Kein Sicherheitsrisiko bei den neuen Kartenterminals


Die neulich festgestellte Problematik bei der PIN Eingabe in den neuen Kartenterminals birgt kein Sicherheitsrisiko. Dies ist im Wesentlichen die Zusammenfassung der Stellungnahmen der Steuerungsgruppe der gematik, aber auch des BSI und der KV.

Nach meiner Information wird auch die KV Bayern, die zunächst die Anschaffung der Kartenterminals nicht mehr empfohlen hatte und den Basis Rollout in Bayern gestoppt hatte, diese nun wieder aufnehmen (mündliche Auskunft). Die Auslieferung der Terminals wird nach Auskunft der KBV wie geplant weiter fortgesetzt.

Die AOK Niedersachsen hat auch bereits die Ausgabe der Karte angekündigt.

Quelle:

kein Sicherheitsrisiko bei eHealth BCS.Terminals

Stellungnahme gematik Steuerungsgruppe

BSI Stellungnahme

Schwachstelle in den eGK Lesegeräten? [Update]


Elektronische Gesundheitskarte – Tests haben eine Schwachstelle in den Kartenterminals des laufenden Basis-Rollouts entdeckt. Sie ist umgehend zu beheben, fordern KBV, KZBV, BÄK und BZÄK. Patientendaten sind nicht betroffen. So oder ähnlich lauteten die Meldungen in der letzten Woche. Der originale Artikel im Merkur kann hier nachgelesen werden.

Meine Kommentare hierzu:

  1. Im aktuellen Basis Rollout der eGK werden PINs überhaupt nicht verwendet. Die Karte hat zunächst keine andere Funktion als die alte KVK. Wo keine PIN ist, kann auch keine ausgespäht werden.
  2. PINs werden nämlich erst im zukünftigen Online Szenario gebraucht und dessen technische Spezifikationen werden aktuell in der Pflichtenheft-Phase überhaupt erst entwickelt. Was genau kommen wird wissen wir erst nach Ende der Pflichtenheftphase, wohl Anfang 2012. Dann erst stehen die genauen Spezifikationen für den Onlinebetrieb fest. Viel Zeit für Sicherheitsupdates.
  3. Die Kartenlesegeräte waren von Anfang an auf ein Update ausgelegt, schon deshalb, weil sie im aktuellen Zustand nur für den Offline Rollout gedacht sind. Erst durch ein Update, das schon immer vorgesehen war, sind die Lesegeräte auf die Online Situation vorbereitet. Es dürfte leicht sein, hier in Zukunft ein Sicherheitsupdate einzubinden, um das aktuelle Problem aus der Welt zu schaffen.
  4. Die Lesegeräte, mit den heute die meisten Ärzte arbeiten, um ihre Abrechnungen zu signieren, haben in dieser Hinsicht die gleiche Funktionalität wie die eHealth-BCS-Geräte für die eGK, so dass auch hier die PIN theoretisch ausgespäht werden könnte. Dazu sagt aber keiner was.
  5. Das geschilderte Angriffsszenario stellt ein Sicherheitsmangel beim Arztrechner dar und nicht bei der eGK.  Ein Zugriff auf die PIN wäre über den Praxis-PC nämlich nur dann – theoretisch – denkbar, wenn ein entsprechender Virus (Trojaner) den Rechner des Arztes infiziert hat. Und der muss da erst mal hinkommen. Denn das wäre nur durch eine Nicht-Einhaltung der KBV Bestimmungen denkbar.  Denn die sehen vor, dass ein Arztrechner etwas verkürzt dargestellt nur über Hardwarefirewall, VPN Tunnel und Virenchecker überhaupt ans Internet darf. Bei einer Praxis, die diese Hinweise der KBV ernst nimmt, dürfte das Szenario der Leistungserbringerorganisationen theoretisch bleiben.
  6. Die PIN alleine nützt wenig. Um an Patientendaten zu kommen muss man zumindest in der alten Spezifikation auch die eGK selbst haben und im Einzelfall einen Heilberufeausweis nebst dessen PIN, je nachdem was man ausspähen will. Um es an dieser Stelle deutlich zu sagen: Patientendaten sind überhaupt nicht betroffen

[Update] Mitlerweile gibt es eine Stellungnahme des BSI, das im Wesentlichen in die gleiche Richtung argumentiert

 Artikel im Merkur

Pressemitteilung der KBV

Leitfaden „Anforderungen an Hard- und Software in der Praxis Hinweise zum Datenschutz – Ein Leitfaden für Ärzte und Psychotherapeuten“ vom Februar 2010

Pressemitteilung der gematik

Stellungnahme des BSI

Der eHealth Kiosk für die Gesundheitskarte


Im Zusammenhang mit der Ausgabe der elektronischen Gesundheitskarte für zunächst 10% der Versicherten ab Ende des Jahres wurden auf der diesjährigen Telehealth (Cbit 2011) die ersten eKioske vorgestellt. Diese Geräte ermöglichen den freien Zugang der Versicherten auf die Daten der eGK, werden in Zukunft teils aber auch zur Erfassung der Fotos in den Geschäftsstellen einiger Krankenkassen eingesetzt.

Auf der Telehealth wurden dabei unterschiedliche Konzepte vorgestellt, die sowohl über einen eKiosk, teils aber auch vom heimatlichen Rechner aus den Zugang z.B auf eine Adressänderung ermöglichen.

So stellte die KKH-Allianz ein IT Sicherheitskit vor, ein Lesegerät für die eGK und den neuen elektronischen Personalausweis, welches die erforderliche Identifikation des Versicherten beim Zugang auf das Portal der Krankenkasse vom heimatlichen Rechner aus sicher stellt. In der Vorführung auf der Telehealth wurde dann eine Adressänderung des Versicherten nach einem Umzug simuliert. Die geänderte Adresse wurde in der Simulation mit Hilfe des Sicherheitskits auf einem heimatlichen Computer in ein Kassenportal hochgeladen und nach einer Überprüfung der Daten durch die Krankenkasse  freigegeben. Später dann werden die neuen Adressdaten durch einen eKiosk auf die Karte geschrieben. Daher muß in Zukunft bei einer Änderung der Adresse nicht jedesmal eine neue Karte ausgegeben werden.

Abseits der Messe verglichen einige eKiosk Hersteller die Situation mit der Einführung von Geldautomaten im Bankensektor vor Jahrzehnten.

Aus Sicht der Krankenkassen könnten die eKioske einige Vorteile haben:

  • es können die erforderlichen Bilder für den Aufdruck auf die Karte erfasst werden
  • Die Geräte stellen eine Werbeplattform dar, die es den Kassen ermöglicht, sich wettbewerbsmäßig voneinander zu unterscheiden
  • es ist eine bidirektionale Kommunikation möglich, die Geräte  wären also auch für die Prävention einsetzbar
  • skalierbare Oberflächen erlauben einen zugeschnittenen Auftritt für 18jährige wie für 80jährige mit jeweils angepassten Inhalten.
  • Grundsätzlich könnten – wie heute auch die Geldautomaten – in Zukunft die Geräte auch außerhalb von Geschäftsstellen der Krankenkassen aufgestellte werden.

Bedenkt man die Entwicklung im Bankensektor (Stichwort Online-Bank) so könnten die Folgen dieser Geräte aus Sicht der Kassen in Zukunft ganz ähnlich sein, denkbar wären Online Kassen mit einem Minimum an  Geschäftsstellen.

Quellen

eGK TrustTerminal

Telehealth 2011

FuturCare

KKH Allianz IT Sicherheitskit

Bundesweiter Rollout von eGK Lesegeräten vom 1. April bis 30. September 2011 geplant


Darauf haben sich auch die regionalen KV’en bei einem Treffen am Donnerstag, den 13. Januar in Berlin verständigt. Mit einem gestaffelten Rollout (Zwiebelschalenmodell) ist derzeit nicht zu rechnen. Dies teilte mir Stefan Frenzel, Director eGovernment Germany HID Global GmbH, heute mit.  Es ist vermutlich zu erwarten, dass die Ausgabe des 10%  Anteils an eGKs ab 1.10 beginnt.

Ich hatte bereits berichtet, dass die Ausgaben für die Geräte in den Praxen bezuschusst werden.

Quelle: persönliche Mitteilung

Medizin-EDV

CARD STAR /memo3 als mobiles Lesegerät für die eGK zugelassen


Diese Diashow benötigt JavaScript.

Die Eckdaten

Mandantenfähigkeit: bis zu 16 Anwender können sich ein Terminal mit jeweils eigenem Speicherbereich teilen

Benutzerfreundlich: größtes s/w-Display mit 50 mm Bildschirmdiagonale und 128 x 128 Pixel Auflösung zeigt auch Notfalldaten (Stufe 2) perfekt an

Dockingfunktion: Anschluss über ein stationäres CARD STAR /medic2 ohne zusätzliche Treiber möglich

Vielseitig: Alle CARD STAR Terminals ermöglichen die Bedruckung ärztlicher Formulare auch ohne PC-Anschluss. Das CARD STAR /memo3 ermöglicht zusätzlich auch die Auswahl zahnärztlicher Formulare.

Sicherheit: Gehäuseschutz gegen Manipulationen analog zu eHealth-BCS-Terminals

Installation: Da CARD STAR /memo3 die bisherigen Treiber und CT-API des CARD STAR /medic2 verwendet, benötigt das neue Terminal für den Dockingbetrieb keinerlei zusätzliche Installation.

Kompatibilität: Aus gleichem Grund ist das Gerät mit allen Praxisverwaltungssystemen kompatibel, die unsere bisherigen CARD STAR Terminals unterstützen.

Service: Auch für das CARD STAR /memo3 steht das Admin-Reset-Verfahren zur Verfügung, das ein Einsenden des Gerätes bei vergessener Admin-PIN hinfällig macht.

Preisgünstig: Verwendung von preiswertem Handy-Lade-Zubehör mit Micro-USB-Anschluss

CARD STAR /memo3 wird aktuell (Ende Novemeber 2010) zum Preis von 355,81 Euro inkl. Mwst (UVP) angeboten.

Ich danke Herrn Rainer  Czmok,Vertriebsleiter der Celectronic eHealth Division für die Informationen

Prospektblätter:

Card Star memo 2 und 3

Modell 6020-4

Model 6020-4 neu

Basisgerät

Quelle:

Hersteller

Webshop CCV

Webshop Via da Vinci.dialog GmbH

Kassen protestieren gegen die Maßnahmen zur beschleunigten eGK Einführung [Update]


Wie von mir berichtet, drohen den gesetzlichen Krankenkassen empfindliche Geldstrafen, wenn sie nicht bis Ende 2011 mindestens 10% ihrer Versicherten mit der Gesundheitskarte ausstatten.

In einer aktuellen Stellungnahme protestiert der GKV Dachverband gegen diese Gesetzesänderung, die unmittelbar bevorsteht:

„Den vorgeschlagenen Änderungsantrag, wonach die Kassen mit einer Kürzung ihrer Verwaltungskosten in Höhe von zwei Prozent ‚bestraft’ werden, wenn sie nicht bis Ende 2011 an mindestens zehn Prozent ihrer Versicherten die elektronische Gesundheitskarte (eGK) ausgegeben haben, halten wir weder für sachgerecht noch für angemessen. Vielmehr birgt er die Gefahr, dass die Kassen zu unwirtschaftlichem Verhalten gezwungen werden, um die vorgesehenen finanziellen Konsequenzen zu vermeiden.

Zurzeit müssen wir davon ausgehen, dass bis zu dem avisierten Termin bei Weitem nicht alle Arzt- und Zahnarztpraxen mit Kartenlesegeräten ausgestattet sein werden. Denn dafür müsste die Ärzteschaft bereits jetzt beginnen, umfängliche logistische Voraussetzungen zu schaffen. Wenn die Arztpraxen nicht mehrheitlich über moderne Kartenlesegeräte verfügen, müssten die Versicherten auf absehbare Zeit zwei Karten mit sich führen – eine alte und eine neue Versichertenkarte. Hinzu kommt: Ändern sich Versichertendaten, müssten zudem immer zwei Karten ausgetauscht werden, da eine Online-Aktualisierung noch nicht zur Verfügung steht.

Es drohe ein Chaos in den Praxen, wird behauptet.

Insgesamt kann man aus dieser Reaktion ableiten, dass die Kassen nicht vor hatten 2011 bereits mit der Ausgabe der eGK zu beginnen. Ansonsten ist die Reaktion nicht verständlich. Die Hersteller der Lesegeräte und der damit verbundenen Hardware jedoch können die Geräte nicht beliebig vorrätig halten und sind erwiesenermaßen wirtschaftlich teils bereits am Ende, haben sie doch große Investitionen getätigt, ohne bislang damit Umsätze tätigen zu können. Folgerichtig begrüßt der Dachverband BITKOM (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.) die Maßnahme des Bundesgesundheitsministers.

Eine Stellungnahme des Bundesgesundheitsministers auf die Reaktion der GKV liegt bereits vor:

Zu den wiederholten Mahnungen des Spitzenverbandes der gesetzlichen Krankenkassen, die Einführung der elektronischen Gesundheitskarte zu bremsen, sagt Staatsekretär Stefan Kapferer: “Ein modernes Gesundheitswesen benötigt funktionsfähige und sichere Wege der elektronischen Kommunikation und eine elektronische Gesundheitskarte. Patienten und Versicherte erwarten zu Recht, dass der Austausch
von Informationen zwischen Ärzten sicher und der Datenschutz gewährleistet ist und dass im Notfall wichtige medizinische Informationen schnell zur Verfügung stehen. Das soll das neue System leisten, außerdem wird die Karte zukünftig die unberechtigte Inanspruchnahme medizinischer Leistungen zu Lasten der Versichertengemeinschaft verhindern. Das spart Kosten und sollte im Interesse der Kassen sein.
Es ist mir unverständlich, wie die Kassen heute Regelungen in Frage stellen können, die sie gestern noch selbst beschlossen haben. Ich fordere alle Beteiligten auf, sich an die gemeinsamen Absprachen zu halten und diese zügig umzusetzen.”

Demnach ist eine Änderung des Vorhabens nicht zu erwarten. Zu Recht, wie ich meine.

[Update vom 8.11.10]: Den originalen Gesetzestext bzw. den Änderungsantrag gibt es hier.

Quellen:

Welt

BMG Bund

Stellungnahme GKV

Stellungnahme BITKOM

Gesetzestext / Änderungsantrag

Praxisgebühr wird bald per Gesundheitskarte eingezogen


Kassenpatienten werden die Praxisgebühr in Zukunft  nicht mehr mit Bargeld bezahlen müssen. Dazu soll ein automatisches Verfahren eingerichtet werden. Ein entsprechendes Gesetz soll im nächsten Jahr beschlossen werden. Dies berichtet “Die Welt” in ihrer Ausgabe vom 4.11.10.

Über ein entsprechendes Gerät, das aus meiner Sicht im Wesentlichen genau diesen Zweck hat, hatte ich bereits berichtet.

In dem Artikel wird Minister Rösler zitiert:

“Unser Ziel ist es, die Praxisgebühr über die elektronische Gesundheitskarte einzuziehen“, sagte Rösler bei einer Veranstaltung in der Berliner Charité. Für Ärzte und Patienten werde dies eine spürbare Erleichterung sein. Möglich werde das Verfahren, weil die Krankenkassen nun für jedes ihrer Mitglieder ein Konto eingerichtet hätten, auf dem sie die möglicherweise anfallenden Zusatzbeiträge verbuchen.

Für die Ärzte wäre dann sofort ersichtlich, ob die Gebühr schon entrichtet wurden. Einen zusätzlichen Bericht findet man bei finanzen.de.

Artikel zum Thema:

Welt

finanzen.de

Folgen

Erhalte jeden neuen Beitrag in deinen Posteingang.