Update Veröffentlichungen mit Beschreibungstext für 38C3 talk

InOG-projects · Dec 27, 2024 · 74a7d48 · 74a7d48
1 parent e405b88
commit 74a7d48
Showing 1 changed file with 27 additions and 0 deletions.
diff --git a/veroeffentlichungen.html b/veroeffentlichungen.html
@@ -57,6 +57,33 @@ <h3 class="insurance-title">«Konnte bisher noch nie gehackt werden»:
           <p class="insurance-paragraph">
             <a href="documents/38c3_epa_kastl_tschirsich.pdf">Hier herunterladen</a>
           </p>
+          <br>
+          <p>Sicherheitsmängel begleiten die elektronischen Patientenakte (ePA) seit ihrer Einführung im Jahr 2020.
+            Mit der Umstellung auf ein Opt-Out kommt die Patientenakte jetzt "für Alle":
+            Gesundheitsdaten von über 70 Millionen in Deutschland Krankenversicherten werden dann ohne deren
+            Zutun über Praxis- und Krankenhausgrenzen hinweg in einer zentralen Akte zusammengeführt.</p>
+            <p><br>
+            Doch auch die "ePA für Alle" kann die gegebenen Sicherheitsversprechen nicht einhalten.
+            In ihrem Vortag auf dem 38. Chaos Communication Congress in Hamburg demonstrieren
+            Bianca Kastl und Martin Tschirsich, wie sich Dritte mit wenig Aufwand Zugang zur ePA für Alle verschaffen können.</p>
+            <p>
+              <ul>
+            <li>
+            Die Sicherheitsforscher zeigen unter anderem, wie sie sich mit wenig Aufwand und zum wiederholten Mal gültige Heilberufs- und Praxisausweise sowie Gesundheitskarten Dritter beschaffen und damit auf Gesundheitsdaten zugreifen konnten. Ursächlich sind erneut Mängel in den Ausgabeprozessen, den Beantragungsportalen sowie in der Handhabung der Karten im Feld.
+          </li>
+            Zudem demonstrieren sie, wie sie unter Ausnutzung von Mängeln in der Spezifikation Zugriffstoken für Akten beliebiger Versicherter erstellen konnten, auch ohne dass diese zuvor ihre Gesundheitskarte stecken mussten. Damit waren auf einen Schlag alle über 70 Millionen Akten zugänglich.
+            <li>
+            Erneut gelang auch der Fernzugriff auf Patientenakten über unsicher konfigurierte IT in Gesundheitseinrichtungen sowie Dienstleister-Zugänge.
+          </li>
+        </ul>
+           <p>Nur wenn die Sicherheit der ePA für Alle ausreichend gewährleistet ist, werden Leistungserbringer und Versicherte die ePA akzeptieren und auch nutzen. Das dazu notwendige Vertrauen lässt sich nicht verordnen. Es gilt weiterhin, eine ePA tatsächlich für alle zu bauen, die den individuellen Sicherheitsbedarf berücksichtigt. Die Forderungen der Sicherheitsforscher lauten:
+          </p>
+          <ul>
+           <li>Unabhängige und belastbare Bewertung von Sicherheitsrisiken</li>
+            <li>Transparente Kommunikation von Risiken gegenüber Betroffenen</li>
+            <li>Offener Entwicklungsprozess über den gesamten Lebenszyklus</li>
+          </ul>
+            <p>Vertrauenswürdige digitale Infrastrukturen können nur entstehen, wenn der Entstehungsprozess selbst Vertrauen ermöglicht.</p>
         </div>
         <div id="w-node-_5dd35c4b-728f-bb4f-dc73-bc89aff15e18-42134a2f" class="health-insurance-box">
           <h3 class="insurance-title">Stellungnahme zur Anhörung Open Source</h3>