Ich habe gerade der ePA widersprochen.
Meinem Arzt erzähle ich Sachen, die nicht öffentlich zu sein haben. Die Zugriffe auf die ePA müssen aber erst ab 2030 für mich prüfbar protokolliert werden. Vorher würde ich nichtmal wissen, wer sie abgefragt hat.
ePA gibt es für mich also frühestens 2030.
Oder sie bekommen die Tech früher auf die Reihe als rechtlich erforderlich.
@ArneBab Und du hast heute die Möglichkeit nachzuvollziehen, wer eben jene Infromationen bei deinen behandelnen Ärzten einsieht?
@asltf nein, aber analog geht das nicht automatisch und massenhaft.
Wenn ich mir anschaue, wie lange es dauert, da telefonisch durchzukommen, geht es vermutlich gar nicht 
@ArneBab Deine Ärzte machen deine Akte noch ausnahmslos auf Papier? Das mag ich kaum glauben, weil das ja mehr Aufwand bei der Abrechnung bedeutet.
Und soweit ich mich erinnere, sieht das IT Sicherheitstechnisch bei den Ärzten meistens katastrophal aus, weil die sich nicht mit IT Sicherheit beschäftigen wollen (was ich nachvollziehen kann)
@asltf
bei der Patientenakte gibt es zwei Dimensionen, die das zum Problem machen, wenn ich die Fachartikel richtig verstanden habe: die technische und die Menschliche von anderen Akteuren, die das ohne technischen Aufwand einsehen dürfen.
Dann lieber das Risiko eines Datenabflusses bei einem Arzt, als das Gesamtpaket an Informationen gebündelt.
@ArneBab
@jakob_thoboell @ArneBab Würdest du mir nach lesen der Architektur/Spezifikation mal zeigen, wo dieses "Gesamtpaket an Informationen gebündelt" sein soll?
@asltf
für die technischen Bedingungen muss ich mich auf SekundärQuellen verlassen, weil in der Sache nicht fit genug. Aber da vom BFDI bis zu Blogs, denen ich vertraue deutliche Mängel angemerkt wurden, bleibe ich da auf Abstand. Wenn du das anders siehst und bewertet, werden wir dich sicher nicht davon abbringen.
@ArneBab
@jakob_thoboell @ArneBab Nein du musst dich nicht auf Sekundärquellen verlassent. Die Spezifikationen sind vollständig öffentlich https://gemspec.gematik.de/
Andersnfalls kannst du gern die Sekundärquellen hier zitieren, die diese Tatsachenbehauptung faktisch durch Belege tragen.
Ich möchte lediglich, dass du das, was du als Tatsache behauptet hast, bitte belegst, kein rumgeschwurbel.
@asltf
ich sagte, zur Technischen Bewertung reicht meine Kompetenz nicht aus, da muss ich mich auf dritte verlassen. Zu den gesellschaftlichen Dimensionen, die unabhängig von einem.Hack sind, hat https://netzpolitik.org/2024/entscheidungshilfe-zur-elektronischen-patientenakte-soll-ichs-wirklich-machen-oder-lass-ichs-lieber-sein/ ein ausführliches Dossier zusammengestellt. Und die Punkte finde ich (auch im Hinblick auf potentiell autoritärere Politik) wichtig.
@ArneBab
@jakob_thoboell @ArneBab Der ARtikel befasst sich genau 0 mit der Sicherheit der Architektur, den Zugriffen, der Übertragung und Verschlüsselung der Patentiendaten in der Patientenakte.
Der befasst sich inhaltlich mit der Ausleitung von Forschungsdaten (zu einem Forschungsdatenzentrum) - ganz anderes Thema.
Also bitte noch mal, eine Quelle, die real existierende Schwächen der Architektur benennen kann, kein öminöses im Kreis auf die jeweils nächste Sekundärquelle zeigen.
@asltf Hast du einen Beweis dafür, dass die Architektur und die Prozesse außenrum sicher genug sind, um Daten mit einem Wert von mindestens 20 Milliarden Euro zu schützen?
Das ist die zentrale Frage hier.
Der Wert dieser Akten auf dem Schwarzmarkt hätte gereicht, um das Haushaltsloch für 2025 zu stopfen.
Und sie betreffen nicht nur dich, sondern durch vererbbare Krankheiten auch kommende Generationen.
@ArneBab @jakob_thoboell Und auch hier, kein Derailing. Benenne bitte konkrete Probleme/Risiken in der Architektur.
Wann, wo, wie (mit welchem Aufwand) Schlüsselmaterial extrahiert werden kann um auf die verschlüsselten Daten zugreifen zu können, falls man diese im großen Maßstab ausleiten konnte.
Kein ominöses, irgenwder wird immer irgendwie, irgendwann, irgendwas hacken.
@asltf Konkretes Risiko: weißt du noch, wie lange die Gematik das letzte Mal für eine Aktualisierung von nicht mehr sicheren Systemen gebraucht hat?
Konkretes Risiko: wodurch wird festgelegt, wer wann auf die Daten zugreifen kann? Ist das noch sicher, wenn eine AfD an die Macht kommt und politische Gegner überprüfen will?
@asltf@berlin.social@ArneBab @jakob_thoboell Ja, sorry, wenn die AfD per Gesetz Zugriff auf alle Gesundheitsdaten haben will, dann macht sie das auch dezentral.
Und bis das Gesetz in Kraft wäre, könntest du noch von deinem Widerspruchsrecht gebrauch machen.
So lange es rechtsstaatlich demokratisch ist, ist das kein Risiko. Danach ist es eh eine Skala größer das Problem.
Was meinst du mit dem ersten Satz?
@jakob_thoboell @ArneBab Also sollen die Arztpraxen am besten auch alle Patientenakten schreddern?
Denn das ist ja das gleiche.
@asltf Nein, es ist nicht das gleiche.
Der Unterschied, ob es eine einzelne Anweisung braucht, die Nachschlüssel rauszuholen, oder ob jede einzelne Praxis unter Druck gesetzt werden muss, ist riesig.
@jakob_thoboell
@ArneBab @jakob_thoboell Mit der Einschätzung gehe ich nicht ganz mit. In einem Rechtsstaat ist das sehr wohl beides gleich schwer. Willst du sagen, diesen Rechtsstaat haben wir nicht mehr?
Und wenn der Rechtsstaat nicht mehr gegeben ist, ist es für die Autokratie beides gleich schwer.
Denn es gibt eben nicht *den* Nachschlüssel, denn es gibt eben nicht *die* zentrale Akte.
@asltf nein, in der Praxis ist es auch in einem Rechtsstaat nicht gleich schwer.
Es gibt nämlich, soweit ich die Architektur verstanden habe, zentrale Nachschlüssel. Organisatorisch getrennt, aber es gibt sie an zentraler Stelle.
Da braucht es eine harmlos wirkende Verordnung (z.B. „um Gefahren von dem Land abzuwehren dürfen Bundesbehörden Gesundheitsakten entschlüsseln lassen“) und alles weitere ist nur eine Dienstanweisung.
Weisungen an Ärzte zu geben braucht deutlich mehr.
@jakob_thoboell
@ArneBab @jakob_thoboell Na da haben wir das Problem ja identifiziert. "Es gibt nämlich, soweit ich die Architektur verstanden habe, zentrale Nachschlüssel. Organisatorisch getrennt, aber es gibt sie an zentraler Stelle."
Denn das ist schlicht falsch.
@asltf Wie liest du das hier sonst?
> Nach erfolgreicher Authentifizierung des Nutzers … wird aus einem Masterkey unter Verwendung der Nutzer-individuellen Kennung aus dem Zertifikat (Telematik-ID bzw. unveränderlicher Anteil der KVNR) und ggf. fachanwendungsspezifischen Informationen ein Schlüssel abgeleitet. Dies stellt sicher, dass ein SGD für einen Nutzer in einer Fachanwendung immer denselben Schlüssel erzeugt.
https://gemspec.gematik.de/docs/gemKPT/gemKPT_Arch_TIP/gemKPT_Arch_TIP_V2.10.0/#4.7
@ArneBab @jakob_thoboell Erstens gilt das für jeden Aktensystemstandort. Gibt also immer noch nicht *den* einen.
Zweitens ist das ein HSM, den Key bekommst du da nicht raus. Das ist Sinn und Zweck von HSMs.
Ich sagte ja, bereits, wer HSMs knacken kann, wird sein Unwesen wohl eher woanders treiben.
Den HSM Backup Key von den Schlüsselträgern zu bekommen, geht in die gleiche Kategorie. Du musst die Schlüsselkarten und deren PINs zusammen bekommen.
@asltf In der Beschreibung steht explizit, dass von den Nutzern nur permanentes ID-Material, kein Schlüsselmaterial gebraucht wird.
Du brauchst also gerade nicht die Schlüsselkarte *von Nutzern*.
Kannst die Schlüssel also zentralisiert neu erzeugen.
Und ich weiß, ich wiederhole mich, aber das ist wichtig: 20 Milliarden Euro sind kein Papppenstil.
Das sind knapp 8% des Gesamtschadens durch Einbruch in IT-Systeme dieses Jahr — staatliche Akteure miteingerechnet.
@jakob_thoboell
@ArneBab @jakob_thoboell Auf die Gefahr hin, dass ich mich wiederhole, es gibt nicht *den* einzelnen SGD. Es gibt viele, je nachdem wo deine Akte liegt.
Edit: das Schlüsselmaterial geht an abrufenden Client, der wiederum das Material über den VAU Kanal in die VAU geben kann, dass dort die Klartextdaten verarbeitet werden können
@ArneBab @jakob_thoboell Dann müsstest du die Infrastruktur also so weiter kompromittieren, dass in den VAUs gültige, signierte Programme laufen, die dir die entschlüsselten Daten raus reichen.
Wie gesagt, wer das Know-How aufbringt, verbrennt den 0day nicht für Gesundheitsdaten, die er mit weniger aufwand auch direkt bei den Ärzten verdeckt einsammeln kann, oder damit bei den Geheimdiensten hochsensible Verschlusssachen raustragen kann.
@asltf Erstmal festhalten: sind wir uns einig, dass die Schlüssel für die Langzeitspeicherung zentral erzeugt werden, ohne dafür Interaktion mit Nutzern zu brauchen — also zentralisiert Nachschlüssel geliefert werden können?
@jakob_thoboell
@ArneBab @jakob_thoboell Die Nutzerinteraktion ist die notwendige kryptografisch gesicherte Nutzer-ID.
Das Angriffszenario ist also, SGD1 (TI) komprommitieren *und* die SGD2 der Fachdienste zu kompromittieren um dort die Schlüssel raus zu holen.
Und dann noch die Fachdienste zu komprommittieren, um die verschlüsselten Daten abzugreifen.
Also drei voneinander unabhängige Dienste/Umgebungen. Dann hättest du im Idealfall alle Daten von einer Versicherung.
@asltf Nein, es braucht als Eingabe keine Nutzerinteraktion.
Um angetriggert zu werden braucht es Authentifizierung, die ist aber nicht Teil der Schlüsselgenerierung.
Da du nicht auf die direkte Frage geantwortet hast, frage ich nochmal:
Ist es Konsens, dass zentralisiert Nachschlüssel erzeugt werden können?
(wir brauchen eine Faktenbasis, um konstruktiv diskutieren zu können)
@jakob_thoboell
@ArneBab @jakob_thoboell
Um deine Frage beantworten zu können muss ich allerdings erst mal wissen, was du unter Nutzerinteraktion und zentral verstehst.
@asltf Ich meine: kann in dem Verschlüsselungskonzept ein Nachschlüssel erzeugt werden, ohne nur den Nutzern oder ihrem Hausarzt bekannte Daten zu verwenden? ⇒ das meine ich mit "keine Nutzerinteraktion".
Zentral ist es für mich dann, wenn es nur ein oder nur eine handvoll Systeme gibt, die dafür benötigt werden.
@jakob_thoboell