Tiefenanalyse der elektronischen Gesundheitskarte und telematischen Infrastruktur

Seit mehreren Jahre bin ich dabei, das eGK/TI-System technisch zu analysieren. Dazu habe ich frei zugängliche Dokumentationen des eGK/TI-Systems genutzt, die ich aus dem Internet beziehen konnte, teils direkt von der Gematik-Webseite, teils durch Suchmaschinen-Recherche. Der Umfang der von mir zusammengetragenen Dokumente ist inzwischen so gross, dass ich eine softwaregestützte Arbeitsumgebung zum Auffinden bestimmter Suchbegriffe aufbauen musste.

Das Ziel dieser Analyse ist es, das Datenmodell der eGK/TI Baustein für Baustein auseinander zu pflücken, um anhand konkreter technischer Anhaltspunkte die in der gegenwärtigen Rechtsprechung verwendeten Argumente außer Kraft zu setzen.

Ein verbreiteter Irrglaube über die TI ist z.B. der einer dezentralen Datenhaltung. Im Zeitalter von VPN, Cloud-Computing, Outsourcing und aufgeteilten Dienstorientierten Architekturen (SOA) ist das für sich allein stehende Rechenzentrum im Keller eines einzelnen Grossunternehmens kaum noch anzutreffen. Und für die auf XML / XSD-Technik (erweiterbarer Auszeichnungssprache mit Regelwerk) basierende Art der Datenhaltung der TI ist es sogar typisch, nicht jede Information direkt vorzuhalten, sondern mit Referenzierungen zu arbeiten.

Unser klassisches Verständnis vom Begriff Dezentralität wird geschickt ausgenutzt, um den Schein zu erwecken, es gäbe gar keine zentrale Datenhaltung. Das mag rein technisch betrachtet sogar teilweise zutreffen, aber mit der heutzutage zur Verfügung stehenden Technik reicht bereits eine vollumfängliche Sicht auf den Gesamtdatenbestand aus. So eine Sicht kann man wiederum an zentraler Stelle speichern (ein Fachbegriff dazu lautet z.B.: „Materialized View“). Beispiel: Was wäre, wenn bei einer vollumfänglich in die TI integrierte Arztpraxis eine wichtige Information eines Patienten gespeichert ist, die unerwartet andernorts für eine Notfallbehandlung eben dieses Patienten benötigt wird ? Vielleicht ist ja in dieser voll integrierten Arztpraxis grad Stromausfall, so dass sie zeitweilig von der TI abgeschnitten ist. Mir kann keiner erzählen, dass die benötigten Informationen nicht auch in mehrfacher Kopie in den Rechenzentren der TI vorgehalten werden.

Ein weiterer Punkt, mit dem wir ruhig gestellt werden sollen, ist die angebliche Verschlüsselung, die nach jetzigem Informationsstand der Rollout-Phasen noch gar nicht implementiert ist.

Der Begriff Verschlüsselung für sich genommen ist ohnehin wenig aussagekräftig, denn Verschlüsselungsverfahren existieren wie Sand am Meer, manche simpel, manche komplex, manche wirksam, viele im Kontext betrachtet jedoch unwirksam. Oft wird z.B. nur der Transportweg von Daten verschlüsselt, nicht jedoch der letztendliche Speicherort. Das ist auch verständlich, wenn man weiss, dass ein komplexes System wie das der TI mit durchweg verschlüsselten Daten gar nicht richtig arbeiten könnte, denn jede kleine Information wird durch Kennzahlen geschlüsselt und in individuellen XML-Datenfeldern abgebildet, welche als Referenzkriterium dienen.

Dazu kommt eine angebliche Anonymisierung und Pseudonymisierung. Doch mit dieser ist es auch nicht weit her, denn in den Datenstrukturen lässt sich die Verwendung von Objekt-Identifikations-Nummern (OIDs) nachweisen, wodurch eine eindeutige Zuordenbarkeit zum konkreten Patienten stets gewährleistet bleibt, selbst wenn menschenlesbare Merkmale wie Name und Adresse entfernt werden. Wie sollte sonst auch eine konkrete Tätigkeit wie etwa der Versichertenstammdatenabgleich funktionieren ?

Die Absicht der Gematik, die Daten der TI künftig auch über die Grenzen des eigenen Systems hinweg weiterzugeben, wird schon daran deutlich, dass das aus verschachtelten XML-Strukturen bestehende Datenmodell die gleichen Merkmale aufweist, wie sie bei modernen Datenwarenhäusern üblich sind.

Außerdem bedient sich die Gematik beim Aufbau ihres Systems an weltweit genormten und öffentlich zugänglichen Datenformaten und Standards bzw. verwendet öffentliche Registrierungsstellen für die eigene Strukturen (z.B. beim DIMDI, dem Deutschen Institut für Medizinische Dokumentation und Information). So positiv dieser Open Source-Gedanke und die Veröffentlichung von internen Arbeisweisen in anderen Bereichen sein mag, so kritisch sollte es im Umfeld der TI gesehen werden, denn so können sich auch technisch versierte Unbefugte schnell über die Strukturen evtl. erbeuteter Daten klar werden.

Es gibt aber auch kleine Abweichungen von vorgegebenen Standards, die davon zeugen, dass sich die Gematik der Sensibilität der verbotenen Profilbildung sehr wohl bewusst ist und ihre genau hierauf ausgerichtete Intentionen zu verschleiern versucht. Man erkennt das z.B. in einer aufgespürten Dokumentation, in der es heißt, dass der im Standard einer XML-Struktur zufällig vorkommende Begriff „profile“ unbedingt noch durch einen anderen Begriff ersetzt werden muss.

Noch ein Punkt ist der Umfang der Informationen, die in dem neuen Datennetz verfügbar sind, der weit über die in §291a genannten Punkte hinaus reicht. Das Schlagwort hierzu heißt Metadaten. Hat man z.B. keinen DMP-Eintrag, aber mehrmals einen Pneumologen aufgesucht, so ist etwa eine gezielte Recherche nach eben diesen Personen möglich, die man dann per Brief zur Teilname an Astma-DMPs überreden könnte. Oder Kritiker wie wir, die die freiwilligen Zusatzdienste ablehnen und bei denen diese Ablehnung selbstverständlich digital vermerkt wird, könnten gezielt gefiltert werden, um sie mit überzeugend formulierten Schreiben zum Umdenken zu bewegen. Somit werden Informationen erzeugt, die man eigentlich vorenthalten wollte. Die Datenhaltung in der TI über die XML/XSD-Technik ist derart komplex und vielschichtig, aber durch die Verwendung der bereits genannten Objekt-Identifikations-Nummern trotzdem so eindeutig, dass durch geschicktes Kombinieren von Suchabfragen über den Gesamtdatenbestand neue Metadaten erzeugt werden, die um ein vielfaches die Angaben aus dem §291a übersteigen und die dann gewinnbringend verkauft werden können. Was Herr Zuckerberg heute mit Facebook tut, will die Gematik mit der TI tun, nur auf einem anderen Gebiet.

Nicht zuletzt ist der Personenkreis, der Zugriff auf die Daten der TI hat, viel zu gross. Wir leben im Zeitalter des Outsourcings. Kaum jemand erledigt seine IT-Arbeiten noch selbst. Es ist üblich, für jedes kleine Projekt Dienstleister ins Haus zu holen. Die Gematik macht da keine Ausnahme. In einem Gematik-Dokument heißt es z.B.: „Der Zugang zu Datenzentren darf externen Mitarbeitern gewährt werden, die aus unternehmenrelevanten Gründen Zugang erhalten müssen.“ Das kann man sehr grosszügig auslegen.

Viele haben leider schon die Heldendaten von Herrn Snowden vergessen. Und wenn dieser in der Lage war, wenn auch aus noblen Beweggründen, Datenberge des US-Geheimdienstes zu entwenden, dann ist das genauso gut bei der Gematik und aus weniger noblen Gründen möglich. Man stelle sich z.B. einen unzufriedenen unterbezahlten Systemadministrator der Gematik vor, der sich mit einem nicht autorisierten Datenexport ein kleines Zubrot verdienen will. Oder gar ein Mitarbeiter, der durch Kenntnis wichtiger Zusammenhänge bewusst einen per Knopfdruck auslösbaren datenschutztechnischen Supergau herbeiführt, z.B. um sich zu rächen, um berühmt zu werden oder einfach, um auszuprobieren, was technisch möglich ist.

Am Anfang des Jahres habe ich eine weitere Möglichkeit entdeckt, Beweise für meine Klageschrift zu sammeln, nämlich auf Basis von §83 SGB X, worin das Recht auf Selbstauskunft verankert ist.

Mit Hilfe eines Musterschreibens auf wiederum technischer Basis werden die jeweiligen Krankenkassen aufgefordert, über das derzeitige „Wie“ der Speicherung unserer Daten detailliert Auskunft zu geben.

Dieses Musterschreiben soll von interessierten Mitstreitern um die eigenen Daten ergänzt und zur jeweiligen Kasse geschickt werden. Mit Hilfe der Rückläuferschreiben werden anschließend gemeinsam neue individuell formulierte Antwortschreiben entwickelt und versandt. Ein erste Beschreibung der Aktionen und Ergebnisse finden Sie hier.



Hinweis:
Dieser Artikel, der meine Arbeit in sehr gut verständlich Form beschreibt, ist ausschließlich durch die Hilfe der Mitstreiter entstanden, die mich im letzten Jahr kräftig unterstützt haben.

Rolf D. Lenkewitz 18.04.2015

http://www.it-ler-analysiert-die-egk.de

neuegrafik_april2015_3

 

 Neue Positionen für den Widerstand gegen die elektronische Gesundheitskarte (eGK) und telematische Infrastruktur (TI) auf Basis technischer Analysen und neuerer Meldungen zur eGK/TI

2002063

Gesamtarchitektur EGK und TI: Telematische Infrastruktur (TI-System), Komponenten und Rechenzentren

Rolf D. Lenkewitz

Impressum

Inhalte sind lizensiert unter Creative Commons
news2

Impressum

www.rdlenkewitz.eu