Rollout der aktuellen Gesundheitskarte stoppen. Ein Stopp nutzt Gegnern und Befürwortern.

Transkript

1 Rollout der aktuellen Gesundheitskarte stoppen. Ein Stopp nutzt Gegnern und Befürwortern. Die elektronische Gesundheitskarte (egk) soll stufenweise eingeführt werden, bis Ende 2011 ca. sieben Millionen Stück, politisch durch Sanktionsandrohungen erzwungen. Nach Presseberichten sollen bis Ende 2013 alle gesetzlich Versicherten mit der egk ausgestattet werden. Ein Stopp dieses Rollouts wendet materiellen und immateriellen Schaden von den Versicherten ab und verhindert einen Imageschaden für die elektronische Gesundheitskarte. Qualifizierte Sicherheitsbedenken werden von den Organen der Selbstverwaltung als Gesellschafter der für die Einführung zuständigen gematik GmbH ignoriert. Es existiert bisher keine laienverständliche Darstellung der Funktionsweise der elektronischen Gesundheitskarte; die im Laufe der letzten Jahre veröffentlichten Pressetexte geben ein in vielen Punkten falsches Bild der Funktionsweise von elektronischer Gesundheitskarte und Telematik- Infrastruktur wieder. Deshalb ist die Basis politischer Entscheidungen und die behauptete Zustimmung einer Mehrheit der Bevölkerung zu hinterfragen. 1. Die aktuelle elektronische Gesundheitskarte ist nachgewiesen in fast allen Funktionen unsicher. Die Verbreitung im großen Maßstab sollte verhindert werden um materiellen und immateriellen Schaden von den Versicherten und Imageschaden von der elektronischen Gesundheitskarte abzuwenden. 2. Die Bereitschaft zur Organspende darf nicht auf der Gesundheitskarte gespeichert werden. Diese Information ist -vom Karteninhaber ungewollt und unbemerkbar- auslesbar, je nach Implementierung auch manipulierbar. 3. Die aktuelle egk ist potentiell nicht für ein Online-Szenario geeignet. Diese Fakten sind spätestens seit ihrer Veröffentlichung am 03. Mai 2011 auf einer Informationsveranstaltung allen Stakeholdern im Gesundheitswesen bekannt, haben jedoch zu keiner von aussen erkennbaren Reaktion geführt. Die Grundlagen aktueller Aussagen des Bundesbeauftragten für Datenschutz und Informationssicherheit (BDfI) sowie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Sicherheit der egk -unter Berücksichtigung der in der Anlage dargestellten Erkenntnisse- sind mir nicht bekannt. Die Erkenntnisse und der Wahrheitsgehalt der in der Anlage getätigten Aussagen sind anhand von veröffentlichten Spezifikationen der gematik GmbH und der Bundesärztekammer überprüfbar. Sie waren meines Wissens zum Zeitpunkt der letzten Anhörung im Bundestag im Mai 2009 noch nicht bekannt. Selbst bei Berücksichtigung von kurzfristigen Interessen der Industrie wiegen die Datenschutzbedenken meines Erachtens schwerer. Im Anhang wird eine laienverständliche aber trotzdem differenzierte Darstellung des Themas und der Funktionsweise der egk gegeben. Sollten wider Erwarten einzelne meiner Aussagen von Experten widerlegt werden können oder sind andere Rückschlüsse möglich, wäre ich für eine Mitteilung dankbar, um ggf. meine Meinung revidieren zu können. Ralph Heydenbluth, Geißlerstr. 2, Bonn, Anlage -

2 Eingebettet in drei Thesen zur elektronischen Gesundheitskarte werden populäre Irrtümer über die egk aufgeklärt und die Funktionsweise der egk dem interessierten Laien erklärt. Grund für diese Initiative sind Presseberichte in den Medien und Pressemitteilungen der Bundesregierung, die die tatsächlichen Verhältnisse teilweise nicht richtig darstellen und somit falsche Rückschlüsse, Meinungen und Empfehlungen, möglicherweise auch Abstimmungsergebnisse im Bundestag induzieren. 1.) Die elektronische Gesundheitskarte ist unsicher. Irrtum: Daten werden verschlüsselt auf der egk gespeichert. Diese Aussage ist für alle praktischen Belange falsch! Das elektronische Rezept, das seit einer Spezifikationsmodifikation vom nicht mehr auf der egk gespeichert werden soll, war das einzige Datum, das kryptographisch verschlüsselt auf der egk abgelegt wurde. Seitdem werden nach Spezifikation praktisch keine Daten mehr kryptographisch verschlüsselt auf der egk abgelegt 1. Allerdings verfügt die egk über ein sehr feingranulares Berechtigungssystem zum lesenden Zugriff einerseits und zum schreibenden Zugriff andererseits. Somit kann man zum besseren Verständnis der tatsächlichen Verhältnisse von Datentresoren sprechen, die auf verschiedene Weise von verschiedenen Akteuren geöffnet werden können, wobei immer noch zwischen lesendem und schreibendem Zugriff unterschieden werden kann. Das bedeutet, dass nicht jeder, der ein Datum lesen kann es auch schreiben oder ändern könnte. Die Schlüssel für die Datentresore können unterschiedlicher Natur sein. Für manche Daten ist auch eine Kombination von Schlüsseln erforderlich 2. Die einzelnen Verfahren sind grundsätzlich und evaluiert sicher. Trotzdem existieren Möglichkeiten, die vorgenannten Sicherheitsmechanismen teilweise zu umgehen, z.b. wegen: Irrtum: Die egk gibt ihre Daten nur in Anwesenheit eines Heilberufsausweises frei. 1 EF.VD (Versicherungsdaten): XML-Klartext, gzip-komprimiert EF.PD (Patientendaten): XML-Klartext, gzip-komprimiert EF.GVD (Geschützte Versichertendaten): XML-Klartext, gzip-komprimiert EF.Notfalldaten: XML-Klartext, gzip-komprimiert, XML-signiert (EF.eVerordnung: XML, gzip-komprimiert, symmetrisch verschlüsselt, XML-signiert, erezept- Ticket: Binärdaten, Schlüssel für EF.eVerordnung (everordnung/erezept ist nicht mehr vorhanden)) 2 1. PIN.home: Diese sechsstellige, vom Versicherten frei wählbare PIN ist für den Gebrauch beispielsweise am heimischen PC gedacht. 2. PIN.CH (Cardholder): Diese sechsstellige, vom Versicherten frei wählbare PIN ist für den Gebrauch in der Arztpraxis, in der Apotheke, im Krankenhaus und am ekiosk/sb-terminal des Gesundheitswesens, etc. gedacht. Die PIN nach 1. und 2. dürfen -da frei wählbar- identisch sein. 3. Card-To-Card-Authentifizierung : Hierbei weist ein Heilberufsausweis oder eines seiner Derivate einen Heilberufler (mittels eines kryptografischen Public-Key-Verfahrens) gegenüber der egk als zum Datenzugriff berechtigt aus. Das Schlüsselmaterial hierfür ist auf jedem Heilberufsausweis vorhanden. 4. Symmetrisches Verschlüsselungsverfahren : Hierbei weisen Krankenkassen bzw. deren Vertreter (Hersteller, Personalisierer) ihre Berechtigung nach, im Wesentlichen die Vertragsstammdaten auf der egk zu ändern und bei Bedarf eine als abhanden gekommen gemeldete egk zu sperren. Das Schlüsselmaterial hierfür ist evaluiert sicher bei den Krankenkassen gespeichert und darf ausserhalb ihrer Rechenzentren nicht verfügbar sein. Zugriff auf medizinische Daten ist mit diesem Schlüssel nicht möglich. 5. Keine Sicherung: Einige Daten sind für jedermann lesbar, aber nicht schreibbar. Das ist gewollt und genehmigt und erlaubt den so genannten Basis-Rollout, bei dem in einer ersten Phase keine Heilberufsausweise erforderlich sind. Die Daten sind relativ unkritisch, im wesentlichen Namen und Adressdaten, aber auch die Versichertennummer und die Mitgliedschaft bei einer bestimmten Krankenkasse. 6. Absoluter Schutz : Einige Datenfelder sind nur bei der Herstellung/Personalisierung der Karte beschreibbar und hinterher größtenteils für niemanden mehr les- oder schreibbar. Beispielsweise kann Schlüsselmaterial nur vom Betriebssystem der Smartcard selber für kryptographische Berechnungen (Entschlüsselung, elektronische Signatur) genutzt werden.

3 Diese Aussage basiert auf dem Konzept, dass ein Patient in der Arztpraxis seine egk in ein Kartenterminal einführt und der Heilberufsausweis des Arztes im gleichen oder in einem in räumlicher Nähe befindlichen Kartenterminal steckt. Zwischen den beteiligten Smartcards wird, durch einen Computer oder einen Konnektor gesteuert, eine kryptographische Card-to-Card-Authentifizierung durchgeführt, bei der Informationen über die jeweilige Smartcard, kombiniert mit einer Zufallszahl und einer Signatur der Karte, zwischen egk und Heilberufsausweis ausgetauscht werden. Die empfangende Karte prüft diese Datenpakete mit auf ihr gespeichertem Schlüsselmaterial und wechselt ihren Sicherheitszustand: Der Schlüssel hat einen Tresor geöffnet. Der wesentliche Denkfehler besteht darin, dass die beteiligten Karten sich eben nicht in räumlicher Nähe befinden müssen: Die Operation der Card-To-Card-Authentifizierung ist nicht zeitkritisch, und da Datenpakete ausgetauscht werden, kann diese nicht nur an einem Computer, sondern auch zwischen mehreren Computern in einem lokalen Netz oder per Internet über tausende von Kilometern durchgeführt werden. Das zweite Problem ist das genutzte Schlüsselmaterial zum Öffnen der Tresore 3. Bei der Card-to-Card-Authentifizierung muss das Schlüsselmaterial für das verwendete Public-Key- Verfahren auf jedem Heilberufsausweis vorhanden sein. Jede egk ist mit jedem Heilberufsausweis zu öffnen, schließlich kann ein Patient nicht wissen, ob ein Arzt am Wohnort in Flensburg oder am Urlaubsort in München einmal auf Notfalldaten zugreifen muss, oder welche der vielen Apotheken am Wohn- oder Arbeitsort ein verordnetes Medikament vorrätig hat. Aus der Kombination 1. zwischen egk und Heilberufsausweis können tausende von Kilometern liegen 2. jede egk kann von jedem Heilberufsausweis geöffnet werden und 3. die Card-To-Card-Authentifizierung ist nicht zeitkritisch ergibt sich, dass mit einem einzigen Heilberufsausweis alle egks aller 70 Millionen Versicherten geöffnet werden können 4, wenn dieser per Internet erreichbar ist 5. Pikantes und potentiell kostspieliges Detail: Während ein Heilberufsausweis für fast alle seine Funktionen gesperrt werden kann (Einloggen bei zentralen Diensten, qualifizierte elektronische Signatur, begrenzt auch Verschlüsselung), gilt das nicht für das Schlüsselmaterial, das bei der Card- To-Card-Authentifizierung genutzt wird; dieses Schlüsselmaterial kann nicht gesperrt werden! Solange ein Heilberufsausweis im Internet ist, ist er auch für Card-To-Card-Authentifizierung gültig. Er würde erst nutzlos, wenn alle 70 Millionen egks ausgetauscht würden, und alle dazu 3 Ein Kartenherausgeber gibt viele egk heraus und benutzt hierfür ein Verschlüsselungsverfahren nach 4. (siehe oben). Im Umkehrschluss ergibt sich hieraus, dass für jede egk bei Zugriffen mit Krankenkassenberechtigung nur genau ein (symmetrischer) Schlüssel existiert, der bei der Krankenkasse sicher deponiert ist (1:n Beziehung, gerichtete Kommunikation) Für den Einsatz im medizinsichen Alltag besteht zwichen egks und Heilberufswausweisen eine m:n Beziehung (ungerichtete Kommunikation). Hierfür wird ein anderer Typ von Schlüsselmaterial genutzt. 4 Ein Heilberufsausweis schafft nur einige hundert Öffnungen pro Stunde, jeder zusätzliche Praxisausweis würde die Kapazität steigern. 5 Formal konnte dieser Denkfehler unentdeckt bleiben, da in den Sicherheitskonzepten davon ausgegangen wurde, dass alle Heilberufsausweisinhaber verantwortungsvoll mit dem ihnen überlassenen Schlüsselmaterial umgehen würden. Ausserdem wäre ein Heilberufsausweis auch anhand der im Rahmen der Card-To-Card-Authentifizierung übertragenen Seriennummer des Heilberufsausweises identifizierbar und damit der Verursacher zu ermitteln. Aber die Annahme, Heilberufler würden sorgsam mit dem ihnen überlassenen Schlüsselmaterial umgehen, ist teilweise unrealistisch. Eine nicht geringe Zahl lehnt die Einführung der egk kategorisch ab und weigert sich mangels evidentem Nutzen, Kartenterminals, die in Praxen oder Krankenhäusern am Empfangstresen stehen, permanent überwachen und beschützen zu lassen. Darüber hinaus ist die Thematik IT-Sicherheit und Kryptographie nicht das primäre Kompetenzfeld medizinischen Personals.

4 passenden zig-tausende Heilberufsausweise. Im Rahmen der Fortschreibung der Spezifikationen wurden Praxisausweise eingeführt, die mit Heilberuflerrechten egks öffnen können, und in späteren Fortschreibungen wurde festgelegt, dass ein solcher Praxisausweis (SMC-A) im späteren Betrieb gleichzeitig als Träger der Kartenterminalidentität in jedem Kartenterminal steckt. Diese SMC-A werden in großer Zahl in allen Arztpraxen und Krankenhäusern vorhanden und damit Ziel vorab schwer quantifizierbarer Diebstähle sein. Ein gestohlenes Kartenterminal mit SMC-A (oder auch nur die SMC-A alleine) 6 würde ausreichen um alle egk in Deutschland zu öffnen. Die Programmierung eines Proof-of-Concept dürfte bei mit dem Fachgebiet vertrauten Entwicklern nicht mehr als ca. 60 Personentage benötigen, Entwickler der gematik GmbH dürften es in einem Viertel bis einem Drittel der Zeit schaffen. Irrtum: Zugriffe auf die egk werden auf der egk protokolliert Die egk hat keine Möglichkeit, Zugriffe selber zu protokollieren. Die Protokollierung auf der egk findet durch den Computer statt, der die Zugriffe auf die egk durchführt, aber nur, wenn er dafür programmiert wurde. Das ist bei zugelassener Software und bei zugelassenen Konnektoren der Fall, nicht aber bei Schadsoftware oder Software von dritter Seite, die klandestine Zugriffe auf die egk durchführt. Eine solche Schadsoftware könnte sogar falsche Verursacher für Zugriffe eintragen, oder echte Einträge durch massenhafte Eintragungen aus der Protokolldatei verdrängen 7. Damit sinkt der Beweiswert echter Eintragungen in der Protokolldatei erheblich. In einer Arztpraxis oder in einem Krankenhaus ist nicht mit bewußtem Einsatz von Schadsoftware zu rechnen. Aber auch dort, wie auch noch viel mehr bei Nutzung der egk am heimischen PC, ist ein solcher Angriff auf die egk nicht auszuschließen, wenn man an die Existenz von Computerviren und Trojanern glaubt. Am heimischen PC reicht für Lese- und Schreibzugriffe ein Kartenterminal der zehn bis sechzig - Klasse aus. Zusammenfassung: Ein Arzt hat maximale Zugriffsrechte, lesend und schreibend, auf die egk. Wenn nur ein Heilberufsausweis 8 oder ein Praxisausweis 9 abhanden kommt und im Internet verfügbar gemacht wird, ist die Sicherheit der administrativen und medizinischen Daten auf der egk nicht höher als wenn sie auf einem USB-Stick gespeichert würden, weil jedermann sich damit Arztrechte verschaffen könnte. Geschützte Versichertendaten und Notfall-/Basisdaten sowie perönliche Erklärungen wären einsehbar, Notfalldaten und persönliche Erklärungen wären manipulierbar/löschbar, und weder das Auslesen oder die Manipulation wäre für den Versicherten zeitnah erkennbar noch im Nachhinein ein Verursacher zu ermitteln 10. Ärgerlich, wenn man sich auf das Vorhandensein seiner Notfalldaten verlässt, sie auf der egk aber unbemerkt zerstört oder gelöscht oder überschrieben wurden. 2.) Die Bereitschaft zur Organspende darf nicht auf der Gesundheitskarte gespeichert 6 Durch Verwendung von Praxisausweisen wird die Ermittlung eines Verursachers unöglich. 7 s.a. 291a Abs 6 SGB V 8 von ca Ärzten und Zahnärzten 9 von ca Arzt- oder Zahnarztpraxen, Krankenhausambulanzen 10 Ausser -mit Einschränkungen- durch verdachtsunabhängige Speicherung von Internetkommunikationsdaten (und -inhalten).

5 werden. Die Speicherung der Erklärung zur Organspende ist auf der egk in einem von zwei möglichen Tresor -typen vorstellbar: 1. In einem Tresor, der mit Krankenkassenschlüssel beschrieben werden kann. In diesem Fall ist die Erklärung fälschungs- und manipulationssicher abgespeichert, wenn man die Krankenkasse als vertrauenswürdige Instanz ansieht. Nachteil: Bei Änderung des Versichertenwillens ist die Mitwirkung der Krankenkasse erforderlich, kann somit nur zu Büroöffungszeiten stattfinden. 2. In einem Tresor, der mit Arztschlüssel beschrieben werden kann. In diesem Fall ist die Erklärung leichter änderbar, allerdings auch Manipulationsangriffen wie oben unter Notfall-/Basisdaten beschrieben ausgesetzt. In beiden Fällen sind die Erklärungen bei Nutzung der egk an einem infizierten PC der Kenntnisnahme durch Dritte ausgesetzt da zumindest mit Arztberechtigung auslesbar- und werden möglicherweise routinemäßig bei jedem Arztkontakt ausgelesen ) Die egk ist potentiell nicht für Online-Szenario geeignet Gemäß Pressetexten wird sich der volle Nutzen der egk erst bei Online-Anbindung zeigen, wenn elektronische Fall- oder Patientenakte vorliegen. Spätestens zu dem Zeitpunkt wird eine PIN- Eingabe des Patienten erforderlich sein 14. Eine Schadsoftware kann schon heute, selbst wenn man die vorbeschrieben Angriffsmöglichkeiten anzweifelt, auch ohne einen im Internet verfügbaren Heilberufsausweis jede egk in Sekunden auf einen Versicherungsberechtigungsnachweis reduzieren und sie damit faktisch zerstören. Dafür würde die Schadsoftware auf einem infizierten PC ohne Zutun des Versicherten drei Mal eine beliebige PIN an die egk senden und damit die PIN blockieren. Wenn jetzt noch zehn Mal eine beliebige PUK (PIN-Unblocking-Code) in Hintergrund an die egk gesendet wird ist sie unwiderruflich gesperrt und kann nur noch als Versicherungsnachweis dienen 15. Damit der Patient oder ein Arzt an die zentral gespeicherten Daten kommt, muss der Versicherte eine neue egk erhalten, und die zentral verfügbaren Daten müssten (wie auch bei Verlust oder Ablauf der Karte vorgesehen) für die neue Karte umgeschlüsselt werden. Die Programmierung dieser Schadfunktionalität dürfte bei mit dem Fachgebiet vertrauten Entwicklern nicht mehr als zwei Personentage dauern, zzgl. virentypische Mechanismen zur Verteilung. Betrachtungen zur Angriffswahrscheinlichkeit Der Diebstahl / Verlust / die missbräuchliche Nutzung eines Praxisausweises ist bei der Anzahl der 11 Alternative: Wenn alle Versicherten bei Ausgabe der egk zu einer Aussage gebracht werden, kann die Aussage auch diekt bei der Krankenkasse als Organspendeerklärungsverwaltungsstelle deponiert werden; sie hat in jedem Fall Kenntnis von der Erklärung, da sie ggf. die Erklärung abfragen und auf der egk speichern sollte, wobei letzteres dann aber nicht mehr notwendig wäre. 12 Man stelle sich eine illegale Datenbank vor (Name, Adresse, Alter, Gesundheitszustand, Organspendebereitschaft) 13 abhängig vom für die Ablage verwendeten Tresor 14 Bis dahin ist die PIN-Eingabe des Patienten theoretisch nur erforderlich, wenn der Versicherte das Protokoll der Zugriffe einsehen will. Das wird aber absehbar nicht befüllt, erst wenn Notfalldaten gespeichert werden. 15 Der elektronische Personalausweis (npa) wird bei wiederholter falscher PIN-Eingabe ebenfalls gesperrt, kann aber im Einwohnermeldeamt(?) wieder kostenpflichtig entsperrt werden.

6 auszugebenden Ausweise hoch wahrscheinlich. Neben Diebstahl werden vermutlich auch bei Praxisaufgabe/-übergabe (ca. 3000/a) Praxisausweise versehentlich zusammen mit Inventar/ Kartenterminals verkauft. Die Motivation zur Durchführung eines Angriffes ist potentiell kommerzieller Natur (Notfalldaten, Basisdaten, Adressdaten, Geburtsdatum) wahrscheinlich aber eher sportlicher Natur ( Hackerehrgeiz ) 16. Eine aktive Beteiligung des Versicherten ist seit Wegfall des elektronischen Rezeptes auf der egk eher unwahrscheinlich. Schadsoftware kann als Virus/Trojaner einen PC infizieren, oder aber durch den Versicherten selber -in Unkenntnis des Schadenpotentials- geladen werden, da eine solche Schadsoftware dem Versicherten Zugriff auf alle Daten auf der egk liefern könnte. Zur Information: Die Kenntnisnahme seiner Notfall-/Basisdaten ist dem Versicherten gem. SGB V nur in Anwesenheit eines Heilberuflers gestattet 17, und diese Berechtigungsbeschränkung ist technisch umgesetzt, aber durch Schadsoftware aushebelbar. Ferner könnte die Schadsoftware dem Versicherten gestatten, seine PINs am heimischen PC zu ändern, wofür er sonst eine Arztpraxis oder einen ekiosk/sb- Terminal aufsuchen müsste. Die meisten Angriffe 18 sind in der nächsten Zeit nicht zu erwarten, da in einer ersten Phase keine medizinischen Daten (ggf. Ausnahme Organspendebereitschaft) auf der egk gespeichert werden, da nicht ausreichend Heilberufsausweise und schon gar keine Konnektoren im Feld sind. Gefährdet sind allenfalls die Versichertendaten (Name, Adresse, Geburtsdatum, Krankenkassenzugeörigkeit, Mitgliedsstatus); diese reichen für Identitätsdiebstahl im Internet aber oft aus. Bei Vorliegen einer kritischen Masse von egks, Heilberufsausweisen und Konnektoren können die vorbeschriebenen Angriffe bei der aktuellen egk durchgeführt werden. Die Offline-Fähigkeit der egk -die Speicherung von medizinischen Daten auf der egk selber- kann bei der aktuellen egk nicht mit der gewünschten/erforderlichen Datensicherheit erfüllt werden 19. Die aktuell ausgerollte egk kann somit weder mittelfristig für Speicherung von medizinischen Daten auf der egk noch langfristig für ein Online-Szenario sicher genutzt werden, wobei sowieso politisch massive Vorbehalte gegen die Online-Anbindung von Arztpraxen bestehen. 16 Beim npa sind solche Angriffe bisher noch nicht bekannt geworden, er ist aber auch noch nicht in nennenswerter Zahl im Feld. 17 Siehe auch 291a Abs 5 SGB V in Verbindung mit 291a Abs 4, letzter Satz 18 Vorstellbare, konkrete Angriffe: 1. Eine aufgefundene (auch abgelaufene) egk, könnte vom Finder geöffnet und ausgelesen werden. 2. Die egks von Angehörigen könnten ausgelesen werden. 3. Bei Sekundärnutzung der egk für Online-Authentifizierung könnten im Hintergrund Tresore geöffnet, ausgelesen, ggf. manipuliert werden. Dieses Öffnen muss nicht von der Stelle erfolgen, bei der man sich authentifizieren möchte, sondern Schadsoftware führt diesen Angriff durch. Die o.a. Online-Authentifizierung ist nur der Anlass, die egk am heimischen Computer zu nutzen. Beispiele für Sekundärnutzung (ohne Wertung): Das Schlüsselmaterial und die Zertifikate auf der egk sind grundsätzlich für verschlüsselte und starke Authentifizierung geeignet (ähnlich wie elektronischer Personalausweis). 4. PCs von Leistungserbringern könnten mit Schadsoftware infiziert sein (In einer Arztpraxis wäre ein Angriff auf die Patientendatenbank allerdings erfolgversprechender als ein Angriff auf die egk. Anders aber bei z.b. Physiotherapeuten, Apothekern, Sanitärhäusern und natürlich am heimischen PC). 5. Siehe letzte Seite oder 19 Gefordert wurde die Fähigkeit, medizinische Daten auf der egk zu speichern, zum einen wegen des informationellen Selbstbestimmungrechts des Versicherten, zum anderen wegen der Nutzbarkeit im Katastrophenfall oder bei sonstigem Ausfall der Kommunikationsinfrastruktur.

7 Die Freiwilligkeit der Speicherung von medizinischen Daten ist kein Argument, wenn der Versicherte über die tatsächlichen Sicherheitsrisiken im Unklaren gelassen wird. Sonst werden, im Vertrauen auf Schutzfunktionen, der egk Daten anvertraut, die man andernfalls nicht speichern lassen würde. Es wäre zu ermitteln, ob mehr egks wegen Adressänderungen oder mehr egks wegen Sabotage durch automatisierte Falsch-PIN neu erstellt werden müssten 20. Der Verfasser ist Arzt und Informatiker und hat jahrelange berufliche Erfahrung in der Smartcardtechnik und in der Entwicklung von Konnektoren für das Gesundheitswesen sowie Erfahrung in der Testung von Konnektoren, Gesundheitskarten und Kartenterminals. Er gehört keinem Interessenverband Pro oder Contra elektronische Gesundheitskarte an (Ausnahme: Mitgliedschaft Ärztekammer). Seit Ende 2009 ist er nicht mehr hauptberuflich mit der Thematik befasst. Für den vorliegenden Text wurden keine internen oder vertraulichen Unterlagen oder Ergebnisse genutzt. Alle Fakten ergeben sich aus im Internet veröffentlichten oder käuflich zu erwerbenden Spezifikationen, die Rückschlüsse aus fachgebietsübergreifenden Prozessanalysen. Im Mai 2011 hat der Verfasser anläßlich der bevorstehenden Einführung der egk die von ihm gefundenen Sicherheitslücken in einem Fachvortrag sowie im Internet erstmals veröffentlicht. Seine Argumente sind seitdem nirgends und von keiner Seite widerlegt worden. Im März 2009 stellte er erstmals lukrative Manipulationsmöglichkeiten am elektronsichen Rezept fest. Ist folgende Aktion durch 291a Abs 8 SGB V verboten? Vermutlich nicht. 20 Nach Presseberichten wurden auf einer Informationsveranstaltung die Kosten für die Ausstattung von 70 Millionen Versicherten mit egks mit rund 140 Millionen angegeben, eine Zahl, die ich bei Berücksichtigung der Porti für Versand der Aufforderungen zur Einsendung von Fotos, zzgl. Nachfasstelefonate, zzgl. Kosten für Versand der Karten, zzgl. Herstellung und Personalisierung der Karten nur schwer nachvollziehen kann. Selbst wenn somit jede Karte ca. 2 kosten soll, ist die Neuausstellung von Karten bei Adressänderungen (da das Versichertenfoto bereits vorliegt) ein überschaubarer finanzieller Aufwand.