Informatiker zerlegt digitale Patientenakte der Allianz-Tochter Vivy und 3 anderer Anbieter

Jochens SOZIALPOLITISCHE NACHRICHTEN

Sehr sehenswertes Video:
Die Wahrscheinlichkeit, dass innerhalb von 50 Jahren meine elektronischen Patientenakten wirklich geheim bleiben, beträgt 8% – das berechnet der Referent nach den Risikoabschätzungen der Anbieter selbst.
eCard-neindankeInteressant auch, wie der Allianz-Konzern Online-Redaktionen versucht zu nötigen, die Information zu zensieren, wie schnell die Behebung der Fehler postuliert wird und wie oberflchlich und lückenhaft die Fehlerbeseitigung vorgenommen wird – als ob der Fehler in der Tatsache der AUfdeckung liege.

Das ist doch sehr ähnlich wie bei Ed Snowden und Julian Assange.
Wichtig ist der von ihm erklärte Unterschied zwischen Gesundheitsakte (freiwillig) und Patientenakte (zwangsweise ab 2021). Siehe dazu auch meinen Beitrag hier:

https://josopon.wordpress.com/2018/12/23/abschaffung-der-arztllichen-schweigepflicht-wer-braucht-die-zentrale-patientendatei/

Mit dieser wenig erfreulichen Mitteilung endet mein Blog für 2018. Ich danke meinen Lesern v.a. für ihre Rückmeldungen.
Die Leute aus dem Ries und dem Ostalbkreis mchte ich nochmal auf den Aufstehen!-Treff am 8.Januar 2018, 20:00 in 86732 Oettingen, Hotel Goldene Gans, Königsstraße 5 hinweisen. Ich bin an dem Abend selber voraussichtlich leider verhindert.

Auf dem 35. Chaos Communication Congress (35C3), der zurzeit in Leipzig stattfindet, beschäftigte sich auch ein Redner mit den digitalen Patientenakten.

Er zog ein niederschmetterndes Fazit.

Bereits vier Minuten nach Vortragsbeginn lachte das Publikum einmal laut auf – es war der Moment, als der vortragende Fachmann für IT-Sicherheit, Martin Tschirsich, die Datenübermittlung bei der digitalen Patientenakte Vivy vorstellte.
Dafr nutzt die App eine Fünfstellige-Session-ID, die der Patient an den behandelnden Arzt schickt, um diesem ein Dokument zu zeigen.
Das entspräche nicht unbedingt den gängigen Sicherheitsvorstellungen, urteilte Tschirsich.

Im weiteren Vortrag folgte noch eine lange Liste anderer gravierender Sicherheitsmängel bei Vivy und anderen digitalen Patientenakten.
Tschirsich urteilte: Sicherheit ist ein Wettbewerbsnachteil.
Und er warnte, dass hier gerade ein langfristiger Schaden ber Generationen hinweg entstünde.
Eine Aufnahme des gesamten Vortrags finden Sie hier.
https://media.ccc.de/v/35c3-9992-all_your_gesundheitsakten_are_belong_to_us#t=2322%20

Aus den Kommentaren ärztlicher Kollegen:

1 ———————————————————————————————————————————

Es ist für mich immer wieder beeindruckend zu sehen, mit welcher Leichtigkeit und Lockerheit diese Computer-Kids die ach so strengen „Sicherheitsmanahmen“ der Betreiber jener vielgepriesenen Datenplattformen, auf denendie Patienten ihre Gesundheitsdaten speichern sollen, zerlegen und ad absurdum fhren.

Ich verstehe zwar (fast) kein Wort von dem, was da gesagt und vorgeführt wird, aber die Heiterkeitsausbrüche im fachkundigen Publikum bei jedem Zaubertrick, wo mit ein paar Mausklicks und ein bisschen Code die supersicheren Passwörter und die persönlichsten Daten für jeden lesbar wurden, zeigen eindrücklich, welchen Scharlatanen und welchen undurchdachten und hastig zusammengeschusterten Technologien die Menschen sich auszuliefern bereit sind.

Kleines Schmankerl am Rande: Wer sich nicht nur den (m.E. brillianten) Vortrag, sondern auch noch die anschließende Diskussion angeschaut hat, der konnte noch in einen ganz besonderen Genuss kommen. Auf die Frage aus dem Publikum, ob denn diehier versammelten Kapazitäten den Ärzten eine guten Rat geben könnten, wie sie ihre sensiblen Daten, Befunde, Berichte etc. ohne die Gefahr von Hacks, Abgriffen oder Verfälschungen von Arzt zu Arzt senden könnten, wusste zunchst und auf Anhieb niemand etwas zu sagen, bis dann ein Zuruf aus dem Publikum das Schweigen brach.

Er war zwar ziemlich leise zu hören und schwer zu verstehen, aber ich bin mir ziemlich sicher, dass es nur eine Silbe war und dass das Wort

„FAX“

lautete.

2 ——————————————————————————————

Wie zu hören war, wird Vivy für bislang mind, 13 Mio Nutzern der betreffenden KK (GKV und Privat) von den Kassen mit 5 € /Monat bezahlt.

13 Mio x 5 € = 65 Mio € x 12 Monate = 780 Mio € pro Jahr !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Und verdient dran?

Die Allianz als Haupt-Anteilseigner an diesem System.

Und wer sitzt hier beratend im Vorstand und Aufsichtsrat??? Ich höre jetzt lieber auf…

Mit der TI (die das Ganze zugegebenermassen etwas sicherer machen könnte, aber das ist einfach noch nicht gut genug untersucht) ist es nicht anders.

Die eine Firma schustert der anderen die Kohle zu und politisch-lobbyistisch wird das unterstützt und gesteuert.

Wir haben keinerlei Chance hier etwas auszurichten als uns zu verweigeren. Und zwar ALLE!!!
(Und das wird erfahrungsgemäß niemals passieren)

3————————————————————————————————————————————————————————————

Das Verhalten der Allianz, der hautnah die Folgen ihrer hingerotzten „Gesundheitsapp“ und die Gefahren einer unüberlegten Digitalisierung um die Ohren gehauen werden, finde ich typisch deutsch. Nichts wird „innerhalb von 24 Stunden“ suffizient behoben, stattdessen mit Anwalt und Schadenersatz gedroht und eine Desinformationskampagne gefahren, eine kleine Lücke gestopft und eine große andere belassen. Die konzeptionellen Fehler der Software sind so grundlegend, dass es jedem ernsthaften CISO grausen würde – und es geht trotzdem weiter mit diesen perversen Insellösungen. 

Man sehe sich den Bericht über den XEROX-Bug von Daniel Kriesel vom 31C3 an und lerne über den (zumindest etwas professionelleren, weil erzwungenen) Umgang eines 140k Unternehmens mit solchen Katastrophen. Wäre dieser Bug tatsächlich einer breiten Öffentlichkeit bekannter geworden, wären die Folgen für XEROX unübersehbar gewesen.

Es reicht mir nicht, dass eine Softwarefirma oder eine Privatperson Gesundheitssoftware anbieten darf, die durch konzeptionelle Lücken, die jeder Informatikstudent im ersten Studienjahr oder jeder engagierte Laie austesten und aufdecken kann, offen wie ein Scheunentor (oder von mir aus auch nur mit „kleinen Fehlern“ behaftet) ist. Ich erwarte keine durch zufällige Veröffentlichungen aufgedeckten, müden Bugfixes für Bananensoftware („reift beim Kunden“) und ein Statement a la „wir sind auch dabei, was für ein unterhaltsamer Bericht, haben wir aber sofort gefixt“. Das habe ich bei meiner „Praxissoftware“ leider schon zur Genüge.

„Ein reales Risiko für die Gesundheitsakten der Nutzer bestand zu keinem Zeitpunkt“ – wer kann das denn ernsthaft behaupten? Martin Tschirsich ist ein ehrlicher Mensch, der seine Entdeckungen öffentlich macht und den Herstellern bekannt gibt. 

Was aber, wenn jemand Zero-Day-Exploits verheimlicht und in böswilliger Absicht nutzt, mich erpresst, als Arzt in Nöte stürzt und vor Gericht bringt, weil ich meine Schweigepflicht vermeintlich missachtet hätte (wobei ich ja Softwareverantwortlichen vom arroganten Zuschnitt der Allianz et al. vor Gericht erst einmal beweisen müsste, dass es nicht deren insuffiziente Software war, mittels derer man sich Zugriff auf senible Patientendaten auf meiner Festplatte verschaffen konnte)? Ist das dann auch noch unterhaltsam?

Ich erwarte eine ausgereifte Software und die gesetzliche Grundlage für die Verschiebung der Haftung für Schweigepflichtverstöße mit aktiver Beweislast auf die Seite der Softwarehersteller. Geht nicht? Dann geht in meinen Augen auch keine digitale Patientenakte, Patientenfernwartungsanwendung, Telematik oder iPad-App deren einziger Nutzen im Moment darin besteht, dass Oma Krawallke beim nächsten Kaffeekränzchen ihre letzten Röntgenbilder herumzeigen kann.

Ein Patient ist kein Server, den man via RDP mal eben fernwarten kann, das ist für mich eine Perversion des Arztberufs.

Wer das „von gestern“ nennt, der hat möglicherweise erst einmal wenig Ahnung von den Risiken moderner Informationstechnologie, schlimmer aber: der schert sich in meinen Augen keinen Deut um den Schutz der Intimität des Arzt-Patientenverhältnisses und hat keinerlei Gespür für die Bedürfnisse seiner Patienten.

4—————————————————————————————————————————————————————————–

Im Moment kann man nur zur Datensparsamkeit raten.

Informationen über genetische Risiken, aktuelles Risikoverhalten, Alkohol-und Drogenanamnesen haben in einer Praxisverwaltungssoftware nichts mehr zu suchen. Das gilt auch für Informationen, die für den Patienten strafrechtlich relevant werden könnten.

Abrechnungsdiagnose, Leistungsziffern, Befunde – und fertig. Das alleine ist schon riskant genug.

Doppelte Buchführung ist angesagt.

Ein schönes Osterei: Wie die TTIP-Befürworter tricksen und täuschen

Jochens SOZIALPOLITISCHE NACHRICHTEN

Aktuell hier:
http://www.neues-deutschland.de/artikel/966688.wie-die-ttip-befuerworter-tricksen-und-taeuschen.html
Auszüge:

Studienergebnisse zum transatlantischen Freihandelsabkommen werden oft selektiv dargestellt

Verbände, die das Abkommen TTIP übertrieben positiv darstellen, knicken vor der Kritik der Verbraucherorganisation Foodwatch ein.

Nach einem Offenen Brief des Vereins Foodwatch hat der Verband der Automobilhersteller (VDA) vor Kurzem Falschinformationen über das geplante Freihandelsabkommen TTIP zwischen der Europäischen Union und den USA zurückgezogen.
Wie Foodwatch mitteilte, korrigierte der Lobbyverband auf seiner Homepage und seiner Internetseite jazuttip.de fragliche Textpassagen und löschte ein Redemanuskript von Verbandspräsident Matthias Wissmann, in dem dieser die möglichen wirtschaftlichen Vorteile von TTIP viel zu groß dargestellt hatte. Zudem sei die »Rheinische Post« informiert worden. Wissmann hatte in einem Interview mit dem Blatt ebenfalls falsche Angaben gemacht.

Ebenso wie der VDA hatten auch der Bundesverband der Deutschen Industrie (BDI) und die Initiative Neue Soziale Marktwirtschaft (INSM) denselben argumentativen Trick angewendet und von jährlichem Wirtschaftswachstum als Folge des transatlantischen Freihandelsabkommens gesprochen. Die Verbände unterstellten TTIP Wachstumseffekte von 119 Milliarden Euro jährlich für die EU.
Doch die Aussagen sind manipulativ und faktisch falsch. Denn die Quelle, eine Studie der Londoner Forschergruppe CEPR im Auftrag der Europäischen Kommission, geht überhaupt nicht von einem »jährlichen Anstieg« aus. Vielmehr geht es in dieser Studie um einmalige Effekte, die nach einem Zeitraum von zehn Jahren zu erwarten sind.
Der Wachstumseffekt von weniger als einem Prozent in zehn Jahren gilt als bestes Szenario der Studie, was von den Experten selbst angezweifelt wird.

Auch der Deutsche Industrie- und Handelskammertag (DIHK) und die CDU unterschlugen Informationen und beschönigten stattdessen die möglichen Auswirkungen von TTIP. So hieß es in einer Parteibroschüre der Konservativen: »Die Schätzungen über zusätzliche Arbeitsplätze in der EU reichen von 400 000 bis 1,3 Millionen.« Beim DIHK waren es »mindestens 100 000« Arbeitsplätze für Deutschland.
Allerdings wird hier jeweils nur das »Best-Case«-Szenario einer Studie zitiert. Die »Mindest«-Annahme der Studienautoren mit nur 2100 neuen Stellen in der Bundesrepublik wird nicht genannt. Foodwatch forderte auch die CDU in einem Offenen Brief dazu auf, ihre Angaben zu ändern.

Die Taktik der Befürworter des Freihandelsabkommens, die Öffentlichkeit von den angeblich zu erwartenden Erfolgen zu überzeugen, ist eindeutig. Innerhalb der beiden meistgenannten Studien, der CEPR-Studie und der beim wirtschaftsnahen Münchner ifo-Institut in Auftrag gegebenen Untersuchung vom Bundesministerium für Wirtschaft und Energie (BMWi), wurden unterschiedliche hypothetische Szenarien durchgerechnet.
Für ihre Argumentation nannten die kritisierten Organisationen jeweils nur die Ergebnisse des besten Szenarios. Andere Simulationen, die geringeres Wachstum oder negative Auswirkungen wie Reallohnverluste oder Arbeitslosigkeit in anderen Staaten als Ergebnis vorwiesen, werden hingegen verschwiegen.

Bemerkenswert ist, dass die kritisierten Akteure oft eng finanziell und personell miteinander vernetzt sind. Einige Mitglieder der INSM sitzen auch im wissenschaftlichen Beirat des BMWi oder des Politik beratenden CDU-Wirtschaftsrates. Die Mitgliederliste des letzteren Beirats liest sich wie ein Stelldichein der deutschen Wirtschaft und Industrie.
Zudem ist wenig bekannt, dass die INSM eigentlich eine Tochtergesellschaft des Instituts der deutschen Wirtschaft Köln e.V. ist, dessen Träger und Mitfinanzier der BDI ist.

Für den Verein Lobbycontrol ist diese Vernetzung weniger das Problem, sondern eher die finanzielle Ausstattung und der damit verbundene Einfluss. »Wir sind nicht überrascht, dass alle an einem Strang ziehen und nun eine Allianz an Akteuren auftritt, die es schon seit Jahrzehnten gibt. Daher finden wir es gut, die Interessen offenzulegen«, so Max Bank, EU-Referent von Lobbycontrol.
Er findet es allerdings wichtiger, endlich die Verhandlungstexte zu veröffentlichen, damit eine Diskussion überhaupt möglich ist.

Neben Wissmann und BDI-Präsident Ulrich Grillo greift Foodwatch in einem Hintergrundpapier von Anfang März auch Bundeskanzlerin Angela Merkel (CDU), Wirtschaftsminister Sigmar Gabriel (SPD) sowie die Berichterstattung der ARD und der »Frankfurter Allgemeinen Zeitung« an.
»VDA, BDI, INSM: Es ist beispiellos, wie die TTIP-Befürworter die möglichen Chancen des Abkommens aufblasen und die Risiken leugnen«, kritisierte Foodwatch-Geschäftsführer Thilo Bode.
»Diese Desinformationskampagne, mit dem Ziel, den Bürgern das Freihandelsabkommen unterzujubeln, zeigt, worum es wirklich geht: TTIP nutzt nur den Konzernen, aber gefährdet Demokratie und Rechtsstaat.«

Mein Kommentar: Nur 2100 Stellen, das reicht nicht mal für die SPD-Funktionäre.

Jochen