#39c3: Heute, 17:15 in Saal One.

Schlechte Karten - IT-Sicherheit im Jahr null der ePA für alle

Mal schauen, wo wir über das Jahr so mit der #ePA und anderen Dingen gekommen sind…

https://fahrplan.events.ccc.de/congress/2025/fahrplan/event/schlechte-karten-it-sicherheit-im-jahr-null-der-epa-fur-alle

https://www.heise.de/news/Umfrage-der-Datenschutzbeauftragten-Ohne-Sicherheit-kein-Vertrauen-in-die-ePA-11119242.html
43% Glauben, die ePA würde nur aktiviert, wenn sie diese nutzen.. die passive Nutzung ist ihnen nicht bewusst.. auch die Notwendigkeit zum Widerspruch wohl nicht.. 7-10%haben aktiv widersprochen...könnte man daraus schließen, dass mehr als die Hälfte der Menschen die ePA gar nicht will? #epa

E-Patientenakte: #BfDI @bfdi rät, Sicherheitslücken "schnellstmöglich" zu schließen | heise online https://www.heise.de/news/Umfrage-der-Datenschutzbeauftragten-Ohne-Sicherheit-kein-Vertrauen-in-die-ePA-11119242.html #Digitalisierung #digitalization #DigitalHealth #elektronischePatientenakte #elektronischesPatientendossier #elektronischesGesundheitsdossier #ePA #ePD #eGD

Fake-Doktor

Sicherheitslücke: Wenn die Nachricht vom Fake-Doktor kommt

Das KIM-System soll garantieren, dass Ärzt:innen und Krankenhäuser geschützt sensible Gesundheitsdaten austauschen können. Auf dem Chaos Communication Congress weist der IT-Forscher Christoph Saatjohann nach, dass das System gravierende Sicherheitslücken aufweist. Verantwortlich dafür sei vor allem die Gematik.

Um Diagnosen, Laborberichte oder Therapiepläne untereinander auszutauschen, nutzen Arztpraxen und Krankenhäuser standardmäßig ein spezielles Mail-System namens „Kommunikation im Medizinwesen“, kurz: KIM.

KIM verspricht, sensible Daten verschlüsselt zu übermitteln, damit Unbefugte sie nicht abfangen und einsehen können. Doch bei der Sicherheit hapert es gewaltig, wie der IT-Sicherheitsforscher Christoph Saatjohann heute auf dem 39. Chaos Communication Congress in Hamburg zeigte. Der NDR und die Süddeutsche Zeitung hatten zuvor über die Recherchen zum Thema berichtet.

Demnach weist das KIM-System seit Jahren gravierende Sicherheitslücken auf. Mit geringem Aufwand können Angreifer unter anderem gefälschte Mail-Adressen anlegen und damit vermeintlich seriös wirkende Nachrichten versenden. Auf diese Weise lassen sich Praxissysteme infiltrieren, um beispielsweise Patient:innendaten zu stehlen.

Unsichere Kommunikation mit beliebiger Adresse

KIM wurde 2021 bundesweit eingeführt, etwa 100 Millionen Nachrichten werden jedes Jahr über das System verschickt. Neben der elektronischen Patientenakte (ePA) und dem E-Rezept gilt der Dienst als weitere wichtige Säule des digitalen Gesundheitswesens.

Um einen sicheren Nachrichtenversand zu gewährleisten, versieht KIM Nachrichten mit einer digitalen Signatur. Diese bestätigt dem Empfänger, dass die Nachricht tatsächlich über das System verschickt wurde. Allerdings besteht laut Saatjohann keine Sicherheit darüber, ob der Absender der ist, der er vorgibt zu sein.

Um eine KIM-Mail-Adresse bei einem KIM-Fachdienst wie T-Systems registrieren zu lassen, braucht es aktuell nur einen Ausweis für eine medizinische Einrichtung, eine sogenannte SMB-C-Karte. Auf eine solche Karte haben mehrere hunderttausend Menschen im Gesundheitswesen Zugriff. Und auch auf eBay würden diese Ausweise hin und wieder verkauft, sagt Saatjohann.

Liegt eine solche Karte vor, können Angreifer eine beliebige Mail-Adresse nach einem bestimmten Muster erstellen: namederpraxis.ort@anbieter.kim.telematik. Die gewünschten Adressen werden nicht auf Plausibilität geprüft. Das Ergebnis ist Saatjohann zufolge vergleichbar mit einem versiegelten Brief, bei dem der Absendername aber falsch sein kann. Angreifer könnten die gefälschte Absender-Adresse dazu nutzen, echt erscheinende Mails zu versenden, die Schadsoftware oder Phishing-Links enthalten.

Gematik hat nachlässig geprüft

Saatjohann sieht die Verantwortung für die Lücken vorrangig bei der Gematik. Die staatseigene GmbH ist für die Spezifikation und Prüfung des KIM-Systems verantwortlich. Und die hier vorgegebenen Sicherheitsstandards habe die Agentur offenkundig nicht ausreichend überprüft, so Saatjohann.

Am 15. September übermittelte der IT-Forscher der Agentur seine Funde. Knapp zwei Monate später veröffentlichte die Gematik einen sogenannten Hotfix, der viele der aufgezeigten Sicherheitslücken schließt. Nach eigenen Angaben arbeitet die Gematik daran, die weiteren Lücken ebenfalls zu schließen. Auch T-Systems habe Saatjohann über die Lücken informiert, das Unternehmen habe bis zum heutigen Tag aber nicht reagiert.

Es werde noch dauern, bis alle Praxen die Sicherheitsupdates eingespielt haben. Vor allem aber sei es weiterhin mit geringem Aufwand möglich, eine eigene Mail-Adresse für das KIM-System zu erhalten, ohne dass diese auf Plausibilität geprüft wird. Ein Angreifer kann sich also auch weiterhin als eine behandelnde Person seiner Wahl ausgeben. „Ich sehe keine Möglichkeit, das schnell zu verbessern“, sagt Saatjohann. „In der aktuellen Architektur ist das kaum lösbar und deshalb bleibt eine Restunsicherheit.“ Um diese zu beseitigen, müsse wohl das gesamte KIM-System überholt werden.

Erneut Versäumnisse bei der Gematik

Auf dem diesjährigen 39C3 stellt sich damit einmal mehr die Frage, wie sicher unsere Patient:innendaten sind.

Schon im vergangenen Jahr stand die Gematik massiv in der Kritik. Im Dezember 2024 hatten die Sicherheitsexpert:innen Bianca Kastl und Martin Tschirsich Schwachstellen bei der elektronischen Patientenakte (ePA) vorgestellt.

Die Agentur versprach daraufhin, die Lücken zu schließen. Doch im Mai dieses Jahreskonnten die beiden Fachleute in Zusammenarbeit mit Saatjohann erneut Zugriff auf die digitalen Patientenakten erlangen. Und bis heute sind nicht alle der damals aufgezeigten Sicherheitslücken bei der ePA geschlossen.

Daniel Leisegang ist Politikwissenschaftler und Co-Chefredakteur bei netzpolitik.org. Zu seinen Schwerpunkten zählen die Gesundheitsdigitalisierung, Digital Public Infrastructure und die sogenannte Künstliche Intelligenz. Daniel war einst Redakteur bei den »Blättern für deutsche und internationale Politik«. 2014 erschien von ihm das Buch »Amazon – Das Buch als Beute«; 2016 erhielt er den Alternativen Medienpreis in der Rubrik »Medienkritik«. Er gehört dem Board of Trustees von Eurozine an. Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, Threema ENU3SC7K, Telefon: +49-‭30-5771482-28‬ (Montag bis Freitag, jeweils 8 bis 18 Uhr). Dieser Beitrag ist eine Übernahme von netzpolitik, gemäss Lizenz Creative Commons BY-NC-SA 4.0.

Das KIM-System soll garantieren, dass Ärzt:innen und Krankenhäuser geschützt sensible Gesundheitsdaten austauschen können. Auf dem Chaos Communication Congress weist der IT-Forscher Christoph Saatjohann nach, dass das System gravierende Sicherheitslücken aufweist. Verantwortlich dafür sei vor allem die Gematik. #39C3

https://netzpolitik.org/2025/sicherheitsluecke-wenn-die-nachricht-vom-fake-doktor-kommt/

#Datenschutz #EPa #Privacy

@DS_Stiftung @bfdi Was, wenn in der #ePA falsche Diagnosen auftauchen, von der Patienten nichts wissen? #Abrechnungsbetrug #Krankenkassen #Arzt

Kennt sich jemand mit #Arztberichten und Fachbegriffen in #Patientenakten aus? In meiner #ePA taucht mehrmals der sperrige Begriff "Intervention bei psychosomatischen Krankheitszuständen" und eine sog. "Notfallpauschale" auf. Weiß jemand, was damit gemeint ist? Danke im Voraus.
#Pflege #Psychiatrie #Arzt #Klinik #Ambulanz #Krankenkasse #Abrechnungsbetrug

Drinking water protections:

By Ben Szalinski and Brenden Moore, Capital News Illinois

“Illinois Senate Bill 1723 bans #carbon #sequestration — the process of capturing and storing carbon by injecting it underground — within an area that “overlies, underlies, or passes through” a U.S. Environmental Protection Agency-designated sole-source aquifer. #EPA

The new law applies to the footprint of the #Mahomet #Aquifer, which is the main source of drinking water for more than 500,000 people across a 15-county area in central Illinois.

It comes as Illinois, especially downstate, is targeted for carbon sequestration projects due to the state’s favorable geology and the availability of federal tax credits.

Studies, including those conducted by researchers at the #universityofillinois have found minimal risk to water sources from sequestration activity.

But the legislation was a priority for central Illinois community #activists #environmental advocates and a bipartisan cadre of local lawmakers with zero risk tolerance due to the lack of a clear alternative water source if the aquifer were tainted.”

Poor and middle class people will pay twice for this: being polluted and cleaning up the #pollution. CEOs reap the rewards.

Tom Perkins: #Republicans aim to exempt major polluters from #Pfas cleanup costs. Water treatment and landfill companies given chance to make case that #EPA rules should not apply to them.

#corporations
https://www.theguardian.com/us-news/2025/dec/24/republicans-pfas-cleanup-costs

#USA #trump #vance #MAGA #fascism #stopfascism #nazis #fcknazis #republicans #christians #men #billionaires #hostiletakeover #EPA #CDC

#SimonClark on the misinformation and disinformation the #USgovernment is spreading, sabotaging climate action

https://www.youtube.com/watch?v=A_gFf5l8E-A

#ClimateScience #climatechange #ClimateEmergency #ClimateCrisis #ClimateBreakdown #ClimateDisruption #globalWarming #globalHeating #ExtremeWeather #polycrisis

Tell EPA: Act Now on Glyphosate

EPA is allowing the most widely used pesticide in the world to remain on the market without a valid human health assessment. In fact, the continued registration of glyphosate is illegal because EPA cannot show that current uses do not pose unreasonable risks to people or ecosystems.

Add your name to tell EPA to review and grant CFS’s cancellation petition.

#Glyphosate #EPA #Petition

https://nation.centerforfoodsafety.org/glyphosate_dec25?

@cybercow @Sascha

Zumal die jetzt nicht mit Datenschutz glänzen!
Aber wenn ich an die #epa denke… ich sehe da schwarz.

Ten Things To Know About The Proposed 2025 WOTUS Rule [shared article]
--
https://www.swca.com/news-insights/ten-things-to-know-about-the-proposed-2025-wotus-rule/ <-- shared (SWCA) precis article
--
https://www.epa.gov/wotus/updated-definition-waters-united-states <-- shared EPA Updated Definition of Waters of the United States.
--
https://www.epa.gov/system/files/documents/2025-11/11132.1-01-ow_wotus_nprm_ria_20251110_508.pdf <-- shared EPA document ‘Regulatory Impact Analysis for the Proposed Updated Definition of Waters of the United States Rule’
--
[this post is intended to pass on information in this article only, and further should NOT be considered an endorsement of a particular viewpoint, consultant, etc]
#water #hydrology #hydrography #USA #regulations #WOTUS #EPA #USACE #proposedRule #WatersOfTheUnitedStates #CleanWaterAct #CWA
@EPA @USACE

#Gematik: 98 Prozent der Praxisverwaltungssysteme bereit für 2026 | heise online https://www.heise.de/news/Gematik-98-Prozent-der-Praxisverwaltungssysteme-bereit-fuer-2026-11112094.html #Digitalisierung #digitalization #DigitalHealth #elektronischePatientenakte #ePA #elektronischesPatientendossier #ePD #elektronischesGesundheitsdossier #eGD

#ePA: #ElektronischePatientenakte wird wenig von Patienten genutzt
ePA: Elektronische Patientenakte wird wenig von Patienten genutzt https://share.google/K8W49pJsXM6DxKMKn

@DS_Stiftung @bfdi

Ich habe der EPA bewusst widersprochen,
weil meine Gesundheitsdaten (bzw Krankheitsdaten) NICHT sicher gespeichert sind.
Ziel ist es, die Daten der "Forschung" zur Verfügung zu stellen.
Niemand kann mir zusichern, dass die Daten in "falsche" Hände geraten:
- Geheimdienste
- Polizei
- Ausleitung der Pseudonymisierten
Daten in die EHDS - Datenbank
- Ärzte, die Zugriff auf den gesamten
Datenbereich haben, wenn der Patient nicht weiß, dass er das sperren muss.

Im übrigen sind digitalgeräte notwendig um mit der ePA zu interagieren.

Ich empfehe jedem, der ePA zu widersprechen und DAS GEHT ZU JEDER ZEIT, AUCH JETZT NOCH.
Danach werden deine personenbezogenen Daten wieder gelöscht.

Die Widerspruchsquote gegen die ePA liegt bei 13 % laut einer Umfrage der Siemens-Betriebskrankenkasse

https://netzpolitik.org/2023/faq-zum-ehds-was-die-eu-mit-unseren-gesundheitsdaten-vorhat/

https://mezis.de/newsletter-nr-7-des-buendnis-widerspruch-epa-de/

#epa #epatientenakte #ehds #Datensicherheit #Datenschutz
#epa-opt-out #Netzpolitik

After a Billion-Dollar Oil Disaster, a Louisiana Community Fights for Relief

https://murica.website/2025/12/after-a-billion-dollar-oil-disaster-a-louisiana-community-fights-for-relief/

Ab wieviel Tagen Downtime/Wartungsarbeiten der ePA gibt's Geld wieder 😬?

#elektronischePatientenakte #ePA #krankenkassen #Deutschland