Beiträge

Offener Brief „Fünf Schritte zu mehr Vertrauen in die ePA“​​​​​​​

Die AG KRITIS unterstützt den offenen Brief „Fünf Schritte zu mehr Vertrauen in die ePA“​​​​​​​.

Die jüngsten Einlassungen des Bundesministeriums zu Änderungen an der ePA, nachdem in einem Vortrag auf dem 38. Chaos Communication Congress Sicherheitslücken präsentiert wurden, erscheinen lediglich während der Testphase begrenzt tragfähig und bieten nur einen überschaubaren Sicherheitsgewinn. Es darf nicht sein, dass das Sicherheitsniveau der ePA vom Schutzgrad einzelner Arztpraxen abhängt.

Die Architektur der ePA muss der Realität Rechnung tragen, dass Arztpraxen weder über ausreichende Budgets noch über die notwendige Fachkompetenz verfügen, um IT-Sicherheit auf hohem Niveau zu gewährleisten. Eine patientenindividuelle Ende-zu-Ende-Verschlüsselung würde es hingegen ermöglichen, das Sicherheitsniveau der Arztpraxen und Leistungserbringer in der Risikoabschätzung geringer zu gewichten.

Besonders kritisch bewerten wir, dass ein „Sicherheitsgutachten“ des Fraunhofer SIT jegliche Angriffe durch Regierungsorganisationen explizit ausgeklammert hat. Ob solche Angriffe möglich sind, wurde daher nicht einmal geprüft. Dies offenbart ein alarmierendes Verständnis von Sicherheitsanforderungen und wirft zusätzliche Fragen zur Resilienz der ePA gegen gezielte Angriffe auf.

In der Stellungnahme der Gematik zum 38C3-Vortrag hieß es, auf die Daten der ePA zuzugreifen sei illegal und somit strafbar. Die IT-Sicherheit muss jedoch so robust sein, dass auch Akteure mit hoher krimineller Energie technisch effektiv daran gehindert werden, an Gesundheitsdaten zu gelangen.

Dass Angriffe von Regierungsorganisationen im Sicherheitsgutachten ausgeklammert wurden, ist nicht akzeptabel. Die Bundesregierung hat den Auftrag, Bürger auch vor fremden Geheimdiensten oder Regierungen zu schützen. In Zeiten hybrider Bedrohungen ist es unabdingbar, auch dieses Szenario zu berücksichtigen. Viele Bürger haben aus dienstlichen Gründen Kenntnis von Staatsgeheimnissen. Nur wenn auch deren Gesundheitsdaten ausreichend geschützt werden, können wir diese Bürger vor Erpressung bewahren.

Schlecht geschützte Gesundheitsdaten sind daher direkt ein Thema der nationalen Sicherheit. Es reicht nicht aus, lediglich Bundesminister und den Bundeskanzler von der ePA auszuklammern, denn Berufsgeheimnisse existieren in nahezu jeder Gehaltsstufe.

Da auch die weiteren Prüfsteine aus dem letzten offenen Brief „Vertrauen lässt sich nicht verordnen“ bislang nicht umgesetzt wurden, empfiehlt die AG KRITIS der Bundesregierung, das Projekt ePA zu stoppen, und rät den Bürgerinnen und Bürgern, der Nutzung der ePA zu widersprechen.

Foto von Chris Liverani auf Unsplash

offener Brief: Vertrauen lässt sich nicht verordnen

Die Gesetze zur Gesundheitsdatendigitalisierung, die diese Woche im Deutschen Bundestag verabschiedet werden sollen, sind äußerst kritisch. Diese sollen, im Schatten der großen Haushaltsdebatte kurz vor Weihnachten noch diese Woche verabschiedet werden.

Mit dem offenen Brief des Innovationsverbunds öffentliche Gesundheit wendet sich ein breites Bündnis der digitalen Zivilgesellschaft an die Öffentlichkeit und Politik, um dieses Vorhaben in letzter Minute konstruktiv aufzuhalten. Unter großer Eile und größerer Intransparenz versucht das Bundesministerium der Gesundheit zwei Gesetze – das Digitalisierungsgesetz (DigiG) und das Gesundheitsdatennutzungsgesetz – noch diese Woche durchs Parlament zu bringen.

Normalerweise fordert die AG KRITIS die Regulierung von kritischer Infrastruktur. Enge regulative Vorgaben, die auf die Ziele der Authentizität, Verfügbarkeit, Vertraulichkeit und Integrität der kritischen Infrastrukturen abzielen, sind der Weg um der Wirtschaft vorzugeben, welche Maßnahmen unumgänglich sind.

In diesem Fall bestand die Chance, eine Architektur zu schaffen, die von vornherein den vier Schutzzielen genügt – diese Chance hat das BMG leider nicht ergriffen. Die Entwürfe, die diese Woche im Deutschen Bundestag verabschiedet werden, entsprechen nicht dem Stand der Technik.

Die Prüfsteine, die im offenen Brief genannt werden sind unbedingt einzuhalten. Keiner davon ist verhandelbar – denn IT-Sicherheit ist wie eine Ingenieursleistung. Kein Politiker würde auf die Idee kommen, einen Kompromiss zur Traglast einer Brücke zu schließen, denn die Traglast wird von einem Ingenieur berechnet und festgelegt.

Ob ein Schutzniveau angemessen ist, muss von Experten auf wissenschaftliche Weise bewertet werden. Die staatlichen Stellen, die wir uns geschaffen haben, um solche Fragen verbindlich zu bewerten müssen nun nach diesem Gesetzesentwurf zu Fragen der elektronischen Patientenakte nicht mehr berücksichtigt werden.

Das BMG hat es versäumt, trotz mehrfacher Aufforderung aus Zivilgesellschaft und Politik, eine robuste Architektur in einem offenen Konsultationsprozess vorzulegen. Stattdessen wurde die Systemarchitektur unter Verschluss gehalten, mutmaßlich bis das Gesetz durch den Bundestag verabschiedet wurde. Die wenigen belastbaren Daten die es zur Systemarchitektur gibt, lassen nichts gutes vermuten. Das Konzept „confidential computing“ auf das sich der Gesundheitsminister bezieht, ist vage, nicht definiert und kein Ersatz für hochwertige, patientenindividuelle Verschlüsselung.

Wir unterstützen diese breite zivilgesellschaftliche Initiative, die im offenen Brief „Vertrauen lässt sich nicht verordnen“ ausgeführt werden. Die Erstunterzeichner dieses offenen Briefs sind in alphabetischer Reihenfolge:

  1. AG KRITIS
  2. Chaos Computer Club e. V.
  3. D64 – Zentrum für Digitalen Fortschritt e. V.
  4. Deutsche Aidshilfe e. V.
  5. Digitale Gesellschaft e. V.
  6. Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e. V.
  7. FrauenComputerZentrumBerlin e. V. (FCZB)
  8. Innovationsverbund Öffentliche Gesundheit (InÖG) e. V.
  9. Komitee für Grundrechte und Demokratie e. V.
  10. LAG Selbsthilfe von Menschen mit Behinderungen und chronischen Erkrankungen RLP e. V.
  11. LOAD e. V.
  12. Superrr Lab
  13. Topio e. V.
  14. Verbraucherzentrale Bundesverband e.V. (vzbv)

Wir fordern die Bundesregierung auf, das Gesetzesvorhaben zu stoppen. Der Text des öffentlichen Brief ist hier verlinkt:

 

Foto von Chris Liverani auf Unsplash