Folge #177 – Der neueste ePA-Hack des CCC

Hallo und herzlich willkommen zu einer neuen Folge des eHealth-Podcast Folge 177 und ich weiß und ich glaube ich sie nennen werde vielleicht ePA und der CCC nur 3 E 42 oder Folge 42. 

Schauen wir mal, ich bin ein bisschen aufgeregt, habe ich so einen selten, ich habe drei Leute da, die ich Firefleicht stehe durch direkt selber vor, ein Volkesmega, Stamm vielleicht ein Martin der ist bei mir hier unten links.  

Mein Name ist Martin Tschirsich und ich bin Mitglied im Chaos Computer Club und öfter auf der Veranstaltung des Chaos Computer Club in dem Thema eHealth, Digitalisierung Gesundheitwesen, Beschäftigt und vielleichtauch daher vielen bekannt, beruflich mache ich IT Security in Affirmationssicherheit, schon seit 10, 20 bald Jahren und verdinte das Expertenwissen aus dem Beruf mit dem was mich privat und ernehmlich sehr motiviert und zwar, man glaubt es vielleicht nicht, aber für eine bessere digitale Versorgung anzutreten.  

Ja, mein Name ist Christoph Saatjohann, ich bin seit September letzten Jahres Professor für IT Sicherheit und zwar im speziellen vereingebeteten Systeme und auch medizinische IT-Systeme.  

Die ganze Forschung NTE ist seit schon fünf, sechs Jahren und ein kleines Hobbyprojekt von mir. 

Das heißt, da habe ich auch schon einige Sachen mir mal angeschaut und auch schon öfters auf dem CDC-Kongress präsentiert, z.B. 

Diese Konnektoren 2020, die mal im Internet drin waren, die da eigentlich kann ich sein sollten oder dann vor zwei Jahren diese Probleme in dem Kim, in dem IMA-System, da den mir heute sicherlich auch noch mal gut zuversprechen, da gibt es auch ein paar Probleme.  

Das heißt, die Tee ist für mich immer schon so ein kleines Jahr Forschungsabbib gewesen und wird es wahrscheinlich in der Zukunft auch noch bleiben.  

Tim Weiler, ich bin seit 14 Jahren in der Industrie, ein Gesundheitswesen ursprünglich bei primärsystemernstellern angestellt gewesen und jetzt bei ihr als Experts beschäftige mich dort mit übergreifenden Prozessen in der Digitalisierung, mit Konnektoren, mit Karten, mit Karten Terminets und mit diversen Teefachanwendungen und meine persönliche Motivation ist ebenso, dass wir gerade in den letzten Jahren und für die nächsten Jahre imGesundheitswesen die Dinge erschaffen, die dann idealerweise für unsere Kinder und die Generationen am laufen sind und da versuche ich, gutes zu befürken und mitzuwirken.  

Ja, genau, also es geht um die ePA und am Anfang gleich ein paar wenige Worte, wo ich nicht glaube, dass die meisten Podcast-Hörer vom jetzt Podcast die ePA nicht kennen. 

Trotzdem ist die elektronische Patientenakte, die nach Jahrzehnte langen Plan dann jetzt tatsächlich gestartet ist.  

Initial war so, dass die ehemalige Bundesgesundheitsministerin Ulla Schmidt vor euch glaubt, 25 Jahren, oder? 

Kann das kommen das ungefähr hin? 

Zwischen 2025, 20 Jahren, gesagt hat nach einem medizinischen Skandal, Lipo-Bice-Kandal, damals, das ist ja geschickt, wer meine medizinischen Daten im Fluss sammeln wohnt. 

Das heißt, seit 25 Jahren doctrine wir jetzt in Deutschland an der ePA rum und auch ein bisschen anderen Anwendungen und seit diesem Jahr haben alle gesetzlich versichern, wenn sie also nicht aktiv widersprochen haben, auch eine solche Akte, die wird bei den Versicherung gehostet. 

Da werden dann Daten aus den Primärsystemen, also bei den Arztpraxen oder auch von den Krankenhäusern als Kopie dort gespeichert. 

Die Idee der Hinter ist ja durchaus hilfreich, also wenn ich meinem Hausarzt, um mir aus sage, dass ich eine Penicillin-Unverträglichkeit habe, dann wär’s geschickt, wenn ich ins Krankenhaus komme, die das auch wissen, oder aber, dass wenn das Krankenhaus dokumentiert hat, dass ich noch einen traumatierten aggregationshämmer habe, übrigens auch gutes Wort für Scrabble, also ein Blutverdünner, wenn ich dann in ein anderes Krankenhaus komme, dass die das auch wissen und mir nicht nochmal was anderes Blutverdünnen geben und ich dann intern so ein bisschen auslauf, also das ist eigentlich eine ganz coole Sache und das funktioniert in so einem abmedizinischen Netzwerk, medizinischen VPN, der Telematikinfrastruktur und jetzt kommt natürlich unser TEM, der die TEM erklärt, habe das eigentlich schon mal jemand gemacht, dieses Wortspiel-Timnene, bin ich der erste.  

Mein guter Freund, der für den TI-Messeintrag zuständig ist, und ich wir haben das schon ein paar mal vorgeschlagen, dass wir daraus Kapital schlagen könnten, aber selbst damals liebt das bisher ohne Erfolg. 

Okay, also Telematikinfrastruktur, was du beschrieben hast, von Ulla Schmidt, das hatte die Konsequenz, dass man sagt, wir wollen Daten digital speichern und müssen uns aber Gedanken darüber machen, wie wir das nach den Mitteln der Informationssicherheit auch sicher tun können, nachvollziehbar und den Teeger und deswegen gibt es digital Identitäten auf Chipkarten in Praxen, beispielsweise die SMCB, kann man auchOrganisationsausweisen nennen, da sind Informationen über die Art der medizinischen Einrichtung, beispielsweise das in Krankenhaus und Zahnarztpraxis, darauf gespeichert. 

Dann haben wir eine Karte den Heilberufsausweis oder Health Professional Card, kann man auch sagen, das ist eine Person gebundene Karte, die in digital einer Aussage über die Art und Weise der Approbation oder der Fachkunde treffen kann. 

Und dann haben wir als dritte Karte in diesem Triodikarte, der versicherten, die elektronische Gesundheitskarte eGK. 

Und hier haben wir dann schon eines der größeren Problem im Gesundheitswesen leider. 

Die eGK wird in der telematikinfrastruktur wie ein Identitätsdokument verwendet, der oder die versicherte Weist sich damit aus, aber leider ist nicht immer sichergestellt, dass die richtige Person auch die richtige Karte hat. 

Und das führt dann, wie wir vielleicht später nochmal hören werden, zu den Phänomen, über die wir heute reden werden. 

Okay wunderbar, es ist kein Konnektor, es ist eine VPN-Box. 

Wie die Fritzbox oder so, und ich glaube, der Verbot vergleich wird so jenig für die Fritzbox. 

Das ist immer bemüht, und der Konnektor steht quasi hinter der Fritzbox in einer Arztpraxis oder so was, und da steht dann der SMCB, das Glas, das wirklich eine Arztpraxis ist und ein HBA, das sicher ist, dass es auf wirklich eine Ärztin oder ein Arzt ist. 

Und dann kann man hoffentlich über die EGK, die Patienten identifizieren und doch Sachen freischalten, das alles schickt dann im Lesegerät. 

So, wie kommen der Sachen her? 

Christoph, ich weiß, du bist völlig überqualifiziert und ich hab ein bisschen schlechtes gewissen. 

Jetzt hab ich gerade auch den anderen Podcast gehört, da kam I don’t want world garden vor. 

Also irgendwie so was, wie heißt das auf Deutsch? 

Ein Gemau hat es ja um Zeunter, wahrscheinlich um Zeunter Ergarten oder sowas. 

Genau, fragt man schon, GPT. 

Ich packen noch mal nach. 

Actionfiguren zu machen und fragt sind voller Sachen. 

Was ist denn so das World-Garden-Prinzip? 

Ja, das World-Garden-Prinzip ist oder auch in der TI ist einfach das Prinzip. 

Ich habe einen ja um einen zonen Raum und da sagt man dann, da kommen keine rein, weil ich hab einen großen Zaun drin. 

Wir werden drin, das ist alles okay, da sind nur liebe Menschen. 

Da sind nur liebe Menschen drin, da ist kein Angreifer, da kann nie eine büsse Personen reinkommen, weil wir haben ja hier diesen Zaun und da ist auch ein großes Tor, da kommt keiner rein, der jetzt irgendwie nicht vorher als Zilieb anerkannt wurde. 

Das ist so dieses Prinzip. 

Genau, und ob das so wirklich funktioniert, das kann man nachher vielleicht auch mal beleuchten. 

Vor allem ist natürlich spannend, wie groß der Garten ist. 

Wenn er jetzt so drei Leute sind, wie unsere wie unser Haus, wo die Familie drin ist, sondern man andere Hausnummer, also in einer sehr viele Menschen drin sind. 

Die Tore sind auch groß und es gibt vier zu viele Torken, auch das muss man beleuchten, also wenn man die Analogie wie weiter spinnt, dann ist das ein ganz schön großer Zaun. 

Okay, bevor wir jetzt hier klingen wie Trump, Mauer und was weiß ich weiß noch weiter. 

Martin, jetzt kommen wir zu dir. 

Du hast jetzt, wie soll ich sagen, die ePA ein paar mal schon getestet. 

Die meisten werden ich auf jeden Fall, also das Plakativstor war die Käse-Teke. 

Magst du vielleicht damit starten? 

Ja, als du sagtest, der alte Hekt, da muss ich erst mal überlegen, welcher denn. 

Genau, das war ja auch so eine Teke als hier hin. 

Das war noch nicht der erste. 

Wir sind jetzt bei 1,2,3,4,5,6,7,8,9. 

Ich glaube, das war der neunte, vergangenste Hekt. 

Der Teke war der neunte, nein, jetzt der aktuelleste neunte. 

Ja, umgekehrt hat die mir die Zählung beginnend. 

Tatsächlich war es so, wie ich mir gerade über Karten gerätet und Karten, das sind ja Ausweise. 

Also wer den Ausweis besitzt und den Ausweis nutzen kann, wir haben da ja auch immer noch eine kleine Pinter zu, wie bei der Bankkart sagt, nur Karten und Pinter, sondern kann ich den privaten Schwester nutzen. 

Diese Ausweise, dieweisen, insbesondere die Ärztinnen, Ärzte, Hybrufler aus, inzwischen auch Apothekerinnen und Apotheker und viele weitere, die haben eine wichtige Funktion, die signieren beispielsweise Ärzte. 

Das heißt, wer so ein halberufer Ausweis in seinen Besitz bringt, kann damit zum Beispiel Ärzte ausstellen, signieren, aber auch viele andere Dinge tun. 

Wir haben damals gezeigt, dass diese Ausweise, ich glaube, es war Fax. 

Wir hatten sogar, ich weiß gleich, weil wir eine Fax geschickt hatten oder eine E-Mail mit dem PDF im anderen. 

Alles gab verschiedenste Wege. 

Beschafft werden konnten. 

Ganz einfach. 

Also man behauptet einfach hier, ich bin Ärzte, lasst mich bitte durch. 

Genau, dann kam man durch und konnte dann sagen, bitte schickt doch ein Ärztausweis mal an folgende Anschrift. 

Ich bin nämlich umgezogen. 

Es gibt ja für alle möglichen Hybruflerinnen und Hybrufler große Verzeichnungsregister, wenn den Kammern geführt und die Anschriften, die dort stehen, an die werden diese Ausweise verschickt und auch die Pins. 

Und wenn man das geschickt angestellt hat, konnte man damals die Anschrift ändern, wie er verschiedenwegt, zum Beispiel anrufe oder ähnlichen und konnte sich dann solche Ausweise, die haben sie dann an eine Käse-Teke liefern lassen. 

Und deswegen ist auf die Wege stellen, ist das schon SQL injection oder kommt? 

Nee, das war damals noch einfacher. 

Das war entweder Anruf oder E-Mail. 

Und dann wurden sehr eine Käse-Teke gelefert, inklusive Pins. 

Das war nämlich der Vorteil damals, wurden die Pins noch sehr freizügig verteilt, ohne dass man den Aufwand eine Identifikation betreiben musste. 

So kam damals dritte, unberechtigte, sehr schnell in die Inbesitz eines solchen Auspreises und der zugehörigen Pindo konnten dann die Privatenschlüsse darauf nutzen. 

Also im Namen einer Hybruflerin, einer Hybrufler ist auch signieren und Dinge tun. 

Sich und Käse-Teke ist natürlich auch plakativ. 

Dann lass uns was zu dem vorletzten Hack im Spring. 

Ja, sehr gerne. 

Also wir haben ja, ich glaube 2019, die ePA in der ersten Version, vorgestellt auf den damaligen Chaos-Gemilkation-Kuchen, was auch durch das 36. 

Und damals war es so, dass wir auch schon damals diese Paxes ausweise brauchten, um auf Aktenkunden zu greifen zu können. 

Auch damals in der ersten Version der ePA, wir reden jetzt von der ePA für alle. 

Damals war es nur die ePA, in der Version 1, noch nicht für alle. 

Das heißt, er noch in der Obdinvariante war es auch schon so, dass Praxen oder Leistungs-Eprinieninstitutionen, um mal eine Gemeinde, auch Abotheken, Krankenhäuser und so weiter mitzufassen, berechtigt, wurden auf Akkunden zu zu greifen. 

Und sobald eine Berechtigung vorlag, musste man sich nur noch ausweisen als Praxis, als Institutionen und konnte dann mit diese Berechtigung da einstellen, ausgesehen und so weiter. 

Wir haben auch schon damals gezeigt, dass man sich diese Zugangskarten, diese SMCBs Praxis ausweise einfach so bestellen konnte. 

Und dieses Problem bestand, bis ich meine Mitte 23, 20, 23 fort, also noch viel viel weiterer, bis man das behoben hat. 

Und dann erst war auch hier ein ident notwendig, dass man sich um eine SMCB zu erlangen und dann einfach auch ausweisen muss, dann Personal ausweis, also pass anderem an. 

Und da wäre dann aufgefahren, dass man dann möglichsterweise gar kein Praxisinhaber ist und gar nicht zugrucksberechtig ist auf Akten. 

Mit der ePA für alle wurde eine ganz wichtige Sache umgestellt. 

Das ist jetzt die aktuelle ePA. 

Wir sind jetzt in der Obdaut-ePA, die soll also jeder und jeder gesetzliche Versichheit kommen. 

Es sei denn, es wird aktiv gehandelt. 

Sein es wird in der Spochen. 

Wenn ich aber sage, da bekommst du eine ePA nur, wenn du auch durch ein ident läuft, also irgendwo hingehst, dich ausweis, identifizieren lässt, damit du eine Pin bekommst. 

Und bei der ersten ePA war es nämlich so, da baute man noch eine Pin, um da auch die Freigabe zu erteilen für der Praxis. 

Dann wäre das ja eine aktive Handloh. 

Man gedacht ist man ganz schlau. 

Wir drehen das um, jeder und jeder bekommt so eine ePA. 

Um muss sich nicht irgendwo identifizieren. 

Das heißt, wir schaffen die Pin einfach ab. 

Das heißt, um als Versicherte eine Freigabe für den Zugriff auf meiner ePA zu erteilen. 

Z.B. 

Ein Hausarzt-Paxis soll zukreifen können. 

Musste ich früher noch eine Pin eingeben? 

Heute nicht mehr. 

Mit der ePA für alle reicht es einfach der steckten eGK, der Gesundheitskarte und der Zugriff ist erteilt und es funktioniert wunderbar für alle, ohne dass sich irgendetwas aktiv tun muss, wie z.B. 

Eine Pinbeantragung ähnlich ist. 

Werving steckt aber auch das Grundübel der defizitären Sicherheitsarchitektur, denn die Telematikinfrastruktur waren die dafür gemacht, dass ich private Schlüssel, die auf solchen Karten gespeichert sind, nutze ohne, dass ich eine Pin eingebe. 

Das war nie vorgesehen, dass ich allein nur den Besitz einer Chipkarte, ohne den Wissensfaktor dazu, also ohne die Pin als ausreichende Achteung, Zugriff-Freigabe zu erteilen, um hier die Anwesenheit eines Versicherten in einer Art Paxis nachzuweisen. 

Und damit auch, ich sag mal, die Einwilligung, dass ich meine Akte für diese Art Paxis freigebe. 

Man hat sich dort umgeschaut und die sogenannte EGK-Steckenlösung des E-Rezept kopiert für die elektronisch Patienten lagte. 

Es gibt eine große andere Anwendung in der Telematikinfrastruktur, im Digitalen Gesundheitswesen, dass das E-Rezept bei der hat man auch auf die Pin verzichtet und das war die erste Anwendung bei der Zugriff auf Gesundheitsdaten möglich wurde, allein durchstecken einer Gesundheitskarte in ein Lesegerät. 

Und dieses Prinzip hat man bei der E-Pafirale jetzt umgesetzt und hat hier auf die Pin verzichtet und hat sich damit eine Sicherheitslücke eingehandelt. 

Die leider zutiefen Architektur steht als, dass die Bruben werden konnte und die auch weiterhin noch offen ist, wo man das ganz klar sagt, wird die auch erst frühestens Mitte 26 behoben. 

Jetzt kann ich noch noch mal auf den guten anderen Podcast verweisen. 

D.h. 

Dort wird auch ein bisschen aus der Nanaklamusat, finde ich auch gut, dass das bei dem E-Rezept vielleicht noch hinnehmen war. 

Erstens, weil das sozusagen Flüchtige da an sind, die nach einer gewissen Zeit oder wenn’s eingelöst wird, sind so hinfällig sind, dass es bei der E-Pafirale anders ist. 

Das zweite ist, dass es dort ja auch Use-Cases war, gab, wo es durchaus sinnvoll sein kann, das von mir ist eine Bettlärige Oma oder meine Frau war auch vor kurzem krank, dann ist es schon noch geschickt, wenn ich in ihre Egel kann, nehmen kann und für sie dann Sachen abholen kann aus der Apotheke ohne dann jetzt mit Pin einzugeben. 

D.h. 

Für den Use-Case seid ihr fein, oder? 

Wie Sie es ist? 

Nein, das ist tatsächlich nicht so. 

Beim E-Rezept muss man wissen, dass das Erezept bereits gesundheitsdaten sind, die dort offenbart werden für Angreifer und ein Angreifer, der die Möglichkeit hatte, alle E-Rezepte, alle GKV versicherten, und künftig auch teilende PKV-Versicherten, abzurufen, der bekommt einen massiven Datenschalt, weil und da muss man die primäre noch nicht asherenz, unter jetzt mit rein nehmen, das ist ein weiteres Wort für Squabble, das ist die Anzahl der Rezepte, die nicht eingelöst werden. 

Also es gibt sehr viele Verordnungen, die von Ärzten ausgestellt werden, von Versicherten aber nie in der Apotheke abgeholt werden, also nicht eingelöst werden, der wird keine Erzneid dispensiert oder hänlich aus und die bleiben für 100 Tage auf diesem Erezept fachdienst liegen. 

Und wir haben das mal auf einem Nepkin ausgerechnet, so ein Bierdecklrechnung. 10 bis 20 Prozent aller Versicherten haben immer Erezepte auf ihrem Erezept fachdienst liegen, das heißt, ein Angräfer, der eine beliebige Gesundheitskarte, beispielsweise erlangt oder so tun kann als hätte er eine und damit auf den Erezept fachdienst zugreifen kann, der bekommt eben nicht 73 Millionen, also für alle für sich hatten ein Gesundheitsdatum, aber schon für 7,3 Millionen, also in dem wir jetzt mal 10 Prozent an haben, dauerhaft eine Verordnung hinterlegt. 

Das ist natürlich ein Massenzugriff, also wenn ich über 7 Millionen Gesundheitsdaten habe und das sind gerade bei Menschen, die sehr regelmäßig als Neie oder Mädchen zu sich nehmen müssen, wo Verordnung auch dann nicht eingelöst werden. 

Das ist ein massiver Datenschatz. 

Das zweite Problem, was wir daheim ist, der Angräfer kann ja regelmäßig diese Daten abrufen und damit dann auch eine Historie gewinnen. 

Das heißt, das war auch Kälber schon der damalige BFDI-Bundesbeauftragte für den Datenschutz, wenn es uns freut, hat damals schon gesagt, das geht nicht, dass eine Apotheke, Apotheken sind er die, die auf den Erezept fachdienst gelesen zugreifen, um Verordnung abzupfen und dann auch dispensierende Informationen eindranken, dass die zugreifen können, einfach nur nach Behauptung, dass die versicherte Person auch jetzt gerade da ist und das möchte. 

Sondern die müssen nachweisen, dass tatsächlich eine Karte gesteckt ist. 

Das hat damals schon gehabt, 2020 einen Schreiben von BFDI an die Gematik, wo das stark redisiert worden ist. 

Auch der CCC hat damals Stellung bezogen und hat gesagt, dass das System mangelhaft ist. 

So die Aussage damals und dass es unbedingt kryptokravisch abgesichert werden müsste. 

Und es gab dann Vorschläge, tatsächlich von außerhalb der Gematik und auch von Ausrichtung des BFDI, dass man dieses Verfahren, diesen Prüfungsnachweis bei stecken der Karte. 

Jetzt werden wir es greifisch schon ein bisschen vor, dass man damit eine Signatur arbeiten muss. 

Dass man das signieren muss und das ist ja das, wenn wir mit einer Signaturarbeit in einem kryptokravisch abgesichertes Datum, das kann ich nicht so einfach fälschen, wenn der Signaturschlüsse mir nicht bekannt ist. 

Und da kann ich nicht einfach behaupten, ich hätte hier eine Karte, sondern das wird auf einer Signatur zurückgeführt. 

Und das nochmal einzusortieren. 

Das bedeutet, es wäre der massenhafte Zugriff möglich gewesen, von den E‑Rezepten, die bis dahin noch nicht abgeholt werden worden sind. 

Das wäre aber nicht automatisch aus den, aus den Apothegensystemen, weil das nicht automatisch drin, natürlich nicht, sondern weil das auch illegal, also es war möglich, aber es war illegal und das heißt, man hätte da dann Nummern hochzählen müssen oder man hätte sozusagen die Nummern erraten müssen, so dass man ihre Zöpze abfragen kann, oder? 

Richtig, also war jetzt keine Funktion, die in irgendeinem Apothekenverwaltensystem eingebaut ist, ruf mal alle E-Retette, alle versicherten ab. 

Aber letztendlich war es die Apotheken-Soffe, die vor 2022 in dieses kleinseitige Absicherung zu übernehmen. 

Das heißt, die Software, wenn die E-Teager ist, wenn die nicht manipuliert ist, dann wäre das System sicher gewesen, aber wir wissen alle, dass Software, die irgendwelchen Rechtern kleinseitig läuft, die kann ich umgehen als Angriff. 

Ich muss ja nicht die Software benutzen, die kann mir meine eigene schreiben. 

Christophsartio hat das ja jetzt auch schon wieder demonstriert und umgehen einfach diese kleinseitige Prüfungen. 

Und deswegen brauche es für Sicherheit immer etwas, was ich als angreifern nicht manipulieren kann, also was selber seit ich prüft. 

Mir geht es nur darum, weil es natürlich da auch unterschiedliche Ausprägungen gibt, und es gibt auch manchmal komische Leute auf LinkedIn oder früher auf Twitter oder X, die noch mehr, die dann gesagt haben, dass natürlich auch in der Apotheke jeder alles sehen kann, also das mit einführendes E-Rezept oder der E-Pair, dann automatisch Ausstandard anwendung jeder alles sehen kann. 

Ja, das ist natürlich falsch, klarzustellen. 

Genau, das ist natürlich nicht richtig, und das war auch nie so vorgesehen. 

Man muss aber ganz klar sagen, dass das aus perspektive, altesicherheit völlig unzureichend ist, weil ein Angreifern natürlich nicht der Standard weggeht. 

Der geht ja bewusst durch die Hintertür, der schreibt sich bewusst in eigenes Kript und Tools, und die werden sehr einfach zu schreiben gewesen. 

Genau, also ich wollte nur klarstellen, dass es zwei unterschiedliche Sachen sind, diese unsichere Methode auf die E-Rezepte zuzugreifen, oder magst du das vielleicht noch kurz beschreiben? 

Also der Stand vor 22 sah so vor, dass die Apotheken Software, die war quasi die Puffinstanz oder der Sicherheitsanker. 

Wenn die Software die Funktion nicht bietet, der Backen ist nicht auf dem Bild schon, dann war damals aus Sicht der gematik die Sicherheit gegeben, dass ein Angreifern dann auch nichts damit anstellen kann. 

Wie gesagt, wir halten davon nichts, es ist auch nicht anerkannte Stand der Technik, weil kleinzeitig Sicherheit kann natürlich ein Angreifern im Gang werden, aber das war das damals legeprinzip. 

Und zurecht bemängelt der damalige BFD-Kelber das, aber auch das BSE hat sich dem angeschlossen, das Bundesamt für Sicherheit in der Formationstechnik und auch der CCC und viele weitere im Kreis des CCC und Aushalb haben, bemängelt, dass das doch wirklich ein zu großes, zu offensichtliches Loch ist. 

Weil, wie gesagt, klar, ein Apotheke muss sich mit ihrer SNCB ausweisen, mit ihrer Apothekenkarte, um überhaupt auf diesen Erezip-Fachtings zu kommen, aber in solchen Apotheken arbeiten viele Mitarbeiter, es gibt damals, glaube ich, noch 19.000 Apotheken in Deutschland, die alle hätten Zugriff bekommen können, multipliziert mit der Anzahl der Mitarbeiter, da regen wir also von einem Walled Garden, der sehr, sehr groß ist und wo nicht wirklich jedes Prümchen ein Hamlos ist, ja, das haben wir ja dann später bei Corona gemerkt, solche Corona-Infzertifikate gab es dann auch hinter dem Bahnhof an der Ecke, von entsprechenden MFA oder Mitarbeiterinnen und Mitarbeitern von Apothekerinnen und Apothekern ausgestellt und von daher ist dies andern nicht richtig. 

Deswegen hat man dann vorges gemerkt, man hat dann auf Träumen, wie gesagt, BSE, BFD, CCC und vielen weiteren, eine Lösung umgesetzt, man hat sogenannte Prüfungsnachweise verwendet und ging dann wohl davon aus, weil das war die Forderung und auch das Angriff, genau was man damit abwerden wollte, das keine kleinzeitige Manipulation mehr zum Erfolg führt, dass also wirklich die echte Karte gesteckt sein muss, im Lesegerät der Apotheke und das ist ein Prüfungsnachweis, und dieser Prüfungsnachweis weist nach, nach weiß, dass da eine echte Karte gesteckt ist, wurde also gepulft, ist eine echte Karte. 

Aber es gab hier ein Missverständnis und das haben wir 23, 24 und spätestens seine Dezember, 24, sehr öffentlich ausgelöst, dieses Missverständnis, dieser Prüfungsnachweis, der jetzt wirklich kryptographisch gut abgesichert war, nicht über die PKI, der wurde tatsächlich über ein symmetrisches Verfahren tatsächlich abgesichert und der Zuhilfe namen von PKI-Komponenten, das sind ein bisschen aventeuerlich, aber es ist völlig egal, weil dieser Prüfungsnachweis nicht, wie gedacht und wie von BFD alle regt und auch von dritten Vertreten, nach weiß, dass die echte Karte geprüft wurde, der Prüfungsnachweis behauptet gar nichts dergleichen, sondern an dem Prüfungsnachweis weist nach, dass sich versicherten Stammdaten bei der Kasse auf Aktualität geprüft haben und dieses Missverständnis, also Prüfungsnachweis weist nicht, nach, ich habe geprüft, ist eine echte Karte, sondern weist nur nach, ich habe geprüft, die auf der Karte gespeicherten Stammdaten, Wohnanschrift, Versichungsbeginn, die sind noch aktuell und ich habe das bei der Kasse überprüft. 

Das sind zwei völlig unterschiedliche Dinge und diese Verwächslung oder dieses Missverständnis hat dazu geführt, dass wir hier heute sind, wo wir sind. 

Das kann man ja nicht vorstellen. 

Also das sind das, das ist jetzt ja, ist jetzt ja ein Wort sozusagen, also ein Artik ist richtig fast, dass eine ist, ich habe geprüft, ob es der richtige Menschen ist und andere ist es geprüft, ob die Stammdaten noch richtig sind und du sagst, weil das ein Wort ist, aber zwei sementische unterschiedliche Bedingungen, dass das dazu geführt hat, dass das geht, was du zwei sagen, was, was geht. 

Das ist in der Tat so, der Herr Kälber hat damals in seinem Schreiden, 2022 an die Gematik von Angriffszeneien gesprochen, die durchaus realistisch sind, also dass sich ein unbefugter in die Rolle eine Apotheke oder Arztpaksis begeben können, indem er zum Beispiel eine SNCB erwirbt oder ein Zugang zu den IT-Systemen einer solchen Praxis bekommt. 

Und das sind ja auch zunächst wieder aufgezeigt, noch mal nachgewiesen haben, dass die sehr realistisch sind. 

Wir haben es ja verschieden wegen, da kommen wir hier gleich noch zu sprechen darauf, solche Zugänge besorgt und Kunden dann in der Rolle eine entsprechenden Apotheke oder Arztpaksis auch handeln. 

So und Herr Kälber hat damals erkannt, dass muss abgewährt werden. 

Das heißt, ein Angräfer, der die Möglichkeit hat, IT-Systeme in einer Apotheke beispielsweise zum manipulieren oder im Namen einer Apotheke selbst zu handeln und mit eigener Software auf diese TI zu zu greifen, auf den Ehrer zu fachdienst und jetzt auf die Epe, der muss davon abgehalten werden können. 

Und der muss also dadurch davon abgehalten werden können, dass er belegen muss diese Angräfer, dass er von dem Versicherten auf dessen Akte oder auf dessen Ehrer Dezepte erzugreifen will, auch tatsächlich physisch die Gesundheitskarte gerade vor sich hingert. 

Der Begriff des Pulfungsnachweises, der wurde schon in dem Schreiben damals erwähnt. 

Das wurde auch von der gematik genannt, das wurde auch aus dem Umfeld TCC genannt. 

Das ist einer oder einen Schluss, der sehr nahe liegt, denn beim Sticken der Karte in der Lesegerät. 

Jeder blieben Arztpaksis in Deutschland oder Apotheke wird automatisch, das sogenannte für sich, hat eine Stammdatenmanagement durchlaufend. 

Und im Rahmen dieses VSDM wird ein Prüfungsnachweis erzeugt. 

Und dieser Prüfungsnachweis, wenn der den entsprechenden Typ hat, nur außerdem über dem wir jetzt hier reden, dann wird der Online erzeugt von den Systemen des sogenannten Versicherten Stammdatendienste. 

Also jetzt so noch in Zital, der gibt es ein Upload-Flex-Service und Blamblaber, aber letztendlich sind das die Kassen, die gesetzlichen Krankenkassen, die auf ihre Seite einen solchen Prüfungsnachweis ausstellen, von sich aus, kriegt du krafisch absichern und zurück an die Apotheke geschicken, nachdem vorher ein Apotheke die Karte gesteckt war. 

Geil wird gesteckt, der wird irgendwie mit der Kasse kommuniziert, mit Versicherten Stammdatendienste und zurück kommt Prüfungsnachweis. 

Und deswegen lag mir die Arztpaksischritt. 

Oder das heißt, das ist passiert, wenn wir mit der EGK, mit die Stecken, in der TE, dann wird zuerst VSDM auch die erste Anwendung geprüft, ob vielleicht die Menschen umgezogen sind, ob die noch versichert sind, durch die neuen Namen haben, etc. 

Diese Geschichten, das ist immer der erste Schritt. 

Genau. 

Und von deswegen, von daher hat man gesagt, dann lassen wir und nehmen wir doch diesen Prüfungsnachweis, als Nachweis, dass tatsächlich die Karte hier gesteckt war, weil steckt eine Karte für die Prüfungsnachweis, um Kehlschluss, Prüfungsnachweis, Karte, dass nichts damit zu tun, dass die Begriffe gleich sind, oder? 

Also nicht, dass wir geprüft haben, wir haben nachgewiesen, dass wir geprüft haben, ob sich die Daten geändert haben, das meine ich. 

Richtig. 

Das Wort ist ja erst mal, es wurde irgendwas geprüft in dem Namen, dass die nicht drin war, was geprüft worden ist und okay, das ist die Fehlanarme der Hengter. 

Deswegen ist dieser Prüfungsnachweis nichts wert. 

Ich kann einen Prüfungsnachweis bekommen, ohne dass ich einen Karte gesteckt habe. 

Ich prüfe nie, es sind die Stammtarten aktuell. 

Das einzige, was ich als Angriff erwissen muss, um so ein Prüfungsnachweis zu erzeugen, das ist die Kartennummer, die ITSN, das ist die Kartennummer, die steht hinten aufgedruckt, so eine lange Nummer auf jeder Gesundheitskarte drauf, aber auch S&CBs, halbungsweise am alle eine Kartennummer, also alle Chipkarten, auch Personalersweise am alle eine schöne Kartennummer und bei der Gesundheitskarte spiel diese Kartennummer eine besondere Bevole, denn ich schicke diese Kartennummer aus einer Arztpraxis heraus, aus einer Portekel heraus, zur Kaster an diese Versichernstammdatenienste und diese sagen wir dann, ja, wohl auf dieser Karte sind die Daten aktuell oder sie sagen wir, nein, auf dieser Karte mit der gegebenen Nummer sind die Daten nicht aktuell, du musst ja actualisieren, denn liegt in so genannte Aktualisierungsauftrag vor. 

Das ist alles. 

Und der Prüfungsnachweis, den bekomme ich zurück, wenn ich die Kartennummer an diesem Versichernstammdaten in den Schicke und der sagt, wir wollen, Daten sind noch aktuell, also 99,99 Prozent der Fälle sind die Daten noch aktuell und schicken wir dann nachweis darüber, dass ich diese Versichernstammdatenmanagement durchgeführt habe, weil das brauchen Ärzte bzw. 

Praxen, Apotheken um abrechnen zu können und auch als Nachweis, dass sie der Pflicht zum Versichernstammdatenmanagement nachgekommen sind. 

Seine Pflichtanwendung, die erste der Tee, müssen sie also nachweisen, gegenüber der KV oder, dass sie dieser Prüfungspflicht nachgekommen sind. 

Also nachweisen, dass sie gepuscht haben, die Aktualität der Stammdaten, Prüfungsnachweis. 

Und von daher ist dieser Prüfungsnachweis völlig unereignet, nachzuweisen, dass der Karte gesteckt war. 

Dafür hat man ihn dabei dann später verwendet. 

Man hat diese Prüfungsnachweis, also dann auch noch abgesichert, aufgebohrt und cryptographisch signiert, aber das hilft… – Da kann ich gleich nochmal dazu. – Genau, das hilft ja nicht, weil wir versuchen zu rekabisch vernehen, dass wir jetzt gemacht haben. 

Also ich hätte vielleicht Zwingker Zwingker auf Kleinanzeigen geguckt, ob ich da irgendwo ein Konnektor finde, indem noch irgendwie so eine SMCB steckt und ein Heilbrufsausweis, den hätte ich dann bei mir zu Hause angeschlossen und hätte damit vielleicht, wenn ich noch die Pin gehabt hätte, Zugriff bekommen auf die Telematikinfrastruktur. 

Jetzt habe ich selber dann ein Tool geschrieben, dass einfach Web-Service das abfragt und bei Web-Service ist es hier der VSDM-Service. – Und beiner? – Beiner. 

Also dein VSDM ist noch eine der guten halten Legacy-Anwendungen, die direkt vom Konnektor gesteuert wird, also der Konnektor ist nicht nur bei einer Fritzbox, die sicherheitsüberprüft ist, sondern hat auch noch Fachlogik bei sich. 

Das heißt, deine Software, eine Arzt Software oder eine Apotheken Software erhält vom Konnektor ein Signal, es wurde eine Karte gesteckt, das ist eine der wenigen Push-Verfahren überhaupt in der Telematikinfrastruktur und dann kannst du mit deiner Software sagen, alles klar, da ist eine Karte gesteckt, dann ließ mir die doch bitte aus und mach gleichzeitig bitte ein Online-Update und früh vorbeinabdeckt vorliegt und dann handelt der Konnektor und nicht dein Tool, also der Konnektor spricht dann eben mit diesem Web-Service oder TI Web-Service. – Mein Tool spricht nicht mit dem Web-Service direkt, sondern ich schicke die entsprechende Nachrichten an der Konnektor und der fragt für mich dann den Web-Service ab. – Ja, sagen wir mal, es ist nicht ganz so leicht, also das finde ich auch nochmal wichtig zur Einordnung, das Galen-Effektes von den wichtigen Findings, das nachzustellen, das ist nicht trivial, also es ist natürlich schon für gewisse Angreifersklassen, also es ist nicht mein Spezialgebiet, aber so viel habe ich jetzt schon vom Martin und Christoph gelernt, also für manche Angreifersklassen ist das durchfühlt, aber das ist weder für dich, Christoph, dann noch für mich in irgendeiner Form realisierbar, weil ich gebe dem Konnektor überhaupt keine Nummern, der Konnektor bekommt die Nummer von der Karte selbst, und das heißt, wenn ich irgendwo an setzen möchte, dann muss ich hier an die Stelle zwischen Connector und Karten-Termine angereifen, um dann der Telematikinfrastruktur Nummer hoch zu zählen oder vorzugaukeln, so das ist nicht das trivial, was ein Softwareanbieter beispielsweise machen kann. – Völlig richtig, ja, und das, was du jetzt gemacht hast, Tim, das ist ja quasi eine angreifer Potenzialbewertung, also oder Angriffspotenzial, also wie viel Potenzial muss sein Angreifer haben, damit der diesen Angriff durchführen kann, trotz der vorhandenen Komplicationen, also wie mächtig oder wie gut aufgestellt, wenn wir Ressourcen und Zeitinsatz muss sein Angreifer vorgehen, um hier zum Erfolg zu führen, und das ist ganz wichtig, dass so eine Diskussion geführt wird und dass hier am Ende da wird und auch transparent wird, was notwendig ist und was da aber auch möglich ist, Potenzialer schärden, damit das klarer wird, und das ist etwas, was wir prüg sehr vermissen und wo wir auch jetzt zuletzt mal versucht haben, das auf einen Neller zu bringen und greifbar zu machen, wir haben dann immer bemüht, wie viel Zeit würde das denn dauern, also wir haben ab sich den Zeitfaktor genommen und wie viel wissen, wo sich vor mir mitbringen haben gedacht, okay, man muss schon IT-Spezialist sein, aber auch spezialisierte IT-Spezialist, also man muss auch die Gematik-Spezifikation lesen und da gibt es noch nicht so viele, die das machen, also hier ist die Dichte sehr hoch. 

Ich habe es versucht, jetzt hier in Vorbereitung, also aber dafür gibt es ja die KI jetzt. 

Ja, das ist ein Gematik, wenn er den M-Rein und sagt, das guckt mir das und dann kriegt man fertigen mit Python-Coder oder so. 

Aber das ist genau der richtige Weg, um ein Ordner zu können, ist so eine Schwachstelle Praxis relevant, mitigiert, die das Risiko oder ist das Risiko ausweichen, adressiert oder müssen wir noch mehr tun. 

Ja, genau. 

Vielleicht noch einen Punkt, weil der Thema hat ja schon einen Angriffspunkt genannt, also irgendwo zwischen Kartenlesegerät und Konnektor und TI, muss sich diese Kartenummer in jetzt hier einbringen. 

Für dessen Versicherten, ich dann nachher gesundheitsarten, abrufen, weil ich da als Angriff habe. 

Und welche Möglichkeiten gibt es dazu? 

Man kann das sowohl auf Seiten der Karten machen. 

Also man kann schon vor dem Kartenlesegerät eine Karte stecken, die kann man kaufen. 

Es gibt die im Internet zu kaufen, solche Testkarten. 

Also da sind Karten, da kommt hinten noch ein Kabel raus, dann steckt man dann einen Computer. 

Und dann kann man an der Computer die Karte quasi dynamisch bespielen und die Daten ändern, die auf so einer Karte sind. 

Das sind einfach klassische Test-Java-Chip-Karten, weil die gesundheitskarte sind jetzt nichts exklusiv deutsches, sondern das ist nicht Java-Kart, letztendlich. 

Dann kann man dem System, also schon vor dem Kartenslot, weil sie falsche Daten einspielen. 

Das ist sehr interessant, weil das bedeutet, dass diese Lücke auch schon von Versicherten genutzt werden kann. 

Man muss gar nicht in der Rolle eine Leistersuppehrung zu sein. 

Man braucht gar keine SBCB und Konnektor. 

Ich kann einfach mit so nach Karte, wo hinten ein paar Kabel rauskommen, die dann in mein Rucksack für uns am Laptop, eine Apotheke gehen und die Karte stecken und kann dann auf alle möglichen Ehre zu kräft, theoretisch. 

Aber das ist natürlich nicht so interessant, sonst in der Szenarie, weil dann muss ich wirklich vor Ort physisch irgendwo hinlaufen. 

Und viel spannender sind in der Szenarien, wo ich aus der Ferne agieren kann, also irgendwo aus der Karibik. 

Im Strand hecke ich mich dann ein und holer diese Rezepte ab. 

Dazu brauche ich dann eben mehr. 

Da brauche ich nicht nur eine Karte, weil in der Karibik gibt es keine Apotheke mit TI-Anschluss, glaube ich, sondern da muss ich dann in TI-Anschluss selber erstellen. 

Und dann kommen meine Szenarie, was Tim eben beschrieben hat. 

Da brauche ich dann in den ganzen Krämpel. 

Also Konnektor mit Kartenlese geredet, geperrt und ordnbar. 

Aber dazu vielleicht haben wir mit diesen Ballet-Gaden nochmal, dass wir mal kurz aufgegriffen, wie viele Leute da überhaupt zugefahren haben, weil man die Szenarie muss zeigen, dass das wirklich möglich ist, dass man diese SNCB bekommt. 

Aber auch ganz normal, wenn ich das nicht über Kleine zeigen mache, man muss ja nur mal kurz hoch rechnen, wie viele Leute in Deutschland darauf zugefahren sind. 

Das sind ja mindestens alle Praxen, alle Apotheken, in Zukunft und auf Pflegedienste. 

Plus jeweils nochmal stimmt die Mie 10 Mitarbeiter daran. 

Plus nochmal IT-Dienstleister, Plus Support-Mitarbeiter teilweise bei praxiverweitungssystemen. 

Auch da gibt es manchmal Datenbanken, dass die die Passwitter speichern für den Kunden, damit sie sich dann nicht rumplagen müssen und die Passwitter suchen müssen. 

Das heißt, wir kommen da locker auf über eine Million. 

Potenzierlich, wieder was machen können. 

Potenzier Leute, die darauf zugefahren. 

Und vielleicht nochmal, also ganz kurz gesagt, warum ich das hier auch immer so schön testen kann, alle Sachen. 

Ich habe einen legalen Zugang zu der TE. 

Das heißt, alleine, dass ich solche Sachen machen kann, heißt der schon mal so, na ja, wir hatten da alles Zugriff halt, ne? 

Also manche Leute haben ja auch doppelrollen, so wie ich. 

Und daher kann ich solche Sachen über ganz gut testen, weil ich immer diesen legalen Zugang so über habe. 

Ich darf da vom einem Leben so appear, muss ich manchmal solche Sachen in so einer Praxis machen. 

Okay, aber das heißt, ihr seid dann in diesem Walled Garden und die Leute, die sehr vielen Leute sind in diesem sehr großen Garden und könnten dann theoretisch, wenn es auch versierte, hecker sind und versierte IT-Security-Spezialisten, die hatten dann zumindest die Möglichkeit, darauf, das entsprechend zu machen. 

So, komm jetzt zu ePA. 

Wie war das da? 

Also, ich habe so viel verstanden, dass jetzt die Systematik mit der Errezepte abgesichert worden sind, vielleicht in Anführungszeichen, dass man sich gedacht hat, ja, so was eigentlich ist, machen wir auch für die ePA, weil das schon funktioniert. 

Genau, richtig. 

Also Pin wollte man nicht mehr aus dem Grund, dass man gesagt hat, Pin muss man beantragen, das wurde ja dann noch eine jetzt vorletzten Legislatur korrigiert, dass man für die Ausgabe einer Pin auch ein Ident-Verfahren durchlaufen muss, dass die nicht mehr frei auf nette Bitte dann oder Anfrage zugeschickt wurden, sondern man muss auch wirklich nachweisen, so eine Brichtig war. 

Und das passt halt mich mit einem Prinzip zusammen. 

Wir geben jeder und jede meine Akte und nur wenn du aktiv bist, dann kannst du wieder spreche, dass wir einen aktive Handlung voraussetzung und überhaupt Zugang zu so einer Akte bekommen. 

So, ich habe mir die Pin weggelassen und habe gesagt, okay, wir nehmen diese EGK-Stecklösung, die Gesundheitskart-Stecklösung aus der Apotheke, für das E‑Rezept und setzen dir auch für den Zugriff auf die Elektronischpatientenmarkte ein. 

Wir haben das natürlich auch mit einem weinen Auge begleitet, aber leider wurde in diesem Zug die Pin nicht ergänzt mit diesem nur karten Zugriff verfahren, also EGK plus Pin oder nur EGK. 

Das stand jetzt nicht mehr zu aus, sondern wo vorher das Verfahren vielleicht für viele zu sichern war und zu schwer, dann auch zugänglich. 

Also man quasi die Verfügbarkeit gegenüber der Vertraulichkeit vielleicht zu weit zurückgestellt hatte damals, so ist es jetzt ja so, dass ich immer und ausschließlich nur mit der Gesundheitskarte den Zugriff auf die Akte freigebe als Versicherte durchstecken in einer Praxis, weil selbst wenn ich möchte, kann ich nicht, auch wenn ich sie habe, die Pin einsetzen und sagen naja, auf meine Akte kommen alle mit Pin ran. 

Also ich befuche eine Praxis, eine leistede Situation mit Gesundheitskarte und Pin, diese Wahl gibt es gar nicht mehr. 

Man hat also diese gesamte Infrastruktur, also die Möglichkeit in ein Arztpraxis über ein Kartresegerät oder eine Pinanzug eben obsolet gemacht und gesagt okay, jetzt für alle dieses weniger sichere Verfahren nur die steckende Karte. 

Und das ist natürlich klar. 

Ich habe nicht GKV für sich, da bin ich nicht aktiv geworden. 

Du hast ja bei Kleinern zeigen, die Infrastruktur besorgt, du hast diese programmierbare Karte, dann kannst du mit meiner EGK auf meine E-Part zu grafen. 

Aber erstmal bevor man das realisiert, wäre das auch schon ausreichend und das ist natürlich viel wenige anspruchsvoll, sich einfach den Besitz einer Karte zu verschaffen und mit dieser Karte dann zum Beispiel in einer Proteke zu gehen und im Rahmen der assistierten Telemedizin einsichtzunehmen, so eine Akte. 

Ein neues Verfahren ist der 129 sGB5, aber bitte nicht fest nein. 

Das wollte ich sozusagen herleihen. 

Das wollte sagen, das ging auch, dass wir ja kein Massenabhof, sondern man könnte, wenn man die EGK hätte, wenn man mit der EGK und die anderen Sachen hat, also Zugriff hat, so hätte ich kann man darauf zugriffen. 

Das große Problem ist ja aber, dass man auch einige Zeit lang der Massenzugriff, also 100.000 Abrufe möglich waren. 

Ja, also als das gezeigt wurde im Dezember, da gab es diese Technologie noch nicht für uns in der sogenannten Produktivumgebung der telematischen Infrastruktur, sondern da war das in der Referenzumgebung demonstrierbar rechtzeitig, deswegen auch in einem sehr verantwortungsvollen Disclosure wurde dann eben sehr kurzfristig festgelegt. 

Nein, wir können die Risiken sind zu groß, deswegen starten wir mit der EPA für alle mit Praxen in Modellregionen und Testregionen um bei diesen Praxen, die in Besitz der S&CB, also das Organisationsausweis ist sicherzustellen, um damit das Potenzial zufachingern. 

Was dann gemacht wurde, das war der erste Schritt. 

Der Zugriff auf den EPA-Fachdienst wird beregelt und gleichzeitig sollen weitere technische Maßnahmen etabliert werden, die den eben diskutierten Prüfungsnachweis ergänzen. 

Und zwar um Informationen, die jetzt nicht mehr beliebig jede Karte oder jede versicherten Nummer darstellen, sondern Informationen, die auf der Karte enthalten sind, aber nicht auf der Karte abgedrucht sind. 

Okay, also das heißt, das, was ihr sozusagen bis dato bis zu dem Zeitpunkt, wo wir jetzt gerade sind, festgestellt haben, dass auf dem, auf den sogenannten Testzürmer, wo man das testen kann, hatte man die Daten alle abofen können, auch massenhaft, ohne dass man die physische EGK irgendwo gemobst hat oder sonst irgendwas. 

So, weil ihr vom CCCB oder das Ehrenhaft, Ehren, wenn er vorher gemeldet hat, sind sozusagen unter anderem, deswegen diese Testregion eingeführt worden, dass man bei den 300 Ärzten niedergelassen, die da mitmachen, vorher prüft, okay, das tatsächlich deren HBA auch der richtige ist und in der Zwischenzeit hat man das gefächste, habe ich nicht verstanden, richtig soll. 

Es ist eine Variante, die ich sag mal sehr harmonisch ist. 

Wir haben da aber ein Punkt, den ich ansprechen muss, auch wenn er vielleicht für manche unangenehm ist. 

Das ist, wir reden ja hier über die ePA. 

Das defiziert, also dieser Zugriffsweg, der kommt ja vom E‑Rezept. 

Und wenn da bei die ePA kaputt ist, dann ist auch eine Promeverzerkippe. 

Und das heißt, der spätestens August 24 weiß, die gemartig, das B&G, aber auch alle weiteren Raufsichtsbehörden, dass das selber auch bei mir derzeit möglich ist. 

Und das E‑Rezept stand dann schon produktiv als Pflichtanwendung. 

Und das heißt, wir haben jetzt ein knappes, also über ein halbes Jahr Zeitzeit gehabt und dann auch mal ein paar Monate hinten dran, in der Testphase der ePA, wo allen bekannt war, wie man alle Ehre teppte, über eine Erezeptfachdienst unter alleiniger Angabe der Karten immer abrufen kann. 

Und das finde ich muss genannt werden, weil das finde ich nicht verantwortungsvoll und das muss künftig anders gehandelt werden, wenn das eine Meldung gibt, wie diese hier, also eine Erkenntnis von außen an verantwortlich getragen wird, dass das Zugriffsverfahren unsicher ist. 

Und es sind mehrere Dienste betroffen. 

Wir haben natürlich in unserer Darstellung auf dem Kongress nur die ePA genannt, weil wir wussten, dass ein Versorgungsrelevantes verfahren, was da draußen produktiv laufen muss, völlig angreffbar ist. 

Und wir haben es deswegen auch nur in Bezug auf die ePA veröffentlicht, weil die gemartig im August 24 gesagt hat, so gemartig, dass jetzt natürlich die entsprechenden, mit denen wir dort im Austausch standen oder weiterhin auf den guten Austausch stehen werden oder wieder werden, dass das ein Risiko ist, was sie tragen wollen. 

Und wir sehen das ganz anders und dann kommen wir jetzt in die Risiko bewahrter. 

Aber ich muss sagen, es ist bei der ePA nicht produktiv möglich gewesen, alle Akten abzugufen, weil die ePA produktiv dann erst mal vertürgert wurde, bis jetzt letzte Woche. 

Beim Ehrezeit-Fachting, deswegen sagt sie das ganz anders aus. 

Der war schon immer offen und für angreif war schon immer zugänglich. 

Und dort wurden auch keine Maßnahmen, ich soll mal nur für einen Maßnahmen umgesetzt. 

Das ist nur deswegen vielleicht nicht bekannt, weil wir das auch aus verantwortungsbewusstsein für dieses produktive Versorgungsrelevantere Fahren nie gesagt haben. 

Aber jetzt, wo die Maßnahmen inzwischen umgesetzt sind, seit letzter Woche kann ich es ja sagen. 

Also wir hatten zukünftig auf alle Ehrezeit-Deutschland produktiv. 

Ich habe gerade ein bisschen Sorge, das wieder aufzudröseln. 

Also wenn ich mir vorstelle, ich bin zuhörer, dann würde ich Probleme haben, die ganzen offenen Enten sozusagen von den Seien, das wieder zusammenzuführen. 

Ressens bei der ePA weitermachen. 

Also und ich habe mir nebenbei noch notiert oder steht auch in einer Gender generell die zusammen, aber jetzt mit der Gematik, wie er das so wahrgenommen hat, das würde ich zum Schluss noch mal fragen. 

Ich will das wieder zurück kaputtulieren. 

Also die ePA ist jetzt, wir sind jetzt beim Zeitpunkt. 

Wir haben das Ganze noch mal verschoben und wir haben uns Zeit erkauft mit den, mit den, wie heißt, Modellregion. 

Die Modellregion, genau. 

Vielen Dank. 

Und in der Zeit, ich weiß schon, was gefixed wurde, aber was haben die dann da gemacht? 

Jetzt hat man also hoffentlich Sachen gebaut, sodass dann sicher ist, dass man nicht mehr alle da anabfragen kann. 

Ja, ich kann das mal machen, weil das habe ich ja dann auch praktisch umgesetzt. 

Also was dann gemacht wurde in der Zwischenzeit ist dieser sogenannte HCV-Wert eingeführt, dieser #value. 

Was da gemacht wird ist, man nimmt noch weitere zusätzliche Persombezogene Daten der Versicherten. 

Mir speziell ist es dann die Straße, Hausnummer und das Beginn der Versicherung bei der Aktuellen Versicherten. 

Der erste Buchstabe der Straße. 

Der erste Buchstab, aber genau. 

Also diese drei Daten muss man dann noch extra wissen, die werden dann noch mal ein cryptografisches Verfahren gehäscht, dann wieder aus Platzgründen, nochmal auf 40 bitte runtergeschoben, sei es drum. 

Aber diese drei Daten muss man wissen, um dann noch mal den Zugriff zu erlangen. 

Das heißt der Hintergrund war wahrscheinlich, na ja, wir müssen jetzt irgendwie das Ding retten. 

Also da war ja schon wieder die EPA, wenn man sich das so vergleichen mit so ein Wasserbehältnis, da trofft es schon wieder raus, sondern hat man wieder den nächsten Flicken genommen und den noch da drauf geputscht und hat dann gedacht, ja gut, dann wird das jetzt ja schon funktionieren. 

Mit diesem HCV-Wert. 

Das Problem hier natürlich ist auch diese drei Datenpunkte, waren ja nie irgendwie gedacht als sicherheitsrelevante Daten. 

Also wenn man sich das so vorstellen, wie über Impressungsangarten komme ich sicherlich ganz relativ schnell, auch irgendwelche Straßen und Hausnummerdaten von Patienten. 

Das ist jetzt keine super geschützte Datenbasis. 

Und das versicherten Beginn, das startet ja auch normalerweise zum ersten des Monats, das heißt, damit pro Jahr ungefähr 12 Möglichkeiten, plus ein paar Jahre, wenn man sich noch dann mal linkt, eben Sachen anschaut, da sieht man manchmal auch, hat jetzt im Gewächsel von einer Firma zu einem anderen oder ist jetzt vom verbarmtet, auf mich verbarmt, gegangen, dann sieht man zum Beispiel auch. 

So rumgekehrt, oder? 

Auch das ist möglich, nicht verbarmt, wer macht das so? 

Ich kenne ein paar Leute, die haben was gemacht, also das ist auch möglich. 

Aber auch dann kann man natürlich den Versicherungen beginnen, ableiten. 

Da ist diese drei Datenpunkte wohnen jetzt genommen als extra, na ja, ich nenne es in meinen Anführungsreichen Sicherheitslevel, um diesen Zugriff nochmal zu beschränken. 

Dabei ist natürlich zu sagen, wenn ich das in meinen Vorlesungen erkläre, im Grundlagen der Ertisicherheit, was sind denn so Sicherheitsfeatures, was sind so Sicherheits, wie groß muss die Entropäe sein? 

Also der Sicherheitsfaktor in solchen Werten, da wird das natürlich durchfallen. 

Also wenn wir dann Studie ankommen würde, ja, bin immer doch die Hausnummer-Straße und das beginnt der Versicherheit natürlich. 

Das käschen wir. 

Das häschen wir, Tuankei, das auf 40 Bilds und Hansen wir glücklich, dann würde ich mir, dann kann ich die Note da nicht mehr so schön vergeben. 

Genau. 

Wo ich auch den Kopf schüttel, obwohl ich, na, ich habe da nicht viel Ahnung, ihr seid ja die Experten. 

Aber das ist immer noch SQL Injection gibt von Systemen, die im Netz hängen, finde ich krass. 

Na, auch wenn es jetzt nicht bei der ePA war, sondern bei irgendwelchen Karten ausgehen und stellen oder whatever, das finde ich krass, das ist immer ein System mit SQL Injection gibt auf der einen Seite. 

Und auf der anderen Seite, dass man nicht so was macht, wie, was inzwischen jeder billige Web Server hat, dass, wenn man irgendwie eine Attacke hat, also außergewöhnlich viele Anfragen kommen, dass man dann irgendwann entweder die Anfragen verlangsamt oder gar nicht mehr antwortet. 

Also, dass so was nicht implementiert, war es absolut Basics. 

Das war, von Anfang an implementiert. 

Genau, da gab es eine Art Rate-Limicin, das wurde auch, also diese HZV wird es einer von 2 oder 3 verschnezen. 

Aber es wird spät eingeführt, oder es wird spät eingeführt, ja, halben. 

Warum der Zugriff von Apotheke auf 100.000 oder so, warum da nicht irgendwie eine Grenze eingebaut und das verstehe ich nicht. 

Weil das ist ja eine absolute Scharnsbegrenzung, das ist kein, das ist, wenn schon einer drin ist, dann kannst du sozusagen die Severity verringern, in dem nicht so wahnsinnig viel rausgeht. 

Und das sowas verstehe ich nicht, das für. 

Also, ich hatte einen Erklärungsansatz für, beispielsweise, das für sich hat ein Standardmanagement. 

Da würde es ja auffallen, wenn ich aus einer Praxis auf einmal Millionen, 75 Millionen Prüfungslachweise anfordern würde. 

Ja, das wäre ganz klar misspolischlich. 

Allerdings ist es so, dass, wenn ich in Prüfungslachweise anford, aus einer Art Praxis herausgegen, über eine Kasse, weil die Kasse dir liefert mir den ja, dann weiß die Kasse gar nicht, wer überhaupt hier den Anforder, da sind extra noch Intermediere dazwischen gesetzt worden, um zu verschleiern, woher die Anfrage kommt, weil man kann auch aus ärztlicher Sicht, sich nicht offenbaren wollte. 

Man wollte keine Daten liefern. 

Also, man wollte nicht die Möglichkeit technisch überhaupt, die Möglichkeit schaffen, dass eine Kasse überhaupt die Möglichkeit hätte, statistik zu führen, aus welcher Praxis werden, denn wie viele Karten eingelesen und für sich in den Standarten abgerufen. 

Und diese Vertrauligkeit, diese Informationen, das sind ja oder nicht mehr gesundheitsdaten, das sind weissungsempriereinstitutionsdaten, die wurde damals natürlich von den entsprechenden in den gesellschaften Kräste gemadigt, vertritt den Organisationen sehr hochgehalten, und Ansprüche von Seiten der Versicherten auf allen Robustes verlässliches sicheres Systemen auch mit dem Vorbeck und mehreren sie jetzt mal ein auseinandergreifen, die waren damals nicht im Gespräch, so und heute ändert sich das langsam. 

Also jetzt täuschen wir wirklich, das ist eine interessante Info. 

Das nicht nur bei den Versicherten Standartenmanagement, sondern auch bei dem klassischen Tierenfluss, die zugewiesenen IP-Adressen und Ähnlichen, die werden extra randomisiert und verwürfelt, aber trotzdem wurden diese Basics, die man häufig nimmt, um Proof Force zu erkennen und Ähnliches, die wurden extra auf verwürflung und anonymisierung gestellt, weil damals war das das schützenswertere oder überhaupt schützenswertere Datum. 

Das heißt, Massenzugriffe sind jetzt Status quo, heutzutage kaum noch möglich, also wir brauchen weiterhin Zugang zu diesen Geräten, das wir in die TI kommen, und Massenzugriffe sind in Teilen eingeschränkt, weil so eine Zugriffstränkung da ist und weil wir irgendwie überhaupt nicht aufwendig diesen geheimen Schlüssel, der jetzt auch Heschwärze von vier Stellen oder keine Ahnung was hat, den müssen wir irgendwie erraten, errechnen oder sonst irgendwas. 

Das halte ich für einen unzulässigen Schluss, nur weil ein paar Hansel, die in ihrer Freizeit war, wieder zu viel GMATX Specks gelesen haben, sagen, da steht eine weitere Lücke offen, wie gesagt, hier ist ja bei Lücke 9, heißt es nicht, dass die Lücke 10, 11, 12 schon erdeckt wurden und beseitigt wurden, also das Problem, was wir haben, den eilen weiteren Zugang, den wir jetzt in kurzer Substation wieder mal aufzeigen, also wirklich sehr banal ist und ich sag mal eigentlich, sehr schnell hätte beteiligten auffallen müssen, der Brude jetzt erschwert dieser Zugang, also einen Datenquelle, also Telefonbuch wurde jetzt eingestellt, wenn ich mir ausgegeben, aber es gibt natürlich möglicherweise auch ganz viele andere Quellen an der Telefonen mal zu kommen, die uns nicht immer die bekannt sind, genauso wie den verantwortlichen bisher, das Telefonbuch nicht bekannt war, oder ich verwendet meine richtigen Begriff die elektronische Ersatzbescheinigungsanfrage, das müssen wir auch noch erklären, die elektronische Ersatzbescheinigung, also das war ja die Medikation, dieser HZV-Wert um das Ganze sicher zu machen und dann ist es ja Martin und Bianca aufgefallen, momentan gibt es diese elektronische Datsbescheinung, diese Fchnittstelle, die ja dafür da ist, wenn ein Patient eine Patient in die Praxis geht und zum Beispiel die Karte funktioniert gerade nicht, oder das Karten Nesegerät in der Praxis ist gerade deffekt und der Mechanismus früher war ja oftmals, zum unserer Praxis und so ja dann kommen sie morgen mal vorbei, dann kriege sie die Karte nach oder die Technikarte lange Zeit in ihrer App eine Funktion, da kann ich dann die Praxis auswählen, da muss zu teilweise die Fachsumme eintragen, drück auf ein Knopf in der App und dann gehen drei Sekunden später das Fachsker in der Praxis an und eine Versicherungsbescheinigung kam dann von der Technika per Fachslipraxis. 

Das funktioniert, das habe ich selber damals auch mehrmals getestet, genau, aber man wollte das ein bisschen vereinertlichen und dafür gab es in diese neue Stiftstelle, elektronische Satzbescheinigung, sei nur wenn Oktober letzten Jahres glaube ich, der Mut hier eingeführt von der KBV, aber innerhalb der TI, also man brauchst du da auch dafür braucht man Kilamatikinfra Struktur Zugang und was von mit dieser Stiftstelle, wie die funktioniert, ist folgendermaßen, ich brauche diese Versicherungszimmer, also die KV-Nummer, die auf vorne auf der EGK draufzieht, dann brauche ich noch die Angabe bei welcher Versicherung dieser Patient ist oder ich schicke einfach die Nachricht an alle 120 Versicherungen, auch das ist ja möglich, probier’s einfach aus und frage einfach bei der Versicherung an, ich brauche eine Versicherungsbescheinigung, weil die GK-Karte ist gerade die Fekt oder nicht da und was die Versicherung? – Die Fektion nicht oder Jopast? – Ja, genau, wir kennen was aber noch mitkommt bei dem Jopast, ist nämlich Folgendes, das sind die Inhalte dieser EGK-Karte, diese Daten stehen auf der EGK-Karte, schick dich mal mit, damit du die in deinem Praxisverwaltungssystem schön eintragen kannst. – Und lass mich ran. – Los geht’s, ja? – Lass mich ran, das sind die da, die man auch braucht um den Hesch und diese ganzen anderen Geschichten zu berechnen. 

Ich weiß es, deswegen kann ich gut ranen. 

Bei, ich glaube Tim mal das im anderen Podcast, das letzte mal referenziert habe, ich zitiere ihn jetzt, das System spuckt selber die Daten aus, die man braucht, um so zu tun, als wäre man einen anderer Patient. – Ganz genau so ist es, unter den allgemeinen Versicherungsdaten steht dann natürlich die Straßehausnummer und auch das berühmbrötigte Versicherungsbeginn-Daten. 

Neben anderen Daten, man kriegt auch noch die geschützten elektronischen Gesundheitskarten-Daten, die eigentlich geschützt sein sollten, aber auch die kriegfrei haut, da steht dann drin, ob jemand eingeschrieben ist bei einem, die sie ist Minatisminprogramm einer Krankenversicherung. 

Das heißt, man krieg’s sogar unter Umständen über die Sischenstelle auch noch mal gesündheitsdaten brauchst. – Das nur so am Rand. – Okay, das wäre dann, das weißt du sozusagen, ich weiß nicht, Martin, würdest du das schon als Nächsten hack sehen, also dass man hack, sorry, dass man also gar nicht mehr so viel raten muss, sondern dass man, wenn man einmal in der TE ist, muss man die richtigen dienste Ansprechen vielleicht in der richtigen Reihenfolge und dann kann man die Informationen, die man braucht, um drauf zu gezureffen. 

Trotzdem geht weiterhin nicht der wahrlos beliebige Abgriff der Daten. 

Aber es sind lücken und da kann angegriffen werden und das heißt natürlich nicht, dass es dann noch nicht noch weitere Lücken gibt. 

Ich würde das jetzt, falls sie da nicht total bringt, das noch mal zu ergänzen oder zu korrigieren, wird mich jetzt interessieren, wie die Kommunikation bisher war, mit den Zuständigen erstens und zweitens, was ihr meint, warum das so läuft, wie es läuft. 

Weil das sind jetzt ja auch nicht doof da die Leute. 

Also wo da ein Liegtes, das so ist wie es ist. 

Ja, das sind die richtigen und richtigen Fragen, die man jetzt eigentlich schon aus, auf die haben wir antworten, nicht immer, wir haben Thesen, wir haben Annahmen und die können auch falsch sein, aber nur in diesen Fragen liegt dann auch die Lösung für die Zukunft. 

Oder was geht denn an der Form, was muss ich dann anders machen, damit wir dann nicht bei sich als mal ein 10, 11, 12, 13, 14, und da geht es ja noch zwei weitere sind wieder in der Vergangenheit dann leider so war. 

Wir haben ja schon seit 2019, also zu müssen. 

Meinerseits regelmäßigen Austausch, 2011 war für mich das erste Mal mit der gematik und auch den Menschen in der gematik, die dort ihr Fachwissen einbringen im Bereich Sicherheit, in den Fachdiensten, in den entsprechenden Abteilungen. 

Es ist so, dass die gematik gibt es eigentlich nicht. 

Das ist ja ein riesiger Inzwischen schon sehr, sehr großer Raum an unterschiedlichsten, in unterschiedlich ensfähren, lebt man da und was sich wohl von Anfang an und auch weiter bewahrheit ist, dass dieses Fähren sehr getrennt sind. 

Ein Beispiel, der Versichern Stammdaten dientst, der Prüfungsnachweis, die Definition Semantik, das Begriffsprüfungsnachweis wird damit nachgewiesen. 

Das ist eine Fachanwendung, die in der gematik konzipiert wurde, spezifiziert wurde, geprüft wurde, zugelassen wurde und und und und, bzw. 

Nicht in der gematik zugelassen, aber entsprechend, ja, die Verantwortung dafür liegt ja dort. 

Die Versichern Stammdaten, Spezifikationen der gematik, prächen ganz klar davon, da steht unsere Angriffsherneuere wirklich schon drin, dass ein Prüfungsnachweis manipuliert werden kann. 

Also, der sagt nicht, dass das tatsächlich eine Karte vorlag. 

Ich kann erst dann aus ein Prüfungsnachweis schließen, dass tatsächlich auch eine Karte, eine echte Karte gesteckt ist, wenn ein sogenannte Fasted-Channel aufgebaut worden ist, das bedeutet, wenn auch wirklich ein Update, der Stammdaten durchgeführt wird. 

Aber wie gesagt, nur 90 Prozent der Fälle gibt es kein Update, weil die Kartendaten noch allaktuell sind und in diesem Fall sagt der Prüfungsnachweis nichts in Bezug auf die Echtheit an der Karte. 

Und das steht da börtlich, schwarz auf weiße in Spezifikationen die gematik, d.h. 

Es gab und es gibt vielleicht auch weiterhin Menschen in der gematik, die das wissen, weil die das selber spezifiziert und geschrieben haben. 

Die Menschen, aber die dann letztendlich verantwortlich sind zum Beispiel eine elektronische Patientenakte zu gestalten, zu konzipieren, die stehen vielleicht nicht in der Maustausch mit den anderen Menschen, die das damals spezifiziert haben, das Verfahren des V-Eustellen, das für wie ein Stammdatenmanagement. 

Und aufgrund dieser Komplexität, also das ist kein Vorruf, das ist einfach unglaublich komplex, die Silimatik in Verstruktur mit ehrenjabsten Anwendungen. 

Passiert es, dass auch heute noch die Abteilung, die einen Mitikationenplan, also diesen Hashtag Value jetzt plant und diese neuen Sicherheitsmaßnahmen plant, völlig überrascht davon ist, dass es eine elektronische Ersatzbescheinung gibt, obwohl das Verfahren ist, was ebenfalls also sehr, sehr dicht an der gematik geplant ist und was auf zusammen mit guten Partnern der gematik auf gematik fachdienste aufsetzt. 

Das ist übrigens etwas, was nicht nur die gematik überrascht hat, weil es die elektronische Ersatzbescheinung gibt, also nicht die gematik, sondern die erlegen, die diesen HCV geplant hat, in der Abteilgematik, sondern das hat auch das BMG überrascht. 

Auch dort wusste man erst nicht, dass diese elektronische Ersatzbescheinung gibt, in Zusammenhang mit diesem HCV, dass diese ganzen Daten daher vorgehen. 

Auch das BSI hat das wo überrascht, weil das BSI hat diesen HCV als wesentlichen Baustein für den bundesweiten Rollout gesehen und das hätten sie natürlich nicht gemacht, wenn das BSI darüber informiert, gewesen wäre, dass diese Daten freie Artrufbar sind. 

Und und und, das bedeutet, das Grundproblem ist diese Komplexität und Obskurität. 

Und da hatte wir auf dem Kostnikation wo wir das Jahr gar nicht, ein Zitat von Wanderfalkos Gerke von SLC, einer größten und gewichtigsten, ich sag mal, Sicherheitsdienstleister zertifiziert an der Telematieinfrastruktur. 

Das lautet wie folgt, das System ist inzwischen so komplex, dass es kaum noch hier mal vollständig durchdrinkt war, und das ist also eine Aussage aus der Innenansicht von jemanden, der es absolut weiß. 

Und nur hab wir dafür wahrscheinlich mal keine Lösung bis fangen. 

Aber diese Komplexität ist immer Feind von Sicherheit, Feind von einfachen Lösungen, die Risiken transparent machen und mitigieren können. 

Also das ist ein Grundübel, ein Grundproblem, was wir schon immer haben, was auch bis heute nicht gelöst ist, dem gegenüber wollen wir Transparenz setzen. 

Jetzt können wir vielleicht schon zu einer Antwort auf dieser Frage, ja, also Antwort muss lauten, mehr Austausch, mehr Transparenz, in andere Richtung. 

Wir denken, dass das zumindest ein Teil der Lösung ist, natürlich der wichtigste Dimension ist der Komplexitätsreduktion, aber jenseits davon hilft eigentlich nur Austausch mit allen beteiligen ganz offen. 

So dass eine der Grundprobleme, die ich jetzt inzwischen wahrgenommen habe, über die letzten fünf Jahre. 

Denn Christoph, was willst du sagen? 

Was willst du empfehlen? 

Oder wenn du jetzt nicht mehr verabermt oder da Profb bist, oder du kommst jetzt zur gematik, was willst du da ändern? 

Oder würdest du bei der gematik ansetzen? 

Oder würdest du ansetzen? 

Ja, ich persönlich würde nicht bei der gematik starten, das ist mir zu komplex. 

Aber wie Martin ist das schon gesagt hat? 

Also ich bin mir relativ sicher. 

Und das wird ja eben passiert sein, einen entsprechenden Risikobewertung ist ja wohl ja durchgeführt für diesen HCV-Wertung. 

Irgendwelche Leute haben mir gesagt, ja, das ist jetzt auch die Leute haben wahrscheinlich gesagt, das ist jetzt nicht der weißer letzter Schluss, das ist nicht das sicherste Element, das wir haben, aber es wird irgendwie reichen unter der Voraussetzung oder der Aus- oder im Öttere Voraussetzung, dass diese Daten nicht massenhaft abgreifbar sind. 

Wenn man das Ding irgendwie mal online gestellt hätte und Pubizierte hätte, so, das ist unser, unser Sicherheitslevel jetzt hier. 

Wir haben als zusätzlichen Feature nach dem Hekt vom HCV-Bezember haben befolgende Maßnahmen hier geplant, 1, 2, 3 und das eine ist HCV unter der Voraussetzung, dass diese Daten nicht massenhaft abragbar sind. 

Ich gehe davon aus, dass irgendwelche Leute, die die E-B-Stelle und sei es Leute, die es implementiert haben bei Praxerweitungssystemen oder wo auch immer, die der sie sich schreiben, gesehen hätten, das kann man ja auf 2, 3 Seiten auch mal aufdrüsen, was da passiert ist. 

Die hätten sich wahrscheinlich gedacht, aber momentmal diese Schnittstelle gibt ja genau die Daten und hätten dann vorher wahrscheinlich schon noch ein paar Tagen bei der Gemark immer kurz anklopfen können und das ist ja nicht passiert. 

Wie Open Source, Wikipedia, Ansatz, das veröffentlichten, die Leute sollten durchdicken. 

Ganz genau, wenn man das offene Entwicklungsprozess oder Open-Development, also dass man vor den Augen der Öffentlichkeit entwickelt, aber nicht nur den Code öffentlich macht, weil das hilft, sondern auch die dahinter stehen in Annahmen, weil dann kann man viel Annahmen sehr schnell identifizieren. 

Und das fehlt uns, dass das hat sich ein bisschen gebessert, gehabt in der vergangenheit. 

Das wurden zum Beispiel in die Spezifikation Konzepten der gematik, als Konzepten der gematik gab es dann auch mehr noch ein Teil der sich mit der Sicherheit des Frage auseinander gesetzt hat, auch begründet hat, warum es überhaupt bestimmte Anforderungen gibt. 

Früher gab es diese Begründung nicht öffentlich zumindest. 

Das ist allerdings jetzt wieder verschwunden. 

Zumindest bei den Maßnahmen, jetzt bei der E-Par, da gibt es tatsächlich Anforderungen selbst, die gar nicht publiziert wurden. 

Und in einem offenen Entwicklungsprozess würde man nicht nur die Spezifikation oder die Anforderungen offenen, sondern auch warum komme ich zu diesen Anforderungen? 

Was sind die dahinter stehen an Annahmen? 

Was sind die Betreuungen? 

Was sind die Vorgaben? 

Und dann kann man die übergrüfen und sagt, okay, wir haben hier eine Bedrohonsmodellierung genannt. 

V.a. 

Beispielsweise hat diesen Ansatz ja verfolgt, leider mit zu wenig Ressourcen. 

Also, wir behäten mal den konsequent fortgefühlt, ja, das ist etwas, und sagen, das ist eine Bedrohungssmodellierung. 

Wie gesagt, diesen Ansatz muss man öffentlich weiterführen. 

Man muss so führen, dass wirklich alle, je mehr desto besser, dort, das ist die kreative Aufgabe, Dinge sehen können, die man selber nicht gesehen hat. 

So eine schöne Bedrohung übersehen worden ist, eine neue Schnittstelle, die immer noch nicht brücksichtigt hat, eine Annahme, die einfach falsche ist und und und. 

Dann könnte man ja sagen, wenn man hier Sachen Augenshorst veröffentlicht, dann lädt das ja böse Hecke ein, weil denen jetzt ja wissen, wie der Quellkult ist. 

Also, das ist so ein Hörp-Panjahr immer wieder. 

Es definitiv nicht meine Meinung, aber was sagt die denen dann? 

Ich meine da ist ja, da gilt ja das Prinzip, die immer. 

Also Security by Obscurity, das hat ja noch nie funktioniert. 

Man sieht es ja durch die ganzen Hecks der Vergangenheit, das funktioniert nicht. 

Man sieht es auch bei der Wahlshoffwerbe. 

Sicherheit durch Geheimhaltung funktioniert nicht, weil Leute finden immer irgendwelche Wege, da irgendwie ranzukommen und so ausgut. 

Und dann schauen Sie es an und dann ist es meistens kaputt. 

Das sieht man bei Wahlshoffwerbe, das sieht man bei technischen cryptografischen Verfahren von NF, also von anderen Smartcards, Alpha-Dekarten damals. 

Man hat das schon so oft gesehen, dass dieses Verfahren einfach nicht funktioniert und viel für sicherer ist und das ist ja auch statt der Technik ist. 

Wenn man alles veröffentlicht, dann wird sowas natürlich frühzeitig gesehen. 

Vielleicht auch von 1, 2 bösen Leuten, die es nicht bescheid geben, aber ein Großteil der Leute sind ja gutartige Whitehacker oder Sicherheitsforschene, die solche Sachen halt sagen würden. 

Und das geht, das haben wir schon mal gezeigt in Deutschland. 

Wenn man sich da ändert an die Corona-Warn-App, da gab es ja genau so ein Mechanismus. 

Das war ja super öffentlich, da konnte jeder da kommentieren, so was könnte man ja auch machen. 

Ich steh mir einfach mal so ein großes Git-Git-Up vor, wo dann die GMATIC ihre neuen Specks rein wirft und dann kann jeder sich die anschauen. 

Die sind jetzt ja auch offen, auf dem richtigen Weg, finde ich. 

Gebeispelcode auf GitHub, ja genau. 

Das die Specks offen ist. 

Ja, das ist Gerät-Publikum. 

Ein Git-Up lebt davon was man aneinlegt und wenn man in GitHub nur den Sourcecode reinlegt, dann fehlt der wichtiger Teil, weil der wichtige Teil für diese Überlegung ist nicht das Sourcecode. 

Das hätte nichts gewöffen, den E-Pack-Well-Cat-Code jetzt von der IBM zu veröffentlichten, der ihre Zepfachdienst ist. 

Wir haben schon Speckwörse, schon Speck auf Gem-Spec-Pages, da gibt es mittlerweile auch Vorabveröffentlichung und seit 1-2 Monaten, also Vorbeipflichtung bedeutet, dass es in Tisa, so planen wir eine Spezifikation, die ihrer Setze noch beschlossen werden muss von Grimien in der GMATIC, bis sie dann sogenannte Release sind und de facto umzusetzen sind, vonein, die unter der Herrschaft stehen. 

Und in den Vorabveröffentlichungen, der hast du im Moment mittlerweile auch Kommentierungsmöglichkeiten, für die die Messenger-Fingers an. 

Und es gibt auch auf GitHub die Dinge, wenn was Martin, wenn ich das richtig verstehe, was fehlt ist, ich habe die Speck schon gelesen als Hobby. 

Und wenn man das immer und immer wieder tut, dann kann man sich ein Reim darauf machen, warum gibt es bestimmte Mechanismen in der TI, warum gibt es bestimmte Wördings in der Spezifikation, um Rückschlüsse auf die Ziele der GMATIC oder Spezifikationen zu können. 

Wenn wir aber nicht die anderen kennen oder beziehungsweise die eigentlichen Ziele, warum wurde die Specksohn zu beschrieben, dann lassen die sich einfach schwerer prüfen. 

Weil wie gesagt, Martin schon sagte, dann kannst du nicht die Grundannahme validieren oder falsifizieren oder kannst nichts sagen, ja, gut, ihr habt ein bestimmtes Angriff als Scenario oder Risiko-Potenziale und deckt sich das denn mit unserer Meinung der Fachöffentlichkeit von dem tatsächlichen Angriff-Scenario oder den Angriff-Scenario. 

Das ist so das eine, das ist die reine technische Sicht, nicht nur reine technische Sicht, aber technisch Informationssicherheitssicht darauf. 

Was mittlerweile auch mal wieder gesagt wird, es gibt keine 100% die Sicherheit beziehungsweise, ich würde behaupten, 100% die Sicherheit wäre auf jeden Fall extrem teuer oder möglicherweise auch wenn ich herzusteile, aber es ist noch andere Diskussionen. 

Die eigentliche Sache ist die, es geht um Abfähigung. 

Da werden wir sagen, wir machen das am Anfang von Ullash mit angefangen. 

Was ich wichtig finde, wir haben eine große Diskussion über die Sicherheit, über Risiken, über Annahmen, die der Spezifikation zugrunde liegen und bei gewissenen Transparenz, wie wir mit diesen anderen umgehen und wie mit der Speckum gehen. 

Okay, da kann sich die ganze Hecker-Community, die White Hecker und die Sicherheitsforschheit drauf stürzen und können das betrachten und können dann dazu beitragen, dass dieses Konstrukt Open Source Light besser wird. 

Das ist eine Sache. 

An derseits ist es so, wir können, behaupt ich jetzt mal, jetzt nichtfach, man 100% die Sicherheit kann dir niemand gewährleisten. 

Eigentlich in kaum einer Frage. 

Das bedeutet, es geht um Abdeckung, was eben mit Ullash mit angefangen wird, die Probeiskandal, wir wollten eigentlich eine elektronische Gesundheitskarte um Medikationswerkswirkung besser zu erkennen. 

Das heißt, wir haben gesellschaftlich nutzen, wir haben persönlichen individuell nutzen, ich kann besser beschützt werden, vor Wechselwirkung, bei Medikation oder auch unsere Gesellschaft und zur Volkswirtschaft, egal wie lustrigst und wendest, hat ein gewissen Nutzen von Gesundheitsdigitalisierung. 

Und was wir eigentlich zusätzlich brauchen ist, wir müssen uns im Klaren sein über die Risiken, wir müssen uns im Klaren sein über die Medikation, wir müssen uns im Klaren sein über die Risikoportenziale und gleichzeitig brauchen wir Abangremium, beispielsweise mit Forscherinnen und Forschan Zivilvertretern, wie wir immer, weil sie verschiedenen Stakeholdern auf dieses Gesundheitswesen, was ein Teil unseres Gemeinwesens ist. 

Dann gilt es eigentlich zu sagen, das Risiko, was wir haben, okay, das ist jetzt existent, aber was ist der Nutzen, der dem Gegenüber steht? 

Und was wir auch der potentielle Schaden, der einem Individuum oder mehreren Widerum, Gegenüber steht und das vermiss ich, aber wir müssen darüber reden, wir eparen Nutzen Menschen, ihre Zeppnutzmenschen, ihr EU nutzt manchen Menschen auch, dass wir meinen Wunsch, dass wir darüber eine Form von Dialog führen. 

Wenn ich auch natürlich weiß, du brennt wahrscheinlich, du hast gerade auch schon geschabt, da bin ich dabei, also ich glaube, das ist ihr vielleicht zu kurz gekommen, aber das möchte ich auch so sagen, aus meiner persönlichen Sicht noch mal betonen, dass natürlich, wenn wir eine richtig gut funktionierende E-Beharm, das finde ich super viele Vorteile hat oder noch richtig wichtig ist. 

Ich kenne die Antwort schon, aber plakative Frage Christoph Martin, seid ihr gegen die E-Beharm und für sich seid ihr Verhinderer? 

Ich bin kein Verhinderer, ich bin da auch nicht im Allgemeinen dagegen, weil ich sehe da schon irgendwie Vorteile. 

Also gerade chronisch krank Menschen, die da einen ganzen Aktenstabel haben, von Teilweise wichtigen Arztbriefen, Medikamentierungen und da gleich nicht. 

Ich denke, das macht Vorteil oder große Ründgebilder, damit ich nicht auch CDs mit schleppen muss. 

Ich komme vom CT so was, ich sehe da schon ganz klar Vorzeile, aber natürlich muss sie entsprechend sicher sein, das haben meines Erachtens aktuell nicht und sie muss natürlich auch nutzerfreundlich sein. 

Ich habe auch mal mit einem Verdeutung gesprochen, die das Ding da mal probieren wollten und da muss man dann Handy auch heute zu Tage da 20 mal drehen oder sowas irgendwie, damit der Zufall nochmal noch mal besser wird und der Gleiche und gegen den Mond scheinhalten so ungefähr ließ sich das ja, ich glaube, der Barma-App steht glaube ich wirklich in Klammern, ja, sie müssen das wirklich physikatisch drehen oder sowas in der E-Beharm, das wollte den Leuten am Anfang auch keiner glauben, was man da machen muss, um die EPA zu aktivieren. 

Also die Nutzerfreundigkeit wird es in der Rahmen springen, aber die ist jetzt aber auch nicht gegeben, wenn man dazu lange nicht drin ist, dann wird man wieder ausgemeldet, dann muss man alles wieder von vorne machen, das ist ja wild. 

Also keine Backing-App der Wild ist so nutzerfreundlich wie die EPA. 

Aber im Allgemein fiel es eigentlich eine ganz gute Idee. 

Ich finde es eine ganz gute Idee, wenn man so was hätte, wo man vertrittbar sagen könnte, ja, wir haben mir kropotografische Absicherung toll durchdacht, super Sache. 

Im speziellen grade natürlich habe ich da ein paar Gegenreden hat, aber im Allgemeinen finde ich das eine gute Idee. 

Last but not least Martin. 

Ja, also eine elektronische Patienteneakte halte ich für einen hunnzuliten guten Gedanken. 

Die Ziele, die dahinter stehen sind alle für mich sehr nachvollziehbar. 

Ich mache keine Bewertung aus medizinischer Sicht. 

Das mache ich einfach nicht. 

Ich bin derhin sich fachlich nicht vorgebildet, kann ich nicht zu sagen, aber ich glaube gerne den Expertinnen und Experten in ihren Ausführungen, die sind für mich nachvollziehbar. 

Denke ist eine gute Sache. 

Die EPA, die wir allerdings jetzt haben, halte ich für problematisch aus mehreren Gesichtspunkten heraus. 

Komm ich zu dieser Bewertung. 

Ich halte sie für mich problematisch und für einige. 

Also erstens, ich muss mal da was Tim eben ausgeführt hat, ist ganz richtig. 

Also wir brauchen das Tim eben beschrieben hat, weil eigentlich ein Sicherheitskonzept. 

Also wir müssen von Anfang an sagen, welche Ziele wollen wir eigentlich mit erreichen? 

Also was ist eigentlich der Wert? 

Also was ist der Sinn und der Nutzstipende Teil einer solchen Systems? 

Und die wollen wir schützen, die Zielerreichung. 

Und dann hat es nachgelagerte Dimensionen Komplistema-Sicherheit. 

Das Sicherheitsthema ist immer zweitreich, weil das soll ja sicher stellen, dass die eigentlichen Ziele und Werte, die uns wichtig sind, dass die erreicht werden können. 

Und die sollen ja nicht behindern. 

Das heißt, das ist immer wichtig erst wissen, dass wirklich erreichen. 

Und dann kann ich unter diesen Bedebungen sagen, jetzt möchte ich es natürlich möglichst sicher erreichen, möglichst sicher nicht sicher oder nicht sicher, sondern angemessen sicher. 

Und damit wir darüber reden können, müssen wir dran, also darüber zu reden. 

Überhaupt ist wichtig, weil es gibt eben nicht sicher oder nicht sicher. 

Es gibt angemessen sicher gegen über dem Nutzen, aber der Nutzen ist individuell. 

Jede und jeder hatten unterschiedliche Nutzenbewertungen. 

Weil wenn ich sage, kann ich nachvollziehen, klingt nützlich, kommt andere zu anderen Schüssen. 

Wenn ich sage, ich brauche sie aber jetzt nicht, weil ich in der privilegierten Position, wenn er sie stand heute, davon nicht profitieren, kann es bei anderen und wird es bei vielen anderen ganz anders ausfallen. 

So, das ist eine individuelle Bewertung. 

Das heißt, da möchte ich auch niemandem irgendwo ein Vorgabe machen. 

Das würde ich mir gleich anmaßen. 

Ich sage nur, es werden mehr Menschen, die ePA nutzen können, wenn wir das Vertrauen in die ePA stärken können und wenn wir mehr Menschen angemessenen Sicherheitsmaßnahmen bieten können. 

Optional. 

Zum Beispiel optional, sagen, wenn du dich nicht wohlfühlst, dass jeder und jeder in Besitz seiner Karte, die am Telefon in 10 Minuten erworben werden kann, wenn man ja die Nutze hat, auf deine Akte zu greifen kann, dann schaltet du doch zusätzlich noch die Sicherheitshörde pinn dazu. 

Das wäre so eine optionale Masse, wo ich sage, damit würden wir auch noch wenigen, die aber besonders sensible Daten in ihre ePA haben, ein besonders großen Nutzen ermöglichen, die sie dann aus dieser ePA ziehen können. 

Und dann sage ich, na ja, wenn wir eine ePA für alle machen, dann sollten wir diesem Anspruch auch gerecht werden für alle und nicht nur für die 70 Prozent, die da nicht zu verbergen haben. 

So, und deswegen denke ich, das, was wir haben, ist keine ePA für alle. 

Das ist eine ePA für Carl Lauterbach, das ist eine ePA für ein paar, die schon seit 20 Jahren endlich braun warten, das endlich losgeht, das ist ein erster Start, aber er muss qualifiziert werden, mit dem Vorsatz ein erster Start noch nicht für alle, sondern nur für die, für die es nicht so wichtig ist, wenn da doch noch was passieren sollte, das ist quasi eine öffentliche Beta. 

Und das ist aber nicht die Kommunikation, die wir sehen, sondern Kommunikation sind Plakatwände an Bahnhöfen, die ePA sicher auch gegen was verschäden und was weiß ich, die ePA sicherst der Akte in Europa und und und. 

Also wir haben nur eine Superlative, also das Problem ist, Sicherheit wird auch teilweise zu einem A und U. 

Ausgang auch sogar aufs GbMg, Deutschlandfunk, herausstilisiert zur ePA, woher wir es jetzt gar nicht ist, da wird es abes ich sagen, im Gegensatz zum Bmg, die sich die Sicherheit nur als nachgelagert der Dimension. 

Wie wichtig ist, was wollen wir damit eigentlich erreichen und dann kann ich über Sicherheit reden. 

Genau, deswegen sage ich, also eine eine ePA, es ist noch gute Sache, die ePA jetzt ist eine gute Sache für einige, aber es ist keine ePA für alle und wir müssen unbedingt weiter kommen und wir müssen vertrauen schaffen und trauen schaffen, vertrauen schaffen wir auch durch Transparenz, also das, was Tim sagt, zum Beispiel öffentlich machen, sagen okay, folgende Annahmen von Risikoatwägungen, haben wir getroffen und das Risiko wird adäquat adressiert für viele und für die die noch mehr löchten, da haben wir da noch ein Häppchen, was man da drauflegen kann, dann würde ich sagen, haben wir die perfekte ePA geschaffen.