Seite Nr. im gematik_ whitepaper_ sicherheit.pdf

Gematik-Abschnitt/ Titel im Orginaldokument >gematik_white_paper_sicherheit.pdf (Gematik GmbH)

Faktencheck:

2

Einführung

Das Ärzte sich mit Hilfe des eGK Systems auf das digitale Zeitalter vorbereiten sollen ist irrelevant, dies kann auch über andere dezentrale Aufklärungs- und Info-Veranstaltungen realisiert werden.

 

Neue Möglichkeiten

-ohne Kommentar-

 

Riesige Datenmengen

Die Vertrauenslücke zwischen Bürger und Staat wird eingespannt für die eigenen Zwecke der Vorbereitung  das System zu verkaufen.

2

Alleinstellungsmerkmal

Dies sind starke Behauptungen, denn Sie implizieren dass die verschlüsselten Daten an jeder Stelle im Gesamtsystem uneinsehbar für andere Personen abgespeichert sind und nicht durch andere weiterverarbeitet werden.

Mit dieser Annahme entsteht eine fast absurde Situation, denn wozu braucht man dann eine verteilte Online-Applikation, die mit millionen-schweren Aufwendungen dafür Kernrechenzentren realisiert. 

Man spricht in den Dokumenten von Gesundheitsdaten, Röntgenbildern und Rezepten, die in der telematischen Infrastruktur zur Verfügung gestellt werden. Es wird behauptet das Ganze sei nicht mehr als ein Banksafe. Ein Vergleich, der nahezu abenteuerlich ist, in einem hochdynamischen Megasystem, wie ihn die eGK darstellt.

Ich meine Banksafes existieren dezentral in verschiedenen Banken, Warum sollte man daher alle Banksafes in einer Bank zur Verfügung stellen? ;-)

Wird dadurch das System sicherer? Ist dies noch Demokratie?

Man ist hin- und hergerissen und muss sich immer wieder besinnen um dieses Husarenstück eines IT-Projektes in seiner Dimension zu begreifen. Hier wird ein Brocken hingeworfen, der es immerhin geschafft hat, viele Kritiker auf Abstand zu halten.  Vielen ist entgangen, dass ausschließlich eine dezidierte und tiefe Analyse des Workflows des gesamten Systems, mit all seinen Schichten und Komponenten hier die Wahrheit ans Tageslicht befördern kann. Doch die Logik sagt uns schon jetzt dass hier etwas nicht mit rechten Dingen zugeht. Wer das Prinzips des Banksafes favorisiert und damit das Bild erzeugt alles lagert jahrelang unangetastet, sicher und ruhig in diesem Banksafe, der braucht bildlich gesprochen keine digitalen Leitungen in den Banksafe legen und keine Rechenzentren drumherum bauen!

Das sogenannte Alleinstellungsmerkmal ist für mich persönlich Ausdruck einer erschreckenden Kaltblütigkeit, mit der eigene Ziele verfolgt werden, die nichts mit dem Gemeinwohl zutun haben. Die dahinterliegende Weltanschauung ist den Bürger zu entmündigen, die Vielfalt aufzugeben und alles in zentrale Verarbeitungsorganisation zu legen.

(Referenz/Hintergrund: Audit-Protokollierung und angeblich mangelnde Sicherheit der dezentralen EDV der Ärzte und Krankenkassen)

3

Datenplattform

Hier wird behauptet dass mit der elektronischen Gesundheitskarte eine Datenplattform geschaffen wird, die es ermöglicht dass der Karteninhaber jederzeit bestimmen und kontrollieren kann was mit seinen Daten passiert.

Man muss nun sehr genau hinschauen was damit gemeint ist und diese Behauptung abgleichen mit den Aussagen in den unzähligen Gematik-Dokumenten. Explizit wird von der Gesundheitskarte gesprochen und einer Datenplattform. Damit kann sowohl der Datenspeicher der Karte selbst als auch die Datenspeicher der telematischen Infrastruktur gemeint sein.

In diesem Kontext sollte man sich zunächst klarmachen dass die eGK einen Teilausschnitt der Daten beinhaltet, die in den großen Datenspeichern der Rechenzentren abgelegt sind. Die SmartCard (ICC) im Prinzip ein Minicomputer kommuniziert mit den Rechenzentren und tauscht Daten aus.

Verklausulierter kann aus informationeller Sicht wohl kaum eine Datenbankanwendung beschrieben werden! Sind einmal Daten in einer Datenbank integriert, dann unterliegen sie dem systemtechnischen und organisatorischen Zugriff von weiteren Komponenten wie Sicherungssystemen und menschlichen Administratoren, die alles verwalten. Hier im Text über das -wer- den Eindruck zu vermitteln, dies sei in jeder Hinsicht kontrollier- und protokollierbar!, z.B. über Audits  muss mit allergrößter Sorgfalt untersucht werden.

Die weitere Behauptung als eGK Karteninhaber kontrollieren zu können -was- mit den gespeicherten Informationen passiert wird  im Abgleich mit dem Workflow und den System-Layern verifiziert werden.

3

Wie funktioniert das?

In diesem Abschnitt soll uns erklärt werden wie das neuartige Konzept für Datenbehandlung und Sicherheit auf der Datenplattform funktioniert. Der Abschnitt ist mehr eine Vorbereitung mit Hinweisen, denn er beantwortet die gestellte Frage nicht. Dies ist ein marginaler Bruch, denn die Frage wird zunächst nicht mit einigen Stichworten und verständlichen Aussagen beantwortet, man verweist lediglich auf die Verschlüsselung und den sicheren Datentransport. Alle die eine Antwort auf die selbstgestellte Frage interessiert sind nun angewiesen das komplette Dokument durchzuarbeiten um hierher zurückzukehren. Hier hätte die Gematik unbedingt einige klare Antworten liefern müssen, die komplexe Technik hätte man später folgen lassen. Dieser Bruch offenbart eine Schwäche oder eine bewußte Ablenkung, hier wird nicht aufgeklärt und vermittelt, man holt anschließend aus, um uns mit der Verschlüsselung und den negativen Szenarien der angeblich miserablen EDV der Ärzte,  weichzuklopfen.

4

Papier

Wir werden vorbereitet für die Alternativlosigkeit und Unmündigkeit.

4

Informationstechnologie

Die Auflistung der Gefahren, die für die Arzt-EDV bestehen, existieren ebenso für die Rechenzentren! Wichtiger Hinweis: Ein technisches Whitepaper listet die Gefahren im eigenen System auf, also für die eGK und die telematische Infrastruktur selbst! Das hat man glatt vergessen, dies ist ein weiterer Bruch, der Zweifel an der Ernsthaftigkeit der Zielsetzungen der Gematik weckt.

4/5

Die Lage der IT-Sicherheit /

Lokale Vernetzung

Bundesweite Vernetzung

Man besinnt sich und lobt den Fortschritt der PC-User in Sachen Sicherheit um anschließend für die bundesweite Vernetzung zu werben. Grundsätzlich gibt es nicht nur eine Philosophie der Technik und Systeme, wofür ich konkrete Beispiele genannt habe. Irreführend sind hier die Aussagen zu Daten, die einen geschützten Raum verlassen. Dieses Bild und die damit verbundenen Vorstellungen sind schlichtweg veraltet und überholt. Schutz ist relativ in dynamischen Prozessen in einer heterogenen IT-Welt und die Daten verlassen nicht geschützte Räume, sie wechseln lediglich ihren Standort und durchqueren dabei Zonen, die unterschiedlichen Schutz bieten, siehe <Grafik> . Das ist feiner und entscheidender Unterschied um den Herausforderungen gewachsen zu sein, die an informationstechnische Systeme gestellt werden. Einmal mehr ist das Gematik-Dokument eine Werbebrochüre, nicht mehr. Es werden nicht unterschiedliche Standpunkte gegenübergestellt, damit der Leser zu einem unabhängigen Urteil befähigt wird.

6

Telematikinfrastruktur

Sicherheit durch Zugangsberechtigung

Die Gesundheitskarte

Die Auflistung bekannter Technologien, die Sicherheit herstellen, Zugriffe berechtigen und Authentifizierungen ermöglichen sind für sich genommen IT-Bausteine, die nicht nur in einem telematischen  System verbaut werden können sondern in jedem anderen denkbaren IT-System ebenfalls. Der weit verbreitete Einsatz von SmartCards ist keinesfalls eine Garantie  für die endgültige Sicherheit eines Systems. SmartCard unterliegen vielfältigen Gefahren, wie der Artikel der Universität Paderborn eindrucksvoll beschreibt.

Für die eingangs gestellte Frage -Wie das funktioniert?-, in einem angeblich vollkommen neuartigen System mit Alleinstellungsmerkmalen, sind dies bisher schwache Antworten. Eine permanente Ablenkung von tatsächlichen systemrelevanten Faktoren wird fortgeführt und optimiert. Ohne Darstellung des Workflow’s der Daten im System kann diese Fragen nicht einmal annähernd beantwortet werden.

7

Selbst entscheiden

Pflichtanwendungen und freiwillige Daten, die auf der Karte enthalten sind, sind ein Auszug der großen Datenbank, die den jeweiligen Patienten betreffen. Nachwievor geht es hier um ein Paradigma und den Paradigmenwechsel (Paradigma siehe Wikipedia) weg von zentraler Datenverarbeitung zu dezentraler DV. Das Ganze ist wie ein Brocken, der in ein Spiegelkabinett geworfen wird und man nun danach suchen muss was ist das Orginal und was ist eine Täuschung? Diese Selbstentscheidung und der konstruierte System-Background lenken davon ab, dass hier optionale Datenfelder erzeugt worden sind, also sogenannte Datencontainer, die befüllt sein können oder auch leer sein können. Weiterhin wird dann davon eine Datenkopie erzeugt und damit der Teilspeicher der SmartCard befüllt. Jeder der einmal mit Datenbankabfragen mit SQL zutun gehabt hat weiss wie wertvoll und effektiv die nicht befüllten leeren Datenfelder sind. Aus Ihnen können ausgesprochen aussagefähige Datenreports erzeugt werden: Ein Beispiel direkt aus der Datenkiste der Gematik, auf Basis des Dokumentes RS291-11_Anlage2-SGBV_291a_Anpassung.pdf (Deutsche Krankenhausgesellschaft). Die in diesem Dokument aufgelisteten Daten, die einen Patienten betreffen können habe ich für Sie in eine Liste geschrieben.

 -Zum Vergrößern Browserfenster aufziehen-

Diese Daten sind mit Sicherheit nur ein kleiner Ausschnitt der Daten, die auf einen Patienten gesehen gesammelt werden können (z.B. Röntgenbilder, Rezepte, Arztberichte). Wir sind gezwungen uns diesen Überblick zu verschaffen, in dem wir uns die Informationen mühevoll zusammensuchen. Was vollkommen fehlt um die Sicherheit der eGK und der telematischen Infrastruktur zu bewerten ist nicht nur der fehlende Workflow, sondern eine vollständige Übersicht aller Datenfelder, die einen Patienten umfassen können!

Wenn nun teilweise leere Datenfelder vorliegen, resultieren daraus produktive Abfragemöglichkeiten:

Eine Abfrage könnte daher lauten zeige mir alle Patienten die keinen Eintrag unter DMP-Kennzeichnungstyp  ‘Brustkrebs’ haben und Sozialhilfempfänger sind!

Wir haben nicht vergessen die Gematik will uns weismachen alle diese Datencontainer bleiben verschlüsselt und können nicht ohne Zustimmung des Patienten gelesen oder ausgewertet werden! Im gesamten Kontext des Systems muss dies angezweifelt werden. Selbst wenn dieses hohe Ziel stringent umgesetzt wäre, ist die pure technische Option einer möglichen Entschlüsselung und Cross Over Auswertung, in einem zentralen System, bereits Grund genug es abzureissen!

An welcher Stelle hat hier der Patient etwas selbst entschieden?

7 - 11

Schlüssel bis Gemischte Schlüssell

Wer sich mit Verschlüsselung und SmartCards beschäftigt weiss dass dies ein weites Feld für Spezialisten ist. Für die Analyse der eGK macht es eigentlich nur Sinn darauf hinzuweisen dass es unzählige Möglichkeiten der kreativen Manipulation gibt um diese Systeme aufzubrechen. Der aktuelle Trend die immer höher verschlüsselten Daten auszulesen liegt jedoch nicht mehr in einer formelbasierenden arithmetischen Entschlüsselung! In diesem Kontext wird immer sehr gern von den Betreibern darauf hingewiesen das dies Milliarden an Jahre dauert bis ein Supercomputer den Verschlüsselungs-Code geknackt hat! Kreativ wie der technische Mensch eben ist hält ihn dies nicht ab die SmartCard in eine Mikrowelle zu legen oder Sie unter Spannung zu setzen. Dies ist der Trend wegen der hohen formel-basierenden Verschlüsselungsraten. Der Artikel der Universität Paderborn beschreibt detailliert diese unkonventionelle Vorgehensweise mit der SmartCards kompromittiert werden!

Hinzu kommt was die erste Grafik auf der Startseite Ihnen vermittelt hat: Am Anfang und Ende jeder verschlüsselten Datenstrecke steht der Mensch!

11

Sicherheit durch Datenvermeidung

Dieser Abschnitt strapaziert und ärgert jeden der sich in der IT mit diesen Themen befasst. Hier werden wild Vorgehensweisen zusammengewürfelt, die nichts mit Datenvermeidung zutun haben.

12

Profilbildung

Die Aussage der Gematik dass Profilbildung eine schwerwiegende Bedrohung darstellt und gesetzlich verboten ist, -im Abgleich mit den vorhandenen Dokumenten, die ein anderes Bild vermitteln- , erzeugt einen besonders schwerwiegenden Hinweis für die unscharfen Darstellungen der eGK und der telematischen Infrastruktur.

Man kann sich nicht vorstellen dass dieser Sachverhalt ein Fehler der Gematik ist, wenn man die Dokumente dahingehend auswertet!? Wir finden im RS291-11 der deutschen Krankenhausgesellschaft Dokument Hinweise auf die erforderliche Profilbildung (Konformität und Profilbildung als eGK-Projekt für die Gematik).

Dort heißt es auf Seite 4 unter ‘Besondere Hinweise’ (hier abgekürzt, siehe Orginaltext):

Die DGK hat die Ausarbeitung von “Telematik-Konformitätsprofilen und ihre Zusammenfassung und Veröffentlichung in Profilpaketen übernommen”

Im Dokument gematik_KON_Konnektor_Spezifikation finden wir eine technische Profilbildung, ohne die das gesamte System nicht arbeiten würde. Dank des Dokumentes der Bitcom haben wir ein öffentliches Dokument wo der ursprüngliche Bearbeitungsstand noch sichtbar ist. Hinzu kommen sämtliche XML-Dokumente und Schemata, die über XSD-Ressourcen validiert werden und eine perfekte Grundlage bieten alle Daten als profil-abhängig zu betrachten (siehe gematik_VSD_Facharchitektur_VSDM_2_5_0.pdf  (XML/XSD Strukturierung der Daten von Gematik GmbH)) Das ganze System strotz daher nur so vor Profilbildung.

Selbst wenn die Gematik hier nachträglich dem System die Hinweise und Möglichkeiten dafür entzieht, liegt hier ein Sachverhalt vor den alle Beteiligten mehr als einem kritischen Faktencheck unterziehen sollten.

Ohne Profilbildung keine Rollen, keine Rechtevergabe und keine Kriterien für die Authentifizierung in diesem System, dass ist der wahre Sachverhalt, den die Gematik nicht hervorhebt.

Der Punkt der Profilbildung ist deswegen so heikel, weil damit die Ethik des Gesundheitssystem angegriffen wird, deswegen die Aussage der Gematik eine Profilbildung würde angeblich nicht stattfinden. Hätte die Gematik hier in jeder Hinsicht Transparenz geschaffen, würde die eKG und die telematische Infrastruktur heute nicht existieren.

Die Analyse der Profilbildung im eGK_System steht ganz am Anfang und ist einer der Bereiche die lückenlos und vollständig aufgedeckt werden sollte.

Hier noch einige Hinweise auf technische Profilbildung aus der Version 3.0 des Konnektorspezifikation der Gematik, heruntergeladen von Bitcom:

Seite 545:
head Das Attribut profile DARF NICHT verwendet werden. Das Inhaltsmodell des Elements MUSS zu (title, style) geändert werden.
Seite 313
Seite 543

13 -15

Sicherheit durch Anpassung

Bekannte Vorgehensweisen für die Anpassung von informationstechnischen Systemen. Fraglich bleibt mit welchem Aufwand an Manpower und Geld diese Ziele verwirklicht werden können. Die Komplexität ist außerordentlich hoch, dass wissen alle die sich damit beschäftigen.

16-19

Die elektronische Gesundheitskarte

Für die Erläuterungen über geheime und komplexe Schlüssel, sowie die Verschlüsselungsmethode gilt was weiter oben für Seite 7 - 11 ausgeführt wurde!

20-24

Konnektor

Der Abschnitt Konnektor ist eine technische Zustandsbeschreibung und wirkt im Whitepaper-Sicherheit aufgesetzt und nicht eingegliedert in die Zielsetzungen, klar umrissene Gefährdungsbereiche und Gegenmaßnahmen zu benennen. Die Tatsache dass der Konnektor die dritte Komponente der Verschlüsselung und Authentifizierung bildet, liefert keine erhöhte Sicherheit oder Transparenz für den Umfang beteiligter Prozesse. Ein aufschlussreicher vergleichender Hinweis ist Seitenumfang der technischen Spezifikation des Konnektors, die aus über 600 DINA4 Seiten besteht. Eine erste Ausarbeitung über den Konnektor von Seiten dieses Projektes finden Sie hier. Der Konnektor wird von unserer Seite als eine Komponeten angesehen, die eine weitere große Oberfläche für Angriffe und Manipulationen im System ermöglicht.

20 -29

Der Transport-Kanal

Die in diesem Abschnitt gelieferten Erläuterungen und Grafiken kratzen an der Oberfläche einer komplexen Client-Server Applikation mit vielen Teilnehmern und Rechenzentren. Der Datentransport auf Seite 27 ist nicht aussagekräftig. Die Hinweise auf eine Firewall entprechen dem Standard, mögliche Angriffsszenarien, wie z.B.  Firewalls zu durchbohren (tunneln) und andere Möglichkeiten werden nicht besprochen.  Das Auditing und deren Protokollierung, basierend auf Logfiles, die wahrscheinlich mit entsprechenden Shell-Scripten ausgebaut werden ist sicherlich ‘nice to have’, aber auch hier gilt, wir kennen keine Details der Funktionen und es entsteht dadurch eine neue Oberfläche für Unsicherheiten. So könnte das Auslesen der Protokolle erhebliche Einblicke und Manipulationen ermöglichen Man spricht auf Seite 29 relativierend von einer Art individueller Kontrolle,  was immer auch damit gemeint ist, es hört sich so an wie alle Werbebotschaften im Whitepaper Sicherheit der Gematik GmbH.

30-31

Ausblick

Die konsequente Umsetzung informationeller Selbstbestimmung muss stark bezweifelt werden, denn dazu gehört die Ablehnung von optionalen Datencontainern in einem informationstechnischen Moloch.

Whitepaper Sicherheit:

Konnektor:

Treffen Sie ihre Auswahl welche Auswertung Sie interessiert:

Seite Nr. im

Gematik-Abschnitt/ Titel im Orginaldokument > gematik_KON_Konnektor_Spezifikation_V3.0.0.pdf (Bitcom Bundesverband IT)

Faktencheck im Kontext: Profilbildung und Zugriff auf die Netzwerke der definierten Leistungserbringer, siehe Rollen:

373

 

Identitätsabgleich des Authentisierungszertifikats als Rollenbestätigung erfolgt für folgende Profile:

o Betriebsstätte Arzt
o Zahnarztpraxis
o Betriebsstätte Psychotherapeut
o Krankenhaus
o Öffentliche Apotheke
o Krankenhausapotheke
o Bundeswehrapotheke

387

 

Die Primärsysteme des  Leistungserbringers stellen eine Verbindung über das eigene Netzwerk (LAN) zum Anwendungskonnektor her ( TLS).

392

7.5 Spezifikation der Schnittstelle zwischen Anwendungs- und Netzkonnektor

Der Hinweis auf die Sicherstellung der Verbindung zur telematischen Infrastruktur über Absicherungsmaßnahmen, die auch organisatorischer Natur sein können,  beinhaltet die Zusammenfassung der Teilnehmer-EDV mit den installierten Hardwarekomponenten der Gematik zu einer organisatorischen Einheit.

392

A.2.2 Policy für Signaturen durch Leistungserbringer – Release 2

Wir werden darüber informiert dass der Konnektor über ein Online-Update-Verfahren verfügt, um die Rollenzuordnungen zu erweitern, falls weitere Berufsgruppen hinzukommen!

398

7.3.5 LAN-Schnittstelle

Der Anschluss des Konnektors an das LAN des Leistungserbringers erfordert eine Lanschnittstelle mit IP über Ethernet. Hier wird gefordert dass der Administrator die IP-Adressen konfigurieren MUSS.

Der administrative Zugriff auf das LAN muss zwar detaillierter Im Kontext untersucht werden, ein erzwungener Zugriff ist in jedem Fall abzulehnen, da er einen weitgehenden Eingriff in die EDV-Infrastruktur darstellt.

422 -426

D.1 XML-Dateiformat

Der Abschnitt XML-Dateiformat in der Konnektorspezifikation kann in Beziehung gesetzt werden zu unserer Ausarbeitung unter VSDM und der Grafik. Die Informationen bieten einen Einblick in das gewählte Datenformat und die Organisation der Daten.

504-505

7.4.4.2 LAN-Schnittstelle /DHCP_Server

 

ACHTUNG:

Die nachfolgende Spalte bezieht sich nicht auf die Konnektor-Spezifikation sondern auf ein anderes PDF, siehe> Infoveranstaltung_Konnektor_120424.pdf

19

 

Die Auflistung neuer Formate, die im telematischen System verarbeitet werden sollen, beziehen sich auf die seit Jahren angekündigte Erweiterung für Mehrwertdienste (z.B. Übermittlung von Multmedia Dateien, Röntgenbilder, Rezepte, usw.)

Wir werden über die Folgen informiert, dass die korrekte Anzeige von XML über XSLT nicht mehr garantiert werden kann und der  Signierende in diesen Fällen bewusst das Risiko übernehmen muss.

Diese Hinweis steht im Kontext mit den zu erwartenden Problemen, die sich aus der zusätzlichen Nutzung der Mehrwertdienste ergeben (unser Hinweis auf VPN-Sachverhalte).

Die Systemanpassungen vergrößern die Anzahl der beteiligten Funktionskomponenten und damit die Oberfläche für Angriffe und weichen die Sicherheitsphilosophie des gesamten Systems der Gematik auf.

29

 

Wir werden informiert über folgende Vorgänge im eGK-System:

- Lieferung von Supportinformationen für die Wissensdatenbank der TI
- Lieferung betriebsrelevanter Informationen an die Gematik

Der Umfang des Systems und der gespeicherten Informationen wächst nicht nur über die Patientendaten, sondern gleichermaßen über alle weiteren Schnittstellen und Interaktionen.

Bundesweite Aktionsgemeinschaft
11

Letztes Update: 10.6.2013