Finden Sie neue Sicherheitslücken und Born Closed und Windows Blog

Ab dem 29. April 2025 begann die elektronische Patientenakte in der Tabelle für die Krankenversicherung. Sicher und funktional, wie der Gesundheitsminister zertifiziert. Am 30. April 2025 musste Gematik den Chaos Computer Club (CCC) darüber informieren, dass eine neue Sicherheitslücke weg war.

Niedrige Überprüfung von EPA 3.0

Zu Beginn der elektronischen Patientendatei 2025 (EPA) gab ich ihm eine elektronische Patientendatei 2025 (EPA 3.0). Theoretisch kann jeder den Arzt mit seiner Gesundheitskarte (EGK) zeigen und seine Patientenakten zulassen.

Dieses Haus war tatsächlich am 15. Februar 2025 geplant, verzögerte sich jedoch aufgrund vieler Probleme. Am 29. April unterstützt der Arzt auch die EPA 3.0, und viele Praktiken können dies nicht tun, da das praktische Managementsystem noch nicht gemeistert ist. Außerdem sind viele vorgeschriebene Funktionen noch nicht verfügbar und müssen sie dann nicht vollständig implementieren oder lassen. Viele Details können in Artikeln zum Artikel gelesen werden.

EPA 3.0 ist sicher?

Experten waren hauptsächlich skeptisch gegenüber der Sicherheit von EPA -Daten. Vor dem Start des Piloten im Januar 2025 erklärten Sicherheitsforscher die Sicherheitslücke öffentlich, um auf EPA -Daten zuzugreifen. Dies unter der Regie eines Taschentricks: Pilot -Praxis wurde von Hand übergeben. Daher wird gesagt, dass nicht autorisierte Personen Ärzte, EP -Infrastruktur und Missbrauch erhalten können, um auf die elektronische Patientenakte zuzugreifen.

Mit einem elektronischen Ersatzzertifikat

Wenn ein Patient eine Krankenversicherungskarte (EGK) vergessen oder verloren hat, ist ein elektronisches Ersatzzertifikat erforderlich. Die Federal Association of Health Insurance Physicians (KBV) und die GKV Upper Association stimmten zu, sicherzustellen, dass der Manteline Federal Vertrag (BMV-E) das Zertifikat für medizinische Praktiken ermöglichen muss. Der Versicherte sollte in der Lage sein, über den Antrag auf dieses Ersatzzertifikat zugreifen zu können.

• Die Arztpraxis muss die Versicherung für seine KIM -Adresse über einen QR -Code vorlegen.
• Der Versicherte muss diesen QR-CDOE scannen und über einen Krankenversicherungsantrag Geld an die Registrierung senden.
• Ersatz -Ersatzzertifikat Das Data Register (z. B.) enthält den Datensatz (FHIR) an das Data Register (FHIR).

Ich hatte im April nur elektronische Patientenakten (EPA); Und mehr Neuigkeiten über diesen Schlenker. Und ich hatte die Informationen, dass die Karte die Erlaubnis erstellen musste, um auf jede EPA zuzugreifen, ohne ein Health Ticket (EPA) zu haben. Ich habe dieses Detail jedoch nicht untersucht, weil ich nicht genügend Informationen hatte, um gültig zu sein. Das CCC sah aus, als hätte er es erhalten.

Angriff auf das elektronische Ersatzzertifikat

Vom 30. April 2025 (gestern musste das Feld der EPA 3.0 und am nächsten Tag aus dem Juwel der Infrastruktur die EPA -Sicherheitslücke veröffentlichen.

In der Nachricht wurde festgestellt, dass der Chaos ComplcoC Club ein nicht autorisiertes Szenario für Ihre Jugenddateien beschrieben hat. Informationen können mit Ersatzelektronikkarten für Versicherungskarten, einzelne elektronische Patienten (EPA) erhalten werden.

Gematics schloss die Sicherheitslücke für die Versicherung für individuelle Versicherungen in Versicherungen. Werden potenziell identifiziert und geschützt. Alle sind schädlich, und immer noch die Gesundheitsminister erwarten die Anfangsphase der EPA. Ich schätze es, direkt auf die ersten Informationen zu reagieren. Die Patientendateien müssen sehr gut geschützt sein. Sie müssen von Patientendatenangriffen ausgeschlossen werden. ” erwähnt.

Die Gematics wiegt

Dr. Florian Fuhrmann erklärte von GEMA -Direktor: “Unsere nationalen Sicherheitsteams verbinden sich mit BSI. Befolgen Sie die entsprechenden Maßnahmen in standardisierten Sicherheitsforschern und die richtige Bewertung.

Aufgrund der Informationen hat das erste gemessene Erst gemachtelt, dass das Verfahren vor dem Verfahren bereits einige Bargeldunterlagen als Alternative zur Versicherungskarte für Ersatzzertifikate (EGK) verwendet hat. Sie überprüfen und kontrollieren die kontinuierlichste und höchste Priorität. Bisher wurden keine Beweise für nicht autorisierte Zugriff auf Patientenakten.

Einige Details

Laut CCC wurde der Behandlungskontext einer versicherten Person unter Verwendung versicherter Zertifizierungen fehlgeschlagen. In Kombination mit der versicherten Nummer würde der Codierungsschlüssel sowohl illegale praktische ID (SMC-B) als auch eine Verbindung mit telematischen Infrastrukturen (TI) zum Zugriff auf Patientendateien verwendet. Gematics unterstützt nicht, dass versicherte Daten tatsächlich entfernt wurden.

Hintergrund: Erklärungen aus Gema

Ende Dezember 2024 zeigte der Chaos Computer Club auf der Grundlage eines technischen Punktes, der theoretisch möglich war und die Behandlung einer versicherten Person falsch war. Für die nationale EPA -Ebene für alle wurden mit BSI höhere Sicherheitsmaßnahmen festgelegt. Die Erkennung von Behandlungskontext ist mit mehr Kartenmerkmalen zertifiziert. Zusätzlich zur Kartennummer müssen andere Funktionen wissen, und einige von ihnen sind nicht auf der Versicherungskarte. Das heißt, nur das Vorhandensein von EGK -Einrichtungen und nur das physische Lesen.

Grundsätzlich gilt das Folgende auch: Die EPA wird für die höchsten und modernsten Sicherheitsstandards gebaut. Die Gematics wird entwickelt und koordiniert zusammen mit den höchsten Sicherheits- und Datenschutzbehörden wie dem Federal Technology Office (BSI) und dem Datenschutz und der Informationsfreiheit (BFDI). Es schützt auch die Sicherheitssicherheitskonzepte der telematischen Infrastruktur (TI). Darüber hinaus werden alle Sicherheits- und Anwendungen ständig überprüft – in der engen Koordination von Behörden und externen Experten. Also alles in Grün?

Einige Details zu dem Angriff, der ausführlicher in Golem- und Heise -Artikeln beschrieben wird – CCC stellte wahrscheinlich die Informationen aus dem Spiegel, der sich in einem Artikel befindet (hinter Paywall).

Problem: Die von der Health Card (EGK) gespeicherte ICCSN -Karte wird ohne kryptografische Bewertungen übertragen. Bis vor kurzem reichte dieses ICCSN aus, um auf elektronische Patientenakten zuzugreifen. Darüber hinaus haben Sie zu Beginn neue Sicherheitsregeln festgelegt, nur ICCSN reicht nicht aus, um auf EPA -Daten zuzugreifen. Aus der versicherten Person wird ein Hash -Wert gebildet.

Christoph Saatjohann, die Sicherheit der Universität für angewandte Wissenschaft in Münster, wurde mit Bianca Kastl und Martin Tschirsi entdeckt, da die Adresse und Versicherungsinitiative im Electronic Secondement Certificate (EEB) konsultiert werden können. Der Beginn der CCC -Versicherung sowie der zu Hause versicherten Adresse kann in bestimmten Situationen automatisch erstellt werden.

Behoben, die oben genannte Sicherheitslücke, die durch einen Taschentrick hergestellt wird: Im Moment akzeptieren Sie keine elektronischen Ersatzzertifikate. Die Patientendatei (vorerst) ist sicher. In der pharmazeutischen Zeitung hat CCC den in diesem Artikel geworfenen Schuss kritisiert. Ich habe hier im Artikel andere scharfe Aussagen in CCC miteinander verbunden. Bianca Kastl verdient das Lesen, das oben verlinkt ist.

Ähnliche Artikel:
Gesundheitsgesetze I: Das EU -Parlament ist frei für den EU -Gesundheitsdatenraum (EHD)
Gesundheitsgesetz II: Bundestag entscheidet die Digitalisierung im Gesundheitsgebiet (GDNG, Digig)
Health Act III: Mit Katastrophendigitalisierung?
Elektronische Patientendateien (EPA 2.0) als Sicherheitsrisiko?
Edelschläger haben sich entschlossen, elektronische Patienten elektronische Dateien (EPA) zu wählen.

Betrunkene Beurteilung elektronischer Patientenakten auf dem Kongress (FA) im Kongress (3.12.2022)
Neustart in den geplanten elektronischen Patientendateien (EPA) 2023 neu starten
Lauterbach “will” elektronische Patienten elektronischer Patienten (EPA) mit einer Katastrophe ausgeschaltet (AD oder CloudKucksheuim)?

Gesundheitsdigitalisierung: Kelber kritisiert die EPA, ungeschützte Gesundheitsdaten gegen Cyberangriffe (Europäische Gesundheitsdatenraum, EHD): Vordergrund, offene Fragen
Europäische Gesundheitsdatenraum (EHD) Entscheidung – Patientenhaken

Pandora -Gewehr: Gesundheitsdaten, AI (Copilot, Adobe AI) und Patient / Datenschutz
Betreff: Öffentlich: Kontra -Datenschutz; Wo ist “falsch?
Senden Sie Datenschutzschwankungen mit Cannabis -Rezepten mit Dr. Ansay
Disaster Cyber ​​Attack Change Unitality Group Gesundheitsversorgung
Elektronische Patientenakten: Ende der medizinischen Vertraulichkeit?
Nachrichten des Gesundheitssystems: EPA, Widerspruch, Schwächen und Ärzte
Elektronischer Medikamentenplan (EMP): Fehlgeschlagen?
Schalten Sie elektronische Patientenakten (EPA) und (obligatorisch) aus
Elektronische Patientendateien (EPA): NOCH APT-OUT! Erste Pläne für Wünsche

Sicherheitsberichte über elektronische Patientendateien (EPA)
Elektronische Patientendateien (EPA): Lauterbach mit Meta, OpenAI und Google “Schatzdaten”
Situation von Patienten bei Patienten (EPA 3.0): Geben Sie in die Katastrophe ein?
Elektronische Patientenakten (EPA): Sehr geehrte CCC und Expertenkritik
Im Moment empfehlen Ärzte, dass Sie die elektronische Datei (EPA) des Patienten vermeiden, dass Sie vermeiden.
Elektronische Patientenakten (EPA): Chaos vor dem 15. Januar 2025
Elektronische Patientenakten (EPA) erfolgen nur im April. und mehr Neuigkeiten
KBV Gas Medical President: “Elektronische Patientenakten werden verzögert”
Apothekenumfrage: EPA 3.0 Ansichten anzeigen – es sind immer noch Haken
Zu Beginn der elektronischen Datei (EPA) des Patienten am 29. April 2025