Gematik: Alles nach Plan bei der elektronischen Gesundheit?

Adinfinitumfr/ Januar 22, 2015/ alle Beiträge, Telematik-Infrastruktur/ 3 comments

Am 20. 1. 2014 veröffentlichte die Gematik eine Pressemitteilung, die den Eindruck erweckt, als ob bei der Entwicklung des Netzes für die elektronische Gesundheitskarte alles in bester Ordnung und voll im Plan ist.

Diese mutet angesichts von Verwerfungen im Projekt zumindest seltsam an:

Projektmittel werden von den Krankenkassen gesperrt
Wichtige Fachleute verlassen das Projekt

Es wird verkündet, dass ein „Durchstichtest“ für VSDM (Versicherten-Stammdaten-Management), die erste erweiterte Anwendung der eGK, erfolgreich abgeschlossen wurde. Für einen IT-Fachmann liest sich der Text, als ob hier lediglich die Funktion erprobt wurde, aber noch nichts in Bezug auf die Sicherheit gesagt werden kann. Sicherheit findet lediglich in der Weise Erwähnung, dass im Dezember die Zulassung als CVC-Root erfolgte. Der Text erweckt zum einen den Eindruck, als ob diese zusammenhanglos neben dem gefeierten Durchstich der ersten Fachanwendung für die eGK steht. Es steht also zu vermuten, dass hier noch lose Enden verknüpft werden müssen und es ist fragwürdig, ob dies bis zu geplanten Erprobung im Herbst gelingen kann. Ferner ist es fragwürdig, ob das Konzept einer zentralen Organisation, der man vertrauen muss, überhaupt noch für relevante kryptographische Anwendungen als tragfähig angesehen werden kann. Hier sei an das Diginotar-Desaster von 2011 erinnert, wo eben eine solche zentrale Vertrauensstelle unterlaufen wurde.

Ebenso wird in der Pressemitteilung versucht, gute Stimmung zu machen, indem auf die wissenschaftliche Begleitung durch die Friedrich-Alexander-Universität Erlangen-Nürnberg verwiesen wird. Die Unabhängigkeit dieser Institution kann in Frage gestellt werden.
Es stellt sich auch die Frage, warum die Sicherheitsforscher Sunyaev, Krcmar und Huber nicht mehr mit an Bord sind, die in den Jahren 2008 und 2010 projektbegleitende Sicherheitsstudien publizierten. Waren diese Experten womöglich zu kritisch, so das jetzt andere Experten „berücksichtigt“ werden (wie es im Referentenentwurf für das eHealth-Gesetz im § 291e(5) so schön heißt: „Bei der Auswahl der Experten sind … Vertreter wissenschaftlicher Einrichtungen zu berücksichtigen“).

Erstaunlich ist, dass die Veröffentlichung des Referentenentwurf für das eHealth-Gesetz ausreichend war, um den Geldhahn der Krankenkassen wieder aufzudrehen, wo diese doch gefordert hatten, dass die Gematik zum einen einen belastbaren Zeitplan vorlegt und zum anderen ihren Geschäftsführer Elmer gehen läßt, dem zumindest eine gewisse Nähe zu Lobbyisten aus der Gesundheitsbranche wie z.B. dem Geschäftsführer Cordes der Cerner AG attestiert werden kann. Zumindest in dieser Pressemitteilung ist von der Erfüllung dieser Bedingungen nichts zu erkennen. Die Absicht, VSDM im Herbst zu erproben, war schon vorher bekannt und die nächste Anwendung, die deutlich kritischere Kommunikation zwischen den Heilberuflern (KOM-LE) soll sich „der Erprobung VSDM anschließen“. Ein belastbarer Zeitplan sieht anders aus.

Quellen:

Pressemitteilung der Gematik: http://www.krankenkassen-direkt.de/news/mitteilung/gematik-Aktueller-Stand-der-Einfuehrung-der-Telematikinfrastruktur-und-erster-Anwendungen-845432.html
Diginotar-Hack: https://netzpolitik.org/2011/folgen-konsequenzen-des-diginotar-hacks/
„Technische Sicherheitsanalyse der elektronischen Gesundheitskarte“: http://www.winfobase.de/lehrstuhl/publikat.nsf/intern01/98B989EC04A0B8B9C12574200023D73C/$FILE/08-10.pdf

3 Comments

  1. Sehr geehrter Herr [Name gelöscht],
    http://www.golem.de/news/barmer-gek-wie-ein-nutzerkonto-bei-der-krankenkasse-gekapert-wird-1406-107512
    ich klage bereits mit erfolg, ich habe 47 Cracking und Hackingversuche belegt zu dem nimmt man einen n50(vorsicht die großen haben 1,4 bzw 800kg kraft) Magneten und man kan die Karte ohne probleme verändern bearbeiten oder gar wieder neu geboren zu sein. Die akte beim Arzt wird upgedatet und zurückgesetzt alles ausprobiert und belegt. Jede Kasse wurde ausgetrickst ähnlich wie im oberen link. Heise wird das mit dem Magneten abdrucken alles was raufgeschrieben wurde wird gelöscht aber der stammsatz bleibt erhalten“geht auch gut für video überwachung und rfid.
    Google hat eine robot.txt bei egk auch viele andere seiten!
    sehr informativ: https://www.youtube.com/watch?v=vVivA0eoNGM&list=PLBXmeocYXDfBPHrvmak97BrstUYTvBfFG&index=10
    https://www.youtube.com/watch?v=Vp03vyNspyI&index=12&list=PLBXmeocYXDfBPHrvmak97BrstUYTvBfFG

    1. Vielen Dank für die Links.

      Die Videos sind aber auch ohne Googles Vorratsdatenspeicherung und Werbung im abrufbar (und auch einfacher im bevorzugten Format runterzuladen) beim Veranstalter:

      http://media.ccc.de/browse/congress/2014/31c3_-_6558_-_de_-_saal_g_-_201412282300_-_traue_keinem_scan_den_du_nicht_selbst_gefalscht_hast_-_david_kriesel.html#video

      http://media.ccc.de/browse/congress/2014/31c3_-_6450_-_de_-_saal_1_-_201412272030_-_ich_sehe_also_bin_ich_du_-_starbug.html#video

      In diesem Zusammenhang etwas über die Gründe, weshalb es besser ist, den Service des Veranstalters zu nutzen:

      https://events.ccc.de/2015/01/03/the-youtube-and-stream-dump-problem/

      Herzlichen Dank auch an die Betreiber dieses Blogs für die kontinuierliche und fundierte Arbeit an diesen wichtigen Themen. Es hilft ungemein – mir jedenfalls. :-)

    2. Danke für den Golem-Artikel! Besonders gefallen hat mit das Zitat „Der beschriebene Fall ist konstruiert und gewollt. In Wirklichkeit setzt ein unbefugter Zugang kriminelle Energie und eine entsprechende Handlung voraus.“ von Herrn Athanasios Drougias, das zeigt, wie hilflos die Verantwortlichen wirklich sind.

Leave a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*