09.01.2022 Sicherheitslücke(n) in der ePA
Wer ist für Schäden in der ePA verantwortlich?
Vor 3 Wochen hatten wir noch gewarnt "Gegen Aktionismus bei der Digitalisierung im Gesundheitswesen" und darauf verwiesen, dass auch viele Ärzte große Probleme mit der Instalation der ständigen Updates bei den Softwarekomponenten zur elektronischen Patientenakte (ePA) haben.
Nun berichtet Heise über Untersuchungen der Zeitschrift ct. Diese zeigen, dass auch ein Jahr nach dem abgeblasenen theoretischen Start der ePA und 6 Monate nach dem Start des "Testlaufs" wenigstens in 2 Bundesländern immer noch alles drunten und drüber geht - und vor allem - gefundene Sicherheitslücken nicht fachgerecht geschlossen werden.
Die von der ct gefundene Sicherheitslücke geht so: Nach der Spezifikation der Gematik (PDF) sind die folgenden Dateitypen PDF, JPEG, PNG, TIFF, text/plain und text/rtf, XML, HL7-V3, PKCS7-mime und FHIR+XML als Inhalte der ePA erlaubt. Zip-Dateien sind verboten, weil sie jeden beliebigen Schadcode enthalten könnten.
Trotzdem gibt es Versionen der App, z.B. Android-Version 3.15.0, mit denen es möglich ist ZIP-Dateien in die ePA hochzuladen und auch aus der ePA wieder herauszuholen. Ob alle Updates der betroffenen Versionen diesen Fehler ausgemerzt haben, wird nicht geprüft.
Zwar müssen ePA-Apps von der Gematik zertifiziert werden, allerdings gilt das nicht für "Aktualisierungen mit unwesentlichen Änderungen". Die Gematik hatte lediglich die Produktversion 3.1.0 der TK-App zertifiziert und die von der ct beschriebene Lücke darin nicht gefunden.
Die Gematik besteht darauf, dass die Sicherheit in den Arztpraxen dadurch nicht gefährdet wird, da es Aufgabe der Ärzte sei, beim Download alle Dateien auf möglichen Schadcode zu prüfen.
Das haben sich die Ärzte sicher anders vorgestellt! Gesundheitsdaten sind hochsensibel und müssen geschützt sein!
Nach jetziger Rechtslage erhält nun ab 2022 Jede/r eine ePA und kann ihrer Verwendung widersprechen - einem ePezept kann man allerdings schon nicht mehr widersprechen, erst recht nicht, wenn man es aus gesundheitlichen Gründen gerade dringend braucht ...
Mehr dazu bei https://www.heise.de/news/c-t-deckt-auf-Sicherheitsluecke-in-elektronischer-Patientenakte-6304671.html
und alle unsere Artikel zur elektronischen Patientenakte (ePA) https://www.aktion-freiheitstattangst.org/cgi-bin/searchart.pl?suche=eGK+ePA&sel=meta
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7888-20220109-sicherheitsluecken-in-der-epa.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7888-20220109-sicherheitsluecken-in-der-epa.htm
Tags: #eGK #ePA #Hack #Arbeitnehmerdatenschutz #Upload #Lücke #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Freiwilligkeit #Zustimmung #Einwilligungserfordernis #elektronischenPatientenakte #Gesetzesänderung #Schadsoftware #Skandale #RFID #elektronischeGesundheitskarte #eHealth #Freiwilligkeit