Re: [AG-Gesundheit] +++Urgent+++ Massenrollout eGK (elektronische Gesundheitskarte) / Staats-Gesundheitstrojaner

[Thorsten Wagner <wagner.thorsten AT gmx.de>]

Hallo Dietmar,

ich weiß nicht, warum du dich so angegriffen fühlst. Nur weil ich
Datenschutz bei eGK als gesichert ansehe, bin ich noch lange kein
gematik Mitarbeiter. Deswegen ignoriere ich einfach den ersten Teil
deiner Mail. Weiter im Text:

Am 13.10.2011 17:24, schrieb DS Lawfox:
> Mit Verlaub, die Beschränkung des Zugriffs des Daten-Subjekts
> (Patienten) auf seine Daten mit der Begründung, die Daten müssten
> "integer" bleiben, ist ein Widerspruch in sich. Niemand ist integerer
> als derjenige, um dessen persönliche Daten und Fakten es geht.

Nunja. Ich bin der Meinung, dass ein Arzt sicher gehen muss, dass ein
von ihm signiertes Dokument, nicht vom Patienten oder anderen verändert
werden kann. Allein deswegen finde ich einen beschränken Zugriff
sinnvoll. Die Verfügungsgewalt über die Daten, bleibt dennoch beim
Patienten.

> Was die "Quelle" für Offline-Szenarien angeht, so handelt es sich um
> deine, Thorsten, eigene Quelle -> die Seite der /Gematik/. Steht in den
> Versions-Spezifikationen, dass WEB-Applikationen zurückgestellt sind.

Nein, steht es nicht. Es steht auch kein Datum für den geplanten Start
der Anwendungen dort drinne, weil es nun mal nicht dort rein gehört.

> Warum das so ist, ist bekannt: Weil sämtliche bisherigen Tests
> gescheitert sind.

Die Testergebnisse gehören eben nicht in die Spezifikation.

> Die Daten sind nicht ausreichend geschützt. Steht fest.

Das ist das, was du behauptest. Das Fraunhofer Institut für Offene
Kommunikationssysteme kommt in "eHealth-Infrastrukturen - Sichere
Serviceorientierte Architekturen im Gesundheitswesen" zu einem anderen
Schluss: "Das Sicherheitskonzept ist in der Lage den Datenschutz im
Rahmen der aktuell spezifizierten Verwendung von administrativen und
medizinischen Daten zu gewährleisten."

> Ein wesentlicher Punkt ist jedoch die _zentrale Speicherung_. An ihr ist
> NICHTS logisch. Denn wenn der Partient bei jedem Auslese- und also
> Nutzungsvorgang persönlich anwesend sein muss (2-Karten-Prinzip =
> Eingabe PIN .. und das auch noch mehrfach während nur eines Arztbesuchs,
> d.h. bei fast jedem Arbeitsschritt zur notwendigen Dokumentation seitens
> des Arztes (vgl. - auch hierzu später eingehend -
> eGK-Effizienz-Gutachten von /Booz, Allen, Hammilton/ im Auftrag von
> Gematik aus dem Jahr 2006), sondern stattdessen eine Speicherung auf,
> vor Ort der Präsenz des Patienten codiertem und verschlüsseltem Stick
> die - zudem konstengünstigere - effektivere und sicherere Alternative
> darstellt, dann ist die zentrale Speicherung abzulehnen und keineswegs
> logisch. Logisch ist sie nur in Ansehung der Struktur der in die
> Telematik-Struktur eingebundenen e-Karte. Nur kann ich kein System mit
> Logik erklären, dessen logische Struktur sich aus völlig anderen
> Gesichtspunkten heraus als zweifelhaft darstellt.

Viel Aufregung um nichts. "logisch zentrale datenhaltung" ist einfach
nur ein Fachbegriff und hat nichts damit zu tun, ob ich sie logisch
finde oder nicht. Bezüglich der Effizienz der eGK habe ich keine
Aussagen gemacht - ich habe auch von Problem gehört und gelesen und
glaube dir gerne, dass es dort große Probleme gibt.

> *Hinsichtlich z.B. der Notfalltauglichkeit - auch ein gerne bemühtes
> Argument - wird jedes PIN-System ohnehin durch sich selbst ad absurdum
> geführt. Der im Notfall bewusstlose Patient kann keine PIN eingeben!!
> Damit ist das vielfach bemühte Argument, die Notärzte könnten auf
> wichtige Gesundheitsdaten des Patienten zugreifen, obsolet.

Deswegen ist zum Zugriff auf die Notfalldaten auch nur der HBA des
Arztes und kein PIN notwendig.

> *Das "Blutgruppenargument" ist schon deshalb kaputt, weil in Notfällen
> Blutersatzmittel (ich erspare euch einen Ausflug in die Chemie pp.)
> herangezogen werden und geeignetes Spenderblut zunächst nicht am Ort des
> Geschehens greifbar ist. Kein Arzt wird aus den PIN-freien Daten der
> Karte die Blutgruppenspezifität ohne Laborbestimmung im Notfall übernehmen !

Das wurde hier auch schon früher besprochen und von vielen Ärzten
kritisiert. Aber ich dachte bisher, dass es der Arzt sich garnicht auf
diese Daten verlassen _darf_ und die Blutgruppe sowieso prüfen müsste?

> Frage: Was ist angemessen angesichts des Encryptions-Standards nach RFC
> 2898? RSA 2048?

Der RSA 2048 Standard gilt als sicher. Insbesondere weil es ein
asymetrischen Verfahren ist, hat es viele Vorteile für die
Telematikinfrastruktur. Außerdem sind mit ihm digitale Signaturen
möglich, die für späteren freiwilligen Anwendungen sicher von großer
Bedeutung sein werden.
Sicher es gibt noch stärkere kryptographische Verfahren. Die gematik
selbst nennt ja die Verschlüsselung durch elliptische Kurven als
nächsten Schritt.
RFC 2898 kenn ich persönlich nicht. Ich hab gerade ein bisschen
gegoogelt und es liest sich so, als ob dies ein Verfahren sei, um auf
Basis eins PINS zu verschlüsseln. Bei der eGK wird aber nicht auf Basis
eines Pins verschlüsselt. Sondern auf Basis des privaten Schlüssels auf
der eGK.

> *Und was ist mit der RFID-Eigenschaft der eGK*?

Darf man fragen, woher die Information stammt, dass die eGK ein
RFID-Chip enthält? Für die Sicherheitsmodulkarten (ähnliche
Funktionalität wie der HBA) ist mir das bekannt, aber für die eGK
selbst nicht. Vielleicht eine Quelle?

> 
> Und was die Sicherheit durch Encryption betrifft, so entspricht RSA 2048
> halt nur einem sehr hohen Standard, aber eben nicht dem Höchsten.
> 
> Und mich wundert ehrlich gesagt sehr, Thorsten, dass du auf diese Punkte
> der "technischen Spezifikationen" in deinen kritischen Äußerungen
> überhaupt nicht mehr eingehst.

Habe ich soeben.

> Nur derjenige, der keine PIN generieren kann, hat auch keine
> Möglichkeit, die Daten entschlüsselt auszulesen.

Falsch. Nur jemand der in Besitz der eGK ist und zusätzlich die
persönlich PIN kennt, kann die sensiblen medizinischen Daten
entschlüsseln. Nicht der PIN entschlüsselt, sondern der private
Schlüssel auf der eGK. Um auf diesen zuzugreifen ist die eGK selbst
notwendig, ein HBA und der PIN des Patienten.

> Wie sonst sollen die einmal gespeicherten Daten jemals wieder zugänglich
> sein, wenn Oma Änne ihre PIN vergessen hat???

Durch die Treuhänderlösung. Ob es dazu die ganzen Beschlüsse brauch, die
du in deiner anderen Mail aufgezählt hast, weiß ich nicht. Ich habe
davon noch nichts gehört. Es gibt / gab allerdings noch andere
Vorschläge, die diskutiert wurden. Dieser Artikel gibt einen Überblick:
http://winfwiki.wi-fom.de/index.php/Die_elektronische_Gesundheitskarte:_Vergleich_alternativer_fachlicher_L%C3%B6sungskonzepte_f%C3%BCr_den_Datenerhalt_von_freiwilligen_Anwendungen

Die ganze Kosten-Nutzen-Sache kann ich nicht beurteilen. Gerne glaube
ich, dass sich die eGK wirtschaftlich nicht lohnt. Mag sein. Nochmals
betone ich, dass ich kein genereller Befürworter der eGK bin, sondern
einfach nur den Datenschutz auf Basis der Spezifikationen als
gewährleistet ansehe. Über den ökonomische Nutzen und andere
Verschwörungstheorien kann ich nichts sagen.

Viele Grüße
Thorsten