10.01.2026
Navigation

Termine
«
<
Januar 2026
>
»
Mo Di Mi Do Fr Sa So
29 30 31 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31 1
Portale
Rechtliches
Anzeige
GVB-EDV-Support

Schlechte Karten - IT-Sicherheit im Jahr null der ePA für alle


Der Vortrag von Bianca Kastl analysiert eingehend die Sicherheitsprobleme und Vulnerabilitäten der elektronischen Patientenakte (EPA)
und der Telematikinfrastruktur (TI) in Deutschland. Es werden Schwachstellen bei Authentifizierungsverfahren,
Praxisverwaltungssystemen und Zugangsmitteln wie Heilberufsausweisen ausführlich dargestellt.
Trotz mehrerer ergriffener Maßnahmen und gesetzlicher Anpassungen sind die Systeme weiterhin potenziell unsicher,
etwa im Umgang mit Prüfnachweisen und der Manipulierbarkeit von Zugriffsrechten.
Ein gravierender Mangel ist das Fehlen einer manipulationssicheren Kartennummernprüfung, bekannt seit 2022,
dessen Behebung erst 2026 erwartet wird. Die Nutzung von Video-Ident-Verfahren gilt als interimistische,
jedoch unsichere Lösung. Es wird kritisiert, dass politische Entscheidungsprozesse oft auf kurzfristige Legislaturperioden
fokussieren, anstatt langfristige, parteiübergreifende Strategien für digitale Infrastruktur zu verfolgen.
Abschließend wird die Notwendigkeit betont, die EPA so zu gestalten, dass Gesundheitsversorgung effizienter und sicherer wird.
was gegenwärtig noch mit erheblichen Herausforderungen verbunden ist.

Bianca Kastl Minute 36:10
Sie haben eine Sicherheitslücke geschlossen. Ich würde das eher als einen fehlenden Weitblick über das eigene System verstehen.
Das BSI wurde in diesem Prozess der Mitigationsbewertung ebenfalls eingebunden, aber das BSI wusste natürlich auch nichts davon,
wenn die Gematik ebenfalls nichts wusste, logisch.
Man hat die elektronische Ersatzbescheinigung angepasst, und jetzt gibt es ein neues Profil, das sehr spezifisch heißt: EEB Coverage EGK No Address Line.
Das bedeutet, dass man jetzt als Praxis keine Adressdaten mehr erhält, wenn man eine Ersatzbescheinigung möchte.

Bianca Kastl Minute 36:49
Dann dachte man sich, das ist besonders clever, weil es ja sein könnte, dass Adressdaten irgendwo vorhanden sind.
Wir modifizieren deshalb das Datum des Versicherungsbeginns und machen daraus zum Beispiel den 01.01.1900, weil das in dem Moment ausreichend ist.
Ich würde sagen, das ist kein Zero-Knowledge-Proof und hat ein Red Label eingebaut, sodass man jetzt nicht massenhaft elektronische Ersatzbescheinigungen
besorgen kann, um massenhaft ePässe zu knacken. Das heißt, wir sind jetzt irgendwie hier mit dieser Kette von Mitigationsmaßnahmen,
die in Summe immer noch potenziell unsicher sind.

Bianca Kastl Minute 37:24
Man hat es aber mit genügend Gaffer-Tape und Fixes so hingebogen, dass es zumindest nicht sofort auseinanderfällt.
Sicher ist es jedoch immer noch nicht.
Das hat die Gematik auch zugegeben und gesagt, es ist technisch betrachtet nicht ganz sicher.
Man wird es aber beheben. Speziell an der Situation ist, dass bei der elektronischen Patientenakte in der Version 3.0 besonders Wert
auf einen Betreiberausschluss gelegt wird.

LINK zum Vortrag (https://media.ccc.de/v/39c3-schlechte-karten-it-sicherheit-im-jahr-null-der-epa-fur-alle)
.

Die elektronische Patientenakte (ePA) – Whatever it takes!

Digitalisierung in der Medizin 2025 von Stefan Streit



Augen zu und durch, begleiten Sie mich weiter auf dem Weg zur elektronischen Patientenakte (ePA). Es ist nicht so, dass die Welt auf die ePA gewartet hätte. Auch haben wir keine Notlage, die drastische Maßnahmen erforderte. Aber die EU-Kommission hat die Datenökonomie im Gesundheitsdatenraum (EHDS) nun einmal beschlossen. Die ePA bildet dafür die zentrale Datenpipeline. Bald sprudelt der ersehnte Datentreibstoff für KI & Co. Auch wenn vorher eigentlich noch ein paar Kleinigkeiten zu erledigen wären. Whatever it takes! (Dauer 62 min)





.

Danksagungen unserer in den Ruhestand gegangenen, langjährigen Mitglieder


"time to say goodbye - nach über 40-jähriger Tätigkeit habe ich meine selbstständige Tätigkeit zum 31.05.2025 beendet und meine Praxis an eine junge Kollegin
übergeben. Somit endet nach § 5 der Satzung meine Mitgliedschaft im GVB BS.
Ich möchte mich auf diesem Wege ganz herzlich für ihr Engagement bei der Organisation der Fortbildungsveranstaltungen bedanken; die Vorträge waren immer 
bereichernd, auch nach langjähriger Tätigkeit hat man noch Vieles dazugelernt.
Ich möchte ihe Sekretariat bitten, den Lastschrifteinzug zu beenden.
Ich wünsche Ihnen und dem GVB weiterhin viel Freude und Erfolg bei der Arbeit."
                                                                                                                                                                                                                                        Dr. J. A. Allgemeinmediziner


,,Ich danke Ihnen sehr für die immer freundliche und positiv zugewandte Unterstützung, sei es in Form von Fortbildungen oder berufspolitischen Informationen. Herzlichen Dank für Ihr wertvolles Engagement!"
Dr. A. L., Allgemeinmedizinerin


,,Auf diesem Wege nochmals herzlichen Dank für all die Jahre Engagement für uns und vor allem für die Organisation wirklich hochkarätiger Fortbildungsveranstaltungen, die immer Spaß gemacht haben."

G. R.-M., Allgemeinmedizinerin

,,Ich bedanke mich für die langjährige, angenehme und immer einwandfreie Betreuung."

A. H., Allgemeinmediziner & Psychoterapeut


,,Vielen Dank für die vielen Jahre und die tollen Fortbildungsveranstaltungen. Wir wünschen dem Gesundheitsverbund alles Gute und weiterhin viel Erfolg in diesen bewegten Zeiten des Gesundheitswesens."

S. und Dr. B. S., Allgemeinmedizinerin und Internist

,,Ich möchte mich hiermit ausdrücklich für die vielfältige Unterstützung meiner ärztlichen Tätigkeit in den vielen Jahren meiner Mitgliedschaft bedanken. Die regelmäßigen Fortbildungsangebote haben mich lange begleitet und waren sehr wertvoll für mich. Für die weitere Arbeit wünsche ich allen Mitgliedern und besonders Herrn Dr. Lorenz viel Elan und Erfolg."
A. M., Augenärztin

,,Für die gute Zusammenarbeit und Ihr stetes Engagement für uns Ärzte, bedanke ich mich herzlich."
Dr. M. T., Allgemeinmediziner

,,Herzlichen Dank für die jahrelange sehr gute Vertretung und die sehr engagierte Arbeit."
J. M., Allgemeinmediziner und Chirurg

,,Ich bedanke mich gerne für die Interessenwahrnehmung des GVBs im Praxisalltag."
M. L., Allgemeinmediziner


Wir bedanken uns, bei allen ehemaligen Mitgliedern für die langjährige Treue und auch bei unseren jetzigen Mitgliedern, für die Unterstützung unseres Vereins.

Über jedes neue Mitglied, zum Erhalt unserer Fortbildungsveranstaltungen und des Vereins, würden wir uns sehr freuen.

Werden auch Sie bei uns Mitglied. Unser Anmeldeformular finden Sie unter folgenden Link: https://www.gesundheitsverbund.de/index.php/mitglied-werden.html

D-Trust: Mutmaßlich Daten von mindestens 10.000 Ärzten ausgelesen

Das Unternehmen D-Trust (Bundesdruckerei) stellt unter anderem den elektronischen Praxisausweis her, mit dem sich unter anderem Praxen oder Krankenhäuser für den Zugriff auf Daten im Gesundheitswesen autorisieren.

Von dem Datenleck betroffen sind mindestens folgende Daten von Antragstellern, die Heilberufsausweise (eHBA) und elektronische Praxisausweise (SMC-B-Karten) beantragt haben:  

  • Vor- und Nachname 
  • E-Mail-Adresse 
  • Geburtsdatum  
  • Adressdaten  
  • Ausweisdaten 

Angaben der Landesärztekammern zur Anzahl der betroffenen Ärzten:
  • Westfalen-Lippe: 1.700
  • Hessen: 757
  • Rheinland-Pfalz: 431
  • Niedersachsen: 1.432
  • Sachsen-Anhalt: 303
  • Sachsen: 549
  • Nordrhein: 2.000
  • Brandenburg: 300
  • Bayern: 2.100
  • Tühringen: 390
  • Bremen: 112

Was können Betroffene jetzt tun?

Betroffene sollten in nächster Zeit auf ungewöhnliche Vorgänge achten, denn die entwendeten Daten könnten möglicherweise für Betrugsversuche genutzt werden.

Zudem können Sie mögliche Auskunfts-, Schadenersatz- und Unterlassungsansprüche prüfen lassen: 

  1. Sie haben nach Art. 15 Abs. 1 DSGVO das Recht, Auskunft darüber zu erhalten, ob und in welchem Umfang Sie von dem Datenleck betroffen sind. 
  2. Betroffenen entsteht infolge eines Datenlecks auch ein sogenannter immaterieller Schaden. Es muss also kein finanzieller Schaden entstanden sein. Nach der DSGVO genügt ein immaterieller Schaden, um Ansprüche geltend machen zu können. 
  3. Geschädigte haben einen Anspruch auf Unterlassung und können der Verarbeitung Ihrer Daten widersprechen.
Formular für eine Auskunft nach Art. 15 Datenschutz-Grundverordnung (DSGVO) hier zum Download

5-Punkte-Plan für d(on't)-trust, SMC-B (Praxisausweisen), eHBA (Arztausweisen)

Mit bedeutungsschwangerer Cyber-Rhetorik will d-trust von der Verantwortung für ein großes Datenleck ablenken. Der CCC erklärt die Hintergründe und fordert Konsequenzen.

<LINK zum Beitrag des CCC>

CCC fordert Ende der ePA-Experimente am lebenden Bürger

Sicherheitsmängel begleiten die elektronische Patientenakte (ePA) seit ihrer Einführung im Jahr 2020. Mit der Umstellung von Opt-In auf Opt-Out kommt nun die Patientenakte „für alle“: Gesundheitsdaten von über 70 Millionen Versicherten werden ohne deren Zutun über Praxis- und Krankenhausgrenzen hinweg in einer zentralen Datenbank zusammengeführt. Doch auch die „ePA für alle“ kann ihre Sicherheitsversprechen nicht halten. Beim 38C3 wird demonstriert, wie unberechtigte Personen mit wenig Aufwand massenhaften Zugang zur ePA für alle erlangen können.

Der Chaos Computer Club (CCC) begleitet die Lösungen aus dem Hause Gematik seit Jahren mit einer morbiden Faszination. Von geplanter Obsoleszenz bei den Konnektoren [1] über das Ident-Verfahren [2] bis zu dem von Anfang an bescheinigten bedenklichen Kosten-Nutzen-Verhältnis [3] waren die Projekte um die ePA von Turbulenzen begleitet.

Eine erneute Analyse des aktuellen Stands [4] ergab nun wieder Bedenkliches:

Sicherheitsforscher zeigen unter anderem, wie sie sich mit wenig Aufwand und zum wiederholten Male gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter beschaffen und damit auf Gesundheitsdaten zugreifen konnten. Ursächlich sind erneut Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie im real existierenden Umgang mit den Karten im Feld. Diese wurden bereits auf dem 36C3 [5] demonstriert.

Zudem demonstrieren die Forscher, wie Mängel in der Spezifikation es ermöglichen, Zugriffstoken für Akten beliebiger Versicherter zu erstellen. Dies ist möglich, ohne dass die Gesundheitskarten präsentiert oder eingelesen werden müssen. Damit hätten Kriminelle auf einen Schlag Zugriff auf mehr als 70 Millionen Akten.

LINK zum Beitrag des CCC

Und damit nicht genug, Das Zentrale Vertrauen der Telematikinfrastruktur beruht auf den SMC-B (Praxisausweisen), eHBA (Arztausweisen) LINK
Diese werden unter anderem von der Bundesdruckerei ausgestellt. Deren Sicherheit wurde nun vor kurzem auf eine leichte Probe gestellt, und ist glatt durchgefallen.

LINK

  1. e-Mail NEWS der Freie Ärzteschaft e.V
  2. Ernährungsberatung
  3. Stellenangebot Arzt / Ärztin für Praxisübernahme gesucht
  4. Stellenagebot Weiterbildungsassistent/in Allgemeinmedizin
  5. Patientendaten in Gefahr !!! - Datenschutz durch Gesetz ausgehebelt -
  6. So schützen Ärzte ihre Praxisdaten
Empfehlen Sie uns
Netzzeitung
Mitglieder
Mitgliederverzeichnis

Angemeldet

155 Mitglieder aus 24 Fachgruppen

Fachgruppe Anzahl
Allgemeinmedizin 78
Chirurgie 5
Innere Medizin 26
Innere Medizin - Kardiologie 7
Fördermitglied 3
Hals-, Nasen-, Ohrenheilkunde 6
Augenheilkunde 3
Frauenheilkunde und Geburtshilfe 3
Neurologie 1
Nervenheilkunde 1
Innere Medizin - Pneumologie 2
Innere Medizin - Rheumatologie 1
Innere Medizin - Gastroenterologie 1
Urologie 2
Orthopädie 3
Kinder- und Jugendmedizin 3
Innere Medizin - Hämatologie und internistische Onkologie 1
Anästhesiologie 1
Innere Medizin - Angiologie 1
Kieferorthopädie 1
Psychiatrie und Psychotherapie 3
Plastische Chirurgie 1
Nuklearmedizin 1
Innere Medizin - Nephrologie 1
Aktuelle Besucher

Aktuell sind 130 Gäste und keine Mitglieder online
216.73.216.47