Der Vortrag von Bianca Kastl analysiert eingehend die Sicherheitsprobleme und Vulnerabilitäten der elektronischen Patientenakte (EPA)
und der Telematikinfrastruktur (TI) in Deutschland. Es werden Schwachstellen bei Authentifizierungsverfahren,
Praxisverwaltungssystemen und Zugangsmitteln wie Heilberufsausweisen ausführlich dargestellt.
Trotz mehrerer ergriffener Maßnahmen und gesetzlicher Anpassungen sind die Systeme weiterhin potenziell unsicher,
etwa im Umgang mit Prüfnachweisen und der Manipulierbarkeit von Zugriffsrechten.
Ein gravierender Mangel ist das Fehlen einer manipulationssicheren Kartennummernprüfung, bekannt seit 2022,
dessen Behebung erst 2026 erwartet wird. Die Nutzung von Video-Ident-Verfahren gilt als interimistische,
jedoch unsichere Lösung. Es wird kritisiert, dass politische Entscheidungsprozesse oft auf kurzfristige Legislaturperioden
fokussieren, anstatt langfristige, parteiübergreifende Strategien für digitale Infrastruktur zu verfolgen.
Abschließend wird die Notwendigkeit betont, die EPA so zu gestalten, dass Gesundheitsversorgung effizienter und sicherer wird.
was gegenwärtig noch mit erheblichen Herausforderungen verbunden ist.

Bianca Kastl Minute 36:10
Sie haben eine Sicherheitslücke geschlossen. Ich würde das eher als einen fehlenden Weitblick über das eigene System verstehen.
Das BSI wurde in diesem Prozess der Mitigationsbewertung ebenfalls eingebunden, aber das BSI wusste natürlich auch nichts davon,
wenn die Gematik ebenfalls nichts wusste, logisch.
Man hat die elektronische Ersatzbescheinigung angepasst, und jetzt gibt es ein neues Profil, das sehr spezifisch heißt: EEB Coverage EGK No Address Line.
Das bedeutet, dass man jetzt als Praxis keine Adressdaten mehr erhält, wenn man eine Ersatzbescheinigung möchte.

Bianca Kastl Minute 36:49
Dann dachte man sich, das ist besonders clever, weil es ja sein könnte, dass Adressdaten irgendwo vorhanden sind.
Wir modifizieren deshalb das Datum des Versicherungsbeginns und machen daraus zum Beispiel den 01.01.1900, weil das in dem Moment ausreichend ist.
Ich würde sagen, das ist kein Zero-Knowledge-Proof und hat ein Red Label eingebaut, sodass man jetzt nicht massenhaft elektronische Ersatzbescheinigungen
besorgen kann, um massenhaft ePässe zu knacken. Das heißt, wir sind jetzt irgendwie hier mit dieser Kette von Mitigationsmaßnahmen,
die in Summe immer noch potenziell unsicher sind.

Bianca Kastl Minute 37:24
Man hat es aber mit genügend Gaffer-Tape und Fixes so hingebogen, dass es zumindest nicht sofort auseinanderfällt.
Sicher ist es jedoch immer noch nicht.
Das hat die Gematik auch zugegeben und gesagt, es ist technisch betrachtet nicht ganz sicher.
Man wird es aber beheben. Speziell an der Situation ist, dass bei der elektronischen Patientenakte in der Version 3.0 besonders Wert
auf einen Betreiberausschluss gelegt wird.

LINK zum Vortrag (https://media.ccc.de/v/39c3-schlechte-karten-it-sicherheit-im-jahr-null-der-epa-fur-alle)
.