Re: [AG-Gesundheit] +++Urgent+++ Massenrollout eGK (elektronische Gesundheitskarte) / Staats-Gesundheitstrojaner

[Thorsten Wagner <wagner.thorsten AT gmx.de>]

Da ich nun schlafen möchte nur drei Dinge vorweg, die sich schnell aus
dem Weg räumen lassen:

- Die Sicherheit bietet weniger die PIN, sondern der Private Schlüssel
auf der eGK (Stichwort Asynchrone Verschlüsselung, obwohl bei der eGK
eine hybride Methode eingesetzt wird). Selbst wenn die PIN einem Dritten
bekannt sein sollte, erhält er ohne Karte keinen Zugriff. In der
IT-Sicherheit wird dieses Sicherheitsprinzip wie folgt ausgedrückt:
Something You Know -> PIN
Something You Have -> eGK mit privaten Schlüssel
Something You Are  -> Eigentlich ein Biometrisches Merkmal, hat die eGK
aber nicht. Vielleicht kann man wohlwollend das Bild darunter fassen.

- Die Spezifikation ist aus 2008 und Grundlage für das Basis-Rollout.

>> Alleine dein Zugeständnis im Sinne von "in der Regel" beruhigt mich in
>> gewisser Weise, zeigt aber die eigentliche Problematik nicht auf und
>> stellt imo nicht die Lösung dar, weshalb genau dies eine der zahlreichen
>> Schwachstellen ist und also Anlass zum Nachfassen bietet. Keine Regel
>> ohne Ausnahme. Und ohne Definition der Ausnahmen keine Sichert.

Die Ausnahme hab ich gleich im Satz danach genannt.

Alles weitere morgen...

Gute Nacht & Gruß
Thorsten

Am 13.10.2011 00:16, schrieb DS Lawfox:
> @Thorsten,
> 
> vielen Dank für deine Ausführungen, reißen sie zwar etwas das technische
> Dunkel auf - wenn auch nicht für jedermann verständlich -, stellen sie
> aber zugleich keineswegs eine Lösung der allgemeinen und speziellen
> Problematik mit all ihren Facetten, wirtschaftlichen Handelns/Denkens
> und menschlichen Vorsatzes oder Irrtums dar und schon gar nicht die
> Beendigung jeglicher Debatte. Im Gegenteil. Sie werfen weitere
> Problematiken detaillierter auf. Gut so!
> 
> Die Quellenangaben respektive die von gematik vorgehaltenen Dokumente
> sind zunächst einmal veraltet (2006) und geben nicht den Stand der
> seither völlig desaströs verlaufenden Praxistests wieder. Von den
> Großunfällen während dieser Testphasen, die alle abgebrochen wurden ...
> nirgendwo die Rede ... KLAR ... wäre ja auch blöd.
> 
> Außerdem bin ich ein Gegner der Anerkennung von - auch technisch -
> beschwichtigenden Dokumenten von Monopol-Profiteuren ( gematik) ALS BIBEL.
> 
> Vermeintlich beruhigend soll die Verschlüsselung nach RSA 2048 (und -
> sofern vorgesehen, was ich aber nicht erkennen kann AES 256) wirken; sie
> ist es aber keineswegs. Dabei beschreibt RSA 2048 lediglich den
> kryptographischen Standard und nicht die Sicherheit im Sinne der
> Pseudo-Kenntnisse des Bürgers, der glaubt, dass die Daten OHNE IHN NICHT
> (aus-)gelesen und entschlüsselt werden könnten. Daher handelt es sich um
> eine vergleichsweise eher spärliche Methode im Sinne derjenigen, die
> wirklich glauben, dass nur sie selbst mit ihrer PIN den Schlüssel zur
> Glückseligkeit und ihren Daten in der Hand haben.
> 
> Sie gewährleistet auf keinen Fall das, was hier in der ML jüngst zum
> Ausdruck kam: dass nämlich die Daten ausschließlich gemeinsam mit dem
> Patienten auf Basis der PIN - auch nicht, wie von dir erwähnt, bei einem
> 2-Karten-System ausgelesen werden können.
> 
> *Derzeit vermag imo einzig ein Verschlüsselungsverfahren (hochsicher und
> weltweit anerkannt) nach **RFC 2898
> (*http://msdn.microsoft.com/de-de/library/system.security.cryptography.rfc2898derivebytes%28v=vs.80%29.aspx)
> *zu gewährleisten, dass sämtliche "Kundendaten" (Versichertendaten)
> durch staatliche Agenturen, Gematik selbst oder (CCC - sorry ... oder
> doch??? Habt ihr das eigentlich mal gecheckt oder befinden sich auf den
> Servern von Gematik noch gar keine Daten???) Hacker die Daten jemals
> lesen oder einsehen können, ohne dass der Versicherte mit seinem
> Passwort, seiner PIN und seiner Karte neben dem Server steht.*
> 
> Jedenfalls gewährleisten die von dir genannten Features die Sicherheit
> des Zugriff auf die Daten mitnichten. ohne den Karteninhaber bzw.
> Inhaber des individuellen und unverwechselbaren Authentifizierungs-Codes
> (in diesem Fall ohnehin ein weiches Sicherheits-Feature via PIN).
> 
> Bemerkenswert ist dabei, dass der Patient dann auch nur "eingeschränkten
> Zugriff auf seine Daten" hat. Richtig. Was aber soll das für ein Unsinn
> sein, dass selbst der "Herr über die Daten" keinen vollumfänglichen
> Zugriff auf seine Daten hat???????????
> 
> Hinzu kommt, dass die derzeitigen Verschlüsselungen nicht ansatzweise
> ausgereift die beabsichtigten WEB-Szenarien abbilden, sondern lediglich
> OFFLINE-Basis-Versionen.
> 
> Alleine dein Zugeständnis im Sinne von "in der Regel" beruhigt mich in
> gewisser Weise, zeigt aber die eigentliche Problematik nicht auf und
> stellt imo nicht die Lösung dar, weshalb genau dies eine der zahlreichen
> Schwachstellen ist und also Anlass zum Nachfassen bietet. Keine Regel
> ohne Ausnahme. Und ohne Definition der Ausnahmen keine Sichert.
> 
> Insbesondere widerlegst du nicht den Aspekt der zentralen Speicherung.
> 
> Das ist  fein, bestätigt es doch meine faktische These.
> 
> Das Argument "der Patient hat die Datenhoheit" zieht wohl unter
> Berücksichtigung der obigen Aspekte eher nicht.
> 
> Die Datenhoheit hat ausschließlich derjenige, der tatsächlich in der
> Lage ist, die PIN zu generieren und sich im Besitz der Daten befindet.
> Der Patient ist allenfalls mittelbarer Besitzer. Unmittelbarer Besitzer
> ist die Gematik; nicht der Patient und nicht der Arzt.
> 
> Auch ein 2-Karten-system unter Berücksichtigung der nicht zwangsläufig
> den Zugriff Dritter verhindernder Verschlüsselung nicht den Missbrauch,
> sondern ermöglicht zunächst einmal die zentrale Speicherung und in einem
> weiteren Schritt die Nutzung bzw den Zugriff auf diese zentral
> gespeicherten Daten von außerhalb des Speicherorts.
> 
> Ich finde die technischen Möglickeiten auch alle total super und die
> Möglichkeiten, einmal und rollierend ergänzt erhobene, sprich auf einen
> Zentralserver gesaugte Daten irgendwie doch nur vermeintlich zu schützen
> unheimlich spannend.
> 
> Nur läuft die eGK unter IT-Großprojekt im Sinne von "Jugend forscht".
> forschungsobjekt und -subjekt sind jedoch keine theoretischen
> Fallgestaltungen oder (AUfschrei?) Labormäuse, sondern in der Regel
> hilfesuchende, erkrankte Menschen.
> 
> All das ist  fern jeglicher Realität, denn der Mensch und damit der
> Patient ist kein Avatar in irgendeinem Online-Spiel, respektive
> "Szenario", sondern diejenige Spezies, zu deren Schutz !!! der Staat eo
> ipso kraft Verfassung verpflichtet ist.
> 
> Eine Wahlmöglickeit, welche Daten - und sei es auch nur bis zu einem
> Widerruf oder der Aufforderung zur Löschung - erhoben bzw zentral
> außerhalb des Vertraulichkeitsbereichs des Arzt-Patienten-Verhältnisses
> gespeichert werden, hat der Benutzer der eGK eindeutig nicht.
> 
> Und es ist ein Trugschluss, dass der Patient die Hoheit über seine Daten
> habe ... dies alleine schon technisch bedingt.
> 
> Weitere Aspekte ergeben sich aus den Zwängen, denen Versicherte
> unterliegen; sei es gegenüber Versicherungen oder anderen Institutionen,
> aber vor allem gegenüber Versicherungen. Diese werden stets Zugang zu
> SÄMTLICHEN Daten verlangen, wenn es darum geht, Risiken zu prüfen.
> 
> Wohl dem, dessen Arzt dann nie in die virtuelle Akte geschrieben hat,
> dass und warum für die Diagnose bezüglich der Erkrankung eines  Patienen
> - welche auch immer - eine bestimmte Lebensweise relavant war
> (Anamneseteil bzw. elektronische Patientenakte).
> 
>   * Der Patient weigert sich nachhaltig, sich compliant zu verhalten?
>     Das vermerkt der Arzt notwendigerweise aufgrund seiner
>     Dokumentationspflicht in der Akte. ZACK ... wird ausgelesen werden
>     und zentral gespeichert. Und schon streicht die Versicherung diese
>     und jene Ersatzleistung oder gar alle relevanten wegen
>     Obliegenheitsverletzung.
> 
>   * Die Lebens- und insbesondere Ernäherungsgewohnheiten eines Patienten
>     bedingen den Bluthochdruck und den Diabetes nachweislich aufgrund
>     der Patienten-Vita innerhalb der letzten 4-10 Jahre? Fein ... fliegt
>     der Patient aus dem Chroniker-Programm raus. Grund:
>     Obliegenheitsverletzung oder Non-Compliance ... Kasse zahlt nicht
>     mehr <punkt> ... whatever.
> 
>   * Oder der Patient hatte mal eine depressive Phase während des
>     Studiums und möchte mit Anfang 30 eine Lebensversicherung
>     abschließen? Selbsttötungsrisikoaufschlag 100 %? OK ... Dann ja ...
>     ansonsten wird die Versicherung wohl den Antrag auf Abschluss einer
>     Versicherung ablehnen. Oder sie lehnt gleich ab.
> 
> Dies nur 3 Beispiele - to be continued -
> 
> Informationelle Selbstbestimmung ist das Thema. Dieses wird mit der
> Einwilligung zum Einlesen und Speichern von Daten gegenüber der
> jeweiligen Versicherung des Versicherten mit einem Federstrich aufgegeben.
> 
> Die Ärzte werden sich Formulare unterschreiben lassen, dass der Patient
> sie automatisch mit Beginn der Behandlung (jeder Behandlung) von der
> ärztlichen Schweigepflicht in Bezug auf die Telematik i.V.m. eGK
> entbindet und gut ist´s.
> 
> Wunderbar ... das führt zu perfekten Arzt-Patienten-Vertrauensverhältnissen.
> 
> Ist das gewollt?
> 
> Es geht nicht nur um Sicherheitsaspekte, sondern ganz maßgeblich um die
> Grundfeste der Bürgerrechte in diesem unserem Staat.
> 
> Der Bürger weiß noch nichtmal - was sich ja hier sogar durch ein
> ärztliches Statement zeigte - dass die Daten zentral gespeichert werden.
> Der Bürger glaubt, alles sei sicher, weil ja jetzt ein Bild auf die
> Karte kommt. Und genau das wird dem Bürger auch als Allheilmittel
> verkauft. Mit Verlaub - ein völlig verlogenes Argument, welches die
> wahren Beweggründe zuschüttet.
> 
> Kleiner Exkurs zum "Staatstrojaner" als Frage: Hat den Staat die
> Verfassung und eine verfassungsgerichtliche Entscheidung davon
> abgehalten, den mutmaßglich verfassungswidrigen Trojaner a) produzieren
> zu lassen und ihn b) auch einzusetzen??
> 
> Antwort: Nein !
> 
> Trotzdem freue ich mich auf die weitere - hoffentlich - muntere und dann
> auch ergebnisorientierte Debatte.
> 
> Besten Gruß
> 
> Dietmar
> 
> 
> Am 12.10.2011 21:54 schrieb "Albert Karschti" <akarschti AT web.de
> <mailto:akarschti AT web.de>>:
> 
>     Hi Thorsten,
> 
>     entschuldige aber kein Paragraph schütz uns von der Praxis. Die
>     Feldversuche
>     in NRW haben gezeigt, dass die medizinische Realität durch
>     Projektion in die
>     Telematik nicht besser wird!
>     Ich habe grundsätzlich nichts gegen die Telematik aber ein fehlerhaftes
>     System wird durch sie nicht besser!
> 
>     Welche konkreten Vorteile für den Patienten (sie müssen  übrigens die
>     Lichtbilder für die eGK selber kaufen!) mit dem jetzigen eGK siehst?
> 
>     Es ist nicht mehr als eine "Beruhigungspille" ein politisches Signal wie
>     viele andere!
>     Albert Karschti
> 
> 
>     -----Ursprüngliche Nachricht-----
>     Von: ag-gesundheitswesen-bounces AT lists.piratenpartei.de
>     <mailto:ag-gesundheitswesen-bounces AT lists.piratenpartei.de>
>     [mailto:ag-gesundheitswesen-bounces AT lists.piratenpartei.de
>     <mailto:ag-gesundheitswesen-bounces AT lists.piratenpartei.de>] Im
>     Auftrag von
>     Thorsten Wagner
>     Gesendet: Mittwoch, 12. Oktober 2011 21:20
>     An: ag-gesundheitswesen
>     Betreff: [AG-Gesundheit] +++Urgent+++ Massenrollout eGK (elektronische
>     Gesundheitskarte) / Staats-Gesundheitstrojaner
> 
>     Hallo liebe Liste,
> 
>     ich war gerade einige Stunden unterwegs und bin über den Verlauf der
>     Diskussion wirklich erschrocken. Ich möchte kurz einige wichtige
>     Eckpfeiler des Sicherheitskonzepts [1] nochmals beschreiben:
> 
>     1. Das 2-Karten-Prinzip
>     Mit dem 2-Karten-Prinzip, wird sichergestellt, dass nur authentisierte
>     Nutzer Zugriff auf medizinische Daten des Patienten bekommen und ein
>     Missbrauch verhindert wird. Dabei fordert Abs. 5 §291a SGB, dass der
>     Zugriff nur in Verbindung mit einem Heilberufsausweis erfolgen darf. Der
>     HBA dient zur Identifizierung des Arztes, Zahnarztes, Apothekers oder
>     anderer Heilberufler beim Zugriff auf medizinische Daten des Patienten.
>     Dabei wird nur Zugriff auf die Daten erlangt, wenn die eGK, der HBA
>     vorliegen und der Patient eine individuelle PIN eingegeben hat. Ein
>     Zugriff ohne gleichzeitiges Vorliegen von HBA und eGK ist
>     im Regelfall nicht möglich. Einzige Ausnahme stellt der Versicherte
>     selbst dar, der mittels PIN eingeschränkten Zugriff auf die
>     gespeicherten Daten erhält, um beispielsweise dort abgelegte
>     Verordnungen zu lesen.
> 
>     2. Schutz der Daten in der Telematikinfrastruktur
>     Unautorisierte Modifikationen oder Entfernen von Daten kann zu falschen
>     Behandlungen oder Entscheidungen führen, die u.U. lebensgefährlich für
>     den Patienten sein können. Auch der Leistungserbringer (z.B. Arzt,
>     Zahnarzt) müsste rechtliche Konsequenzen erwarten, weshalb eine integre
>     Datenbasis auch in seinem Interesse ist. Zunächst werden die Daten mit
>     dem RSA - Verfahren unter Verwendung eines 2048 Bit Schlüssels
>     verschlüsselt. Später sollen auch Kryptoalgorithmen wie elliptischen
>     Kurven (ELC) zum Einsatz kommen [2]. Die verwendeten Kryptoalgorithmen
>     werden regelmäßig überprüft und bei Bedarf ausgetauscht.
> 
>     3. Versichertenindividuelle Verschlüsselung
>     Alle Daten des Versicherten sind in der Telematikinfrastruktur immer
>     verschlüsselt. Die notwendigen Schlüssel, um die Daten zu entschlüsseln,
>     besitzt nur der Versicherte in Form der eGK. Dadurch liegt die
>     Verfügungsgewalt allein beim Versicherten, welcher entscheiden kann,
>     welche Dritten die Daten einsehen können.
> 
>     Das sind nur die in meinen Augen, für die momentane Diskussion,
>     wichtigen Punkte. Das Sicherheitskonzept ist hier umfassender [1]. Ganz
>     ganz wichtig ist zu erkennen, bei wem die Datenhoheit liegt. Diese liegt
>     durch mehrfache Verschlüsselung beim Patienten. Niemand, auch der Staat
>     nicht, kann ohne den privaten Schlüssel des Patienten Zugriff auf die
>     Daten innerhalb der Telematikinfrastruktur bekommen.
> 
>     Viele Grüße
>     Thorsten
> 
> 
>     [1] gematik_DS_Sicherheitskonzept_V2_2_0.doc,
>     
> http://www.gematik.de/cms/de/spezifikation/wirkbetrieb/release_0_5_3/release
>     _0_5_3_uebersicht.jsp
>     
> <http://www.gematik.de/cms/de/spezifikation/wirkbetrieb/release_0_5_3/release_0_5_3_uebersicht.jsp>
> 
>     [2] Schmeh K., Elektronische Ausweisdokumente, Carl Hanser Verlag,
>     München, 2009
> 
> 
> 
> 
> 
> 
>     --
>     AG-Gesundheitswesen mailing list
>     AG-Gesundheitswesen AT lists.piratenpartei.de
>     <mailto:AG-Gesundheitswesen AT lists.piratenpartei.de>
>     https://service.piratenpartei.de/listinfo/ag-gesundheitswesen
> 
>     --
>     AG-Gesundheitswesen mailing list
>     AG-Gesundheitswesen AT lists.piratenpartei.de
>     <mailto:AG-Gesundheitswesen AT lists.piratenpartei.de>
>     https://service.piratenpartei.de/listinfo/ag-gesundheitswesen
> 
> 
>