Danke. Mikrofon 3, bitte. Vorhin war es so, folge ich mit besserer Krypto für E-Mail. Wer kann denn dir ein Arzt das verenden? Es ist aktuell nicht für den Patienten vorgesehen. Es ist wirklich nur eine Kommunikation Leistungserbringer. Das heißt, die Ärzte können untereinander zum Beispiel Arztbriefe auftauchen. Erzahnerspraxis sind häufig Röntgenbiller, die werden kurzfristig telefonisch angefordert, weil der Patient gerade als Notfall da ist oder Arzt gewechselt hat und dann in dem Fall können die Ärzte untereinander kommunizieren. Es ist nicht vorgesehen, mit den Patienten zu kommunizieren und willkommen erledigen. Mikrofon 1, bitte. Ich habe zwei Fragen. So wie ich das verstanden habe, ist das ja doch nicht für alle, sondern letztendlich für die gesetzlich versicherten. Das heißt, ich habe keine Möglichkeiten, privat versicherten Daten darüber zu schleifen. Die zweite Frage ist, was passiert, wenn ich aus irgendeinem Grund eine Verwechslung der Karte habe? Also, spricht der Klassiker irgendwie Oma im Demenzheim stürzt und kommt ins Krankenhaus, ist nicht befragbar und wird dort zugeordnet. Kriege ich dann irgendwo einen Riesendatenmischmarsch, der nachher keiner mehr auseinander klamüsern kann, weil er keinen Zugriffsrecht hat? Zur Frage 1, die privaten Kassen sind. Ich glaube, es war 2009 aus dem Projekt ausgestiegen. Am Anfang waren sie dabei. Es gibt so langsam wieder Anlehrungsversuche und es wird gesprochen darüber, dass die privaten wieder mit ans Board kommen. Das wird man sehen, wie es läuft. Aktuell ist es nicht spezifiziert oder vorgesehen. Technisch gesehen ist es definitiv machbar, diese Karten auszugeben für private. Ob das kommt, muss verhandelt werden. Zur 2. Frage. Wenn die Karte falsch zugeordnet wird und im Praxis-Erwaltungssystem die Karte gesteckt wird und das mit falschen Patienten verknüpft wird, dann kriegt ein Datenmischmarsch. Dann werden die Daten falsch zugeordnet. Also habe ich den Zugriff zu EPA, wenn ich die Freiheitsaufzug habe, kann ich dort natürlich auf vielhafte Berichte hochladen oder Berichte von anderen Leuten. Da gibt es niemanden, der das kontrolliert, ob das zusammenpasst. Genau, kann ich es zurückholen? Als Patient kann ich es auf jeden Fall löschen. Ja, der Patient kann das nicht. Er ist aus dem Pflegeheim. Es gibt auf jeden Fall noch eine Vertreter, aber wenn der Patient es nicht kann, er muss die Freigabe geben. Er muss erst mal aktiv darauf hingehen und sagen, der Arzt darf er zugreifen. Es gibt noch eine Vertreterregelung, dass ich im Vordernein sagen kann, Vertreter X, mein Sohn zum Beispiel, meine Tochter, darf darüber verwalten. Ob der Arzt jetzt seine eigenen Sachen wieder löschen darf, müsste ich nachgucken. Okay, danke. Wir haben noch 5 Minuten Zeit. Ich sehe 6 Leute an Mikrofonen. Fragen bitte etwas kürzer diesmal. Nummer 4 hier vorne. Vielen Dank für den Vortrag. Ich hätte gerne ein paar motivierende Worte, warum man das Ganze überhaupt weiterverfolgen soll. Vor 15 Jahren hat das als Berater schon mal mein Weg gekreuzt. Ich bin selber Patient, brauche regelmäßig irgendwelche teuren Medikamente und musste das neulich alles wieder analog, wie es in Berlin das Medikament brauchte und der Arzt in Hamburg wargekommen. Und wenn ich dann sehe, wer beteiligt ist seit 15 Jahren daran, dann ist das Ganze doch wirklich ein gigantisches Todespferd, was Milliarden verschlingt. Oder jetzt, von deiner Seite, vielleicht hast du noch mal ein paar motivierende Worte, wird dabei irgendwas Nützliches rauskommen oder wird es einfach vergammeln, das Todepferd? Also ja, es ist, je nach Schätzung zwischen 1,5 Milliarden und 3 Milliarden, hat es schon so verschlungen, das ist das 15-Jahre-Projekt. Das liegt unter anderem dadurch durch wechselhafte Anforderungen, durch eine blockierende Gesellschaftsversammlung bei der Gematik, aber auch durch die Politik. Ich glaube, es war unter Röslag, gab es so zwei Jahre quasi stoppte Entwicklung. Danach ist es wieder angefahren. Das verzögert sich dadurch natürlich auch. Ihr entsparen möcht es vorantreiben. Motivierende Worte. KomLE, wie gesagt, aktuelle Kommunikation und verzögerte E-Mails und verschiedene Insellösungen. Das ist so das Ding, worauf ich warte persönlich als Datenschutzbeauftragter, weil das klingt gut, klingt praktisch, EPA. Ich finde es gut, wenn die Patienten selber Einblick kriegen, ihre Daten und auch ein bisschen leichter, wer das mal probiert hat beim Arzt, sich so Sachen rauszugeben. Ich hatte da manchmal Probleme mit alle vollständigen Daten zu kriegen. Wenn das irgendwie spezifiziert ist, finde ich es gut. Es muss von mir aus nicht so eine EPA sein. Wie gesagt, die zentrale leichte Möglichkeiten werden auch möglich. Hauptsache, es passiert irgendwie. In den letzten Jahren, Monaten oder Jahren geht es aber schon schneller voran. Das ist meine Sichtweise. Und ich hoffe, jetzt fährt das Ganze so richtig los und hoffentlich auch so sicher wie möglich. Das heißt, da muss man auch definitiv daran arbeiten, wie wir gesehen haben. Dann noch eine Frage vom Signal Angel, bitte. Die Daten liegen also verschlüsselt bei privaten Anbietern. Wie viele Jahre ist die gute Krypto denn noch als gut anzusehen? Sind Leaks der verschlüsselten Daten auszuschließen, die später möglicherweise entschlüsselt werden können? Besteht nicht die Gefahr, dass mit zunehmender Rechenpower die Krypto in einigen Jahren geknackt werden kann? Das besteht immer. Also 100% Sicherheit gibt es natürlich nicht. Wir haben da aktuell AR256. Jetzt kann man drüber spekulieren, ob das irgendwann gebrochen wird oder nicht. Die EPA soll eine lebenslange Akte werden. Wir haben vorgesehen, dass die EPA regelmäßig umgeschüsselt wird. Mit diesem Verfahren kann man auch den Algorithmus wechseln. Das heißt, man könnte in einer folgende Spezifikation, wenn man sieht, okay, hier gibt es einige Angriffe auf AES, könnte man umswitchen auf ein Anbieterschlüsselverfahren. Das ist möglich. Das wird gerade gemacht. Das wird gerade von AESA auf ECC umgeschwitched. Klar, wenn es einen aktuellen Sicherheitsbreakthrough gibt beim AES, dann sind meine Daten natürlich dann lesbar. Wenn ich jetzt plötzlich durch einen neuartigen Angriff AES knacken kann, komme ich ran. Dann Mikrofon 3, bitte. Der Arzt hat ja die Verantwortung für die Daten, die bei ihm anfallen. Also im Grunde die Schweigepflicht. Wie bringe ich jetzt oder wie kann ein Arzt daran vertrauen, dass dieses System, in der Daten eingibt, auch sicher ist? Rechtlich ist es so, ich bin jetzt Karniorist, allerdings ist es ja so, dass der Patient die Freigabe machen muss. Das heißt, der Arzt kann sich darauf berufen, dass der Patient mir die Freigabe gemacht hat. Ich denke, von daher ist es rechtlich, dadurch sicher, aber ich bin jetzt Karniorist. Wie kann er sich darauf versichern? Das ist wie bei allen Sachen. Er kann sich natürlich nur die Spezifikation angucken oder den Betreuung beschenken. Er kann es schlecht überprüfen, muss er der Daten hingehen. Er tippt die Sachen da ein und dann werden die hochgeladen. Wie bei allen IT-Prozessen, was genau im Hintergrund steht, ist natürlich schwer nachzuprüfen von ihm persönlich. Dafür ist die Forschergemeine Zettifizierung zuständig, um das möglichst sicher zu machen. Mikrofon 7. Vielen Dank für den Vortrag und vielen Dank auch für das Aufzeigen der Fehlern im ZDF-Bericht. Meine Frage geht an dieses Technikerhandbuch, wo du gezeigt hast, dass der TLS ausgemacht werden soll. Von wem ist dieses Technikerhandbuch? Das ist ja weder von der Gamatec wahrscheinlich, noch vom Hersteller. Wahrscheinlich gibt es davon viele Varianten, wer hat das geschrieben und an wen richtet sich die Kritik? Das ist ein vertraulisches Technikerhandbuch. Ich habe es so bekommen von jemanden, ich möchte es lieber nicht sagen, es ist aber ein großer Hersteller, der halt auch Geräte vertreibt und der hat entsprechende DFOs und die DFOs arbeiten dann in seinem Namen oder für ihn, also als Subunternehmer und stellen das dann so ein, wie es im Technikerhandbuch im Zweifel steht. Also es ist ein großer Hersteller, der die Technikerhandbuch herausgebracht hat für seine eigenen Leute. Also was, eins von mehreren zusammen? Eins von mehreren, ja, ja, genau. Es gibt verschiedene Firmen, verschiedene Schulungen, verschiedene Technikerhandbüchern, eins von mehreren. Danke. Vielen Dank für Ihre Zeit um für diesen Vortrag. Es sind leider nicht alle dazu gekommen, Ihre Fragen zu stellen, kommt dann vielleicht nochmal nach hier nach vorne. Ansonsten danke ich für Ihre Aufmerksamkeit, danke, dass ihr gekommen seid und wir verabschieden Christoph mit noch mal mit einem Applaus zum Ende.