Beiträge

MEINE SCHRIFTLICHE FRAGE ZUM STAND DER REGISTERMODERNISIERUNG

, , , , ,

Frage:

Wie ordnet sich der aktuelle Status der Umsetzung der Registermodernisierung hinsichtlich Anzahl Register, Datenschutz-Cockpit, NOOTS und Einhaltung der Fristen der Single-Digital-Gateway-Verordnung in den Zeitplan derselben ein (also was ist bereits erreicht bzw. was soll bis wann umgesetzt werden), und wie ist technisch und/oder organisatorisch ausgeschlossen, dass einzelne Behörden (z. B. Behörden mit Sicherheitsaufgaben) Schattendatenbanken anlegen, deren Datenabfragen dadurch nicht im Datenschutz-Cockpit auftauchen?

Antwort der Bundesregierung vom 6.2.2025:

Der Umsetzungsstand der Registermodernisierung inklusive des National-Once-Only-Technical-System (NOOTS) kann dem Bericht der Gesamtsteuerung Registermodernisierung an den IT-Planungsrat vom November 2024 entnommen werden.

Dieser ist öffentlich unter https://www.it-planungsrat.de/beschluss/beschluss-2024-57 einsehbar. Die Anforderungen der Single-Digital-Gateway-Verordnung (SDG-VO) sind umfassend, aber nicht abschließend erfüllt. Erste Komponenten zur Einrichtung eines EU Once-Only-Technical-Systems (EU-OOTS) wurden erbaut und erfolgreich getestet.

Der flächendeckende Anschluss von betroffenen Registern und Online-Diensten an das EU-OOTS steht noch aus. Darüber hinaus kann der Umsetzungsstand der SDG-VO dem Bericht an den IT-Rat vom September 2024 entnommen werden:https://www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/it-rat/beschluesse/beschluss_2024_03_Anlage.html.

50 Register müssen die Identifikationsnummer speichern. Sie sind in der Anlage zum Identifikationsnummerngesetz (IDNrG) aufgeführt. Der Roll-out der Identifikationsnummer in die Bundesregister richtet sich nach dem Beschluss des IT-Rates „Rollout der Identifikationsnummer nach § 1 des IDNrG in Bundesregistern“ (Beschluss Nr. [2023/6], https://www.cio.bund.de/SharedDocs/downloads/Webs/CIO/DE/it-rat/beschluesse/beschluss_2023_06_IT-Rat_Rollout_IDNr.pdf?__blob=publicationFile&v=6).

Der Roll-out der Identifikationsnummer in Register in Verantwortung der Länder wird aktuell in Abstimmung mit den Registermodernisierungskoordinatoren der Länder geplant. Innerhalb der Roll-out-Vorhaben werden der Anschluss an den Identitätsdatenabruf (IDA) und das Datenschutzcockpit (DSC) gemeinsam betrachtet und die Meilensteine aufeinander abgestimmt, sodass dieser möglichst parallel erfolgt.

Vor dem Hintergrund des dargestellten Umsetzungsstands ist die Anlage einer „Schattendatenbank“ ausgeschlossen. Die Sicherheitsbehörden führen kein in der Anlage zu § 1 Identifikationsnummerngesetz (IDNrG) genanntes Register. Darüber hinaus gibt es keine Rechtsgrundlage, die einen Abruf der Identifikationsnummer aus den in der Anlage zu § 1 IDNrG genannten Register durch die Sicherheitsbehörden gestattet.

Antwortschreiben im Original (geschwärzt):

SF433_GeschwärztHerunterladen

/von

MEINE SCHIRFTLICHE FRAGE NACH DER VERÖFFENTLICHUNG VON OPEN SOURCE PROJEKTEN DES BUNDES

, , , , ,

Frage:

Auf welchen Plattformen wie z. B. OpenCode und GitHub wurden die laut Antwort der Bundesregierung auf meine Schriftliche Frage 57 auf Bundestagsdrucksache 20/12484 durch den Bund als Open Source beauftragten Software-Entwicklungen bisher veröffentlicht (bitte jeweils die Anzahl je Plattform nennen, ggf. nur Anzahl für OpenCode, GitHub und „Sonstige“ nennen), und was sind die fünf häufigsten Gründe, weshalb bei den übrigen als Open Source Software entwickelten Lösungen keine Veröffentlichung des Quellcodes auf OpenCode bzw. auf anderen öffentlich zugänglichen Plattformen erfolgte (bitte nach OpenCode und anderen Plattformen unterscheiden)?

Antwort der Bundesregierung vom 31.01.2025:

Im Folgenden wird die Verteilung der durch den Bund als Open Source beauftragten und veröffentlichten Software-Entwicklungen auf verschiedenen Plattformen dargestellt. Die Übersicht zeigt die Anzahl der Veröffentlichungen auf den Plattformen OpenCode, GitHub sowie weiteren Plattformen, die als „Sonstige“ zusammengefasst wurden. Es erfolgten insgesamt Rückmeldungen zu 144 durch den Bund als Open Source beauftragten Software-Entwicklungen (Anmerkung: Die Anzahl der bei dieser Schriftlichen Fragen durch das Bundesministerium für Ernährung und Landwirtschaft zurückgemeldeten Projekte ist wesentlich geringer als die der Bundestagsdrucksache 20/12484, Frage 57.

Dies hat den Grund, dass eine Behörde bei der damaligen Anfrage jeden einzelnen Wartungs- und Entwicklungsauftrag separat benannt hatte, welche allerdings lediglich auf drei Projekte entfallen, die eine Neuentwicklung zum Inhalt haben. Die übrigen Aufträge dienten der Wartung und Pflege vorhandener Anwendungen.

PlattformOpenCodeGitHubSonstige
Anzahl der
veröffentlichten
Software-Entwicklungen		144710

Die fünf häufigsten Gründe für eine Nichtveröffentlichung des Quellcodes, unterschieden nach OpenCode und anderen Plattformen, lauten wie folgt (enthält Mehrfachnennungen):


Gründe für Nichtveröffentlichung auf Open Code:

  1. Verarbeitung sicherheitsrelevanter Aspekte und / oder sensibler Informationen
  2. Anwendung zu behördenspezifisch, fehlender Mehrwert für die Allgemeinheit
  3. Projekt befindet sich noch im Entwicklungsstadium
  4. Fehlende behördenspezifische Veröffentlichungsregelungen
  5. Fehlende Lizenzen / Urheberrechte für den Code oder einzelne Komponenten

Gründe für Nichtveröffentlichung auf anderen Plattformen:

  1. Verarbeitung sicherheitsrelevanter Aspekte und / oder sensibler Informationen
  2. Anwendung zu behördenspezifisch, fehlender Mehrwert für die Allgemeinheit
  3. Projekt befindet sich noch im Entwicklungsstadium
  4. Fehlende behördenspezifische Veröffentlichungsregelungen
  5. Fehlende Lizenzen / Urheberrechte für den Code oder einzelne Komponenten

Antwortschreiben der Bundesregierung im Original:

250131-Antw_SF318_Veroeff.-OS-Code_geschwaerztHerunterladen

Meine in Bezug genommene Schriftliche Frage:

https://mdb.anke.domscheit-berg.de/2024/08/meine-schriftliche-frage-zum-anteil-von-open-source-an-entwicklungsauftraegen-fuer-software/

/von

NIS-2 UMSETZUNG IN DEN SAND GESETZT – KOMMUNEN IM STICH GELASSEN

, , , , , , ,

Die vor inzwischen 2 Jahren in Kraft getretene NIS-2-Richtline der EU, die wichtige Standards für mehr IT-Sicherheit bringt, hätte bis zum Oktober 2024 in nationales Recht umgesetzt werden müssen. Dass die Bundesregierung ausgerechnet bei diesem sicherheitskritischen Thema bummelt und bereits ein Vertragsverletzungsverfahren gegen Deutschland eröffnet werden musste, ist verantwortungslos und auch nicht mit dem Ampel-Aus im November zu erklären. Aber das ist nur die Spitze des Eisbergs: Der Entwurf der Bundesregierung wird außerdem der gestiegenen Gefährdungslage nicht gerecht, sondern hangelt sich kläglich nur an den absoluten Minimalanforderungen der EU entlang: So soll es zwar einen Bundes-CISO geben, aber er soll von vorneherein als zahnloser Tiger angelegt werden, ohne angemessene Ressourcen und ohne Vetorecht – mehr Sicherheit wird diese Rolle so kaum schaffen können.

Auch die von NIS-2 geforderte Entkriminalisierung der IT-Sicherheitsforschung konnte die Bundesregierung trotz Koalitionsversprechen nicht auf den Weg bringen, und so bleiben vermutlich aufgedeckte Sicherheitslücken trotzdem unbekannt und können nicht geschlossen werden, weil Sicherheitsforschende weiterhin mit einem Bein im Knast stehen.

Kommunen im Gesetzentwurf zur NIS-2 Umsetzung ausgeschlossen

Besonders irritierend ist aber der Ausschluss der Kommunen in der geplanten Umsetzung, obwohl gerade Kommunen vielfach von Cyberattacken betroffen sind und ohne Frage zur kritischen Infrastruktur zählen. Wenn die kommunale Ebene wegen einer Cyberattacke lahm gelegt ist, geht vor Ort nichts mehr. Deshalb wurde im Landkreis Anhalt-Bitterfeld nach einer Ransomware Attacke sogar der Katastrophenfall ausgerufen. Wenn Geburten nicht mehr gemeldet, Sozialleistungen nicht mehr abgerufen, Kitaplätze nicht mehr verwaltet und Gehälter nicht mehr gezahlt werden können, ist das ein Riesenproblem.
Das habe ich deshalb auch in meiner Rede zur NIS-2 Umsetzung am 11.10.24 im Bundestag kritisiert. Kritik kam auch von der AG KRITIS und der VITAKO, dem Verband der kommunalen IT-Dienstleister.

BMI: „Kommunen? Das erlaubt EU-Recht gar nicht“

Ich habe schon viele schräge Begründungen für schlechte Gesetze gehört, aber vom BMI gab es für den Ausschluss der Kommunen einen echten Tiefpunkt: Andreas Reisen, Referatsleiter CI 3 „Cybersicherheit für Wirtschaft und Gesellschaft“ beim BMI entgegnete auf mein Plädoyer für den Einbezug der Kommunen bei der NIS-2 Umsetzung in Deutschland auf dem VOICE Entscheiderforum im November 2024, dass die NIS-2-Richtlinie der EU die Beteiligung von Kommunen gar nicht erlaube. Weil ich das reichlich seltsam fand, habe ich den Wissenschaftlichen Dienst des Bundestags beauftragt, diese Aussage wissenschaftlich zu prüfen.

Gutachten Wiss. Dienst: „Kommunen? Gar kein Problem mit EU-Recht!“

Der Sachstand des Wissenschaftlichen Dienstes des Bundestages ist eindeutig: Kommunen können explizit einbezogen werden, das ist Sache der Umsetzung in den Mitgliedsstaaten und nichts in der NIS-2-Richtline spricht dagegen, dies zu tun! Im Gutachten wird sogar hin- und her interpretiert, ob sich ggf. eine Verpflichtung ergeben könnte, die Kommunen unbedingt einzubeziehen, aber da gäbe es Spielräume und eine Pflicht sei unwahrscheinlich.

Dass die Bundesregierung NIS-2 und damit die Sicherheit kritischer Infrastrukturen vernachlässigt, ist das eine, das aber auch noch mit angeblichen EU-Hürden zu begründen und sich auf diese Weise herauszureden, ist wirklich dreist!

Weiterführende Links:

Pressemitteilung der EU-Kommission zu den Vertragsverletzungsverfahren vom 28.11.2024

https://germany.representation.ec.europa.eu/news/cybersicherheit-und-resilienz-kritischer-einrichtungen-vertragsverletzungsverfahren-gegen-2024-11-28_de

Entwurf der Bundesergierung zu Umsetzung der NIS-Richtlinie:

https://dserver.bundestag.de/btd/20/131/2013184.pdf

Meine Rede zur NIS-Umsetzungim Bundestag am 11.10.2024:

https://mdb.anke.domscheit-berg.de/2024/10/rede-zum-nis-2/

Stellungnahme der AG KRITIS vom 27.10.2024:

https://ag.kritis.info/wp-content/uploads/2024/10/20241027-Stellungnahme-NIS2UmsuCG-RefE-v02102024-AG-KRITIS-v1.1.pdf

Stellungnahme des VITAKO vom 12.6.2024:

https://vitako.de/wp-content/uploads/2024/06/2024-06-12_VITAKO_Kommunale_IT_gemeinsam_schuetzen_-_Resilienz_und_Cybersicherheit_im_Fokus_final.pdf

VOICE-Entscheider Forum:

https://voice-entscheiderforum.org

Gutachten des Wissenschaftlichen Dienstes zur NIS-Umsetzung für Kommunen vom 22.01.2025:

https://mdb.anke.domscheit-berg.de/wp-content/uploads/250122_WD_Bewertung-NIS2-Kommunen.pdfHerunterladen
/von

ICH FRAGE: PATIENTENAKTE SICHER? BUND ANTWORTET: 🙈

, , , , , , , , ,

Pressemitteilung

Nach 20 Jahren Planung und erfolglosem Rollout von Vorgängervarianten startete am 15. Januar 2025 der Test der sogenannten „ePA für alle“, der elektronischen Patientenakte 3.0, in vorerst knapp 300 ausgewählten Praxen in Hamburg, Franken und NRW. Ob der geplante bundesweite Rollout wie geplant im Februar starten soll, steht aktuell in den Sternen, nachdem Ende Dezember aus dem Umfeld des Chaos Computer Clubs verschiedene Sicherheitslücken öffentlich präsentiert wurden, die theoretisch einen illegitimen Zugriff auf alle künftigen etwa 70 Mio. Patientenakten ermöglichen könnten. Auf diverse Fragen der Bundestagsabgeordneten der Linken, Anke Domscheit-Berg, antwortete die Bundesregierung entweder gar nicht, ausweichend, oder irritierend.

Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag:

„Die Antworten der Bundesregierung auf meine Fragen zeigen, dass das Gesundheitsministerium (BMG) immer noch nicht bereit ist, sich ehrlich zu machen und transparent mit dem anhaltend mangelnden Sicherheitsniveau der ePA umzugehen. Dazu gehört, auf klare Fragen auch vollständig und verständlich zu antworten, statt unliebsame Fragen einfach zu ignorieren und bei anderen verklausuliert um den heißen Brei herumzureden. Das ist schlechter Führungsstil und eine Missachtung parlamentarischer Verfassungsrechte.

Bei einem Großprojekt mit hochsensiblen Gesundheitsdaten eines Großteils der Bevölkerung, das nur erfolgreich sein kann, wenn die Daten sicher und das Vertrauen der Patient:innen hoch ist, muss man gerade Probleme und IT-Sicherheitsrisiken transparent kommunizieren und das findet weiterhin nicht statt. Wenn Patient:innen aber immer wieder erleben, dass Minister Lauterbach die ePA als sicher anpreist, während Schlagzeilen von erschütternd einfach auszunutzenden Sicherheitslücken berichten, wie die Übertragung wichtiger Identifikationsdaten ohne Verschlüsselung und das einfache Hochzählen von Kartennummern, dann wird jedes Mal Vertrauen in die ePA zerstört und werden Menschen sie nicht nutzen wollen, die von ihr profitieren könnten. Ich fühle mich inzwischen als Patientin nur noch auf den Arm genommen, wenn mir das BMG selbst jetzt noch antwortet, dass Deutschland eine der sichersten Infrastrukturen im Gesundheitswesen in Europa habe.

Viel sagt auch der Fakt, dass meine Frage nach den konkreten Forderungen der Bundesbeauftragten für den Datenschutz (BfDI) zur neuen ePA komplett unbeantwortet blieb, wohl weil es sonst peinlich würde für die Bundesregierung, denn diese Forderungen wurden schon im Sommer gestellt und offensichtlich ignoriert. Leider wurde das Veto-Recht von BSI und BfDI bei der ePA zugunsten eines bloßen Rechts auf Anhörung aufgehoben, das BMG kann sie daher einfach ignorieren und ihre Forderungen schlicht unter den Teppich kehren.

Auffällig ist auch die fehlende Antwort auf meine Frage, ob das BSI auch Geheimnisträger:innen mit sensiblen Gesundheitsdaten die Nutzung der ePA zum Zeitpunkt ihrer Einführung empfehlen würde. Angesichts der extrem hohen Bedrohungslage durch fremdstaatliche Akteure ist das eine wichtige Frage, zumal das BMG behauptet, dass Risiken fremdstaatlicher Akteure im Sicherheitsgutachten vom Fraunhofer SIT berücksichtigt wurden, während man in diesem Gutachten das genaue Gegenteil davon lesen kann, nämlich dass der Auftraggeber gematik, dessen Mehrheitsgesellschafter das BMG ist, diese Risikobetrachtung nicht relevant fand, weshalb sie ausgeklammert wurde.

Leider löst diese ePA ihr Nutzenversprechen nicht ein, da sie nur mit rudimentären Funktionen kommt, gleichzeitig sind die Risiken für die darin gespeicherten Daten zwar hoch, aber Patient:innen völlig ungenügend darüber informiert. Dabei erfordert gerade der Paradigmenwechsel von der Einwilligungslösung zur Widerspruchslösung höchste Transparenz über den Nutzen und die Risiken für alle – ähnlich der Beipackzettel bei Medikamenten – damit eine informierte Entscheidung für oder gegen die Nutzung überhaupt getroffen werden kann.

Wenn die „ePA für alle“ nicht mit Datenskandalen zum Rohrkrepierer werden soll, muss Minister Lauterbach endlich klar und offen kommunizieren und den Flächenrollout per Opt Out so lange verschieben, bis die Angriffsrisiken auch durch fremdstaatliche Akteure sorgfältig evaluiert wurden, alle aktuell bekannten Sicherheitslücken tatsächlich geschlossen wurden – technische und organisatorische – und sichergestellt ist, dass alle Patient:innen tatsächlich umfassend über den Nutzen und die Risiken der „ePA für alle“ informiert sind. Eine Augen-zu-und-durch-Strategie aus Gründen der Wahlkampftaktik ist in Zeiten hybrider Kriegsführung und steigender Bedrohungsintensität jedenfalls indiskutabel.“

Weiterführende Links:

Antworten auf meine Schriftlichen Fragen rund um die Einführung der elektronischen Patientenakte an die Bundesregierung: https://mdb.anke.domscheit-berg.de/2025/01/4-schriftl-fragen-zur-epa/

  • Frage zur Aufklärung der Patient:innen zu Risiken der ePA und zur Evaluation des Informationsstands in der Bevölkerung
  • Frage zur fehlenden Berücksichtigung der Risiken durch fremdstaatliche Akteure im Sicherheitsgutachten von Fraunhofer und zur Empfehlung der ePA für Geheimnisträgerinnen
  • Frage zum konkreten Handlungsbedarf nach der Aufdeckung von Sicherheitslücken durch den CCC und zu einer möglichen Verschiebung des bundesweiten Rollouts oder eines Wechsels von Opt Out zurück zu Opt In
  • Frage zur Bewertung der nach Bekanntwerden der Sicherheitslücken durch den CCC veröffentlichten Maßnahmen der Gematik durch das BSI und zu den Forderungen der BfDI

Aufzeichnung des Vortrags beim 38C3 zu Sicherheitslücken der ePA: „Konnte bisher noch nie gehackt werden“: Die elektronische Patientenakte kommt – jetzt für alle! – media.ccc.de

/von

4 SCHRIFTLICHE FRAGEN ZUR ELEKTRONISCHEN PATIENTENAKTE

, ,

Frage:

Wie bewertet die Bundesregierung den Umstand, dass nach Aussage des Leiters der Abteilung Secure Software Engineering, der die von der gematik GmbH beim Fraunhofer-Institut für Sichere Informationstechnologie SIT (Fraunhofer SIT) in Auftrag gegebene Sicherheitsstudie zum ePA System betreut hat, die gematik als Auftraggeberin entschieden hat, fremdstaatliche Akteure wegen fehlender Relevanz nicht in die Sicherheitsbetrachtung einzubeziehen, obwohl das Fraunhofer SIT in eben dieser Studie selbst angibt, dass fremdstaatliche Akteure sowohl über hohe finanzielle, als auch über hohe technische Ressourcen verfügen und daher mit „hoher Relevanz“ zu bewerten wären (vgl. Sicherheitsanalyse des Gesamtsystems ePA für alle, www.gematik.de/media/gematik/Medien/ePA_fuer_alle/Abschlussbericht_Sicherheitsana-
lyse_ePA_fuer_alle_Frauenhofer_SIT.pdf, S. 22 und www.zeit.de/digital/datenschutz/2024-12/elektronische-patientenakte-it-sicherheit-datenschutz-geheimdienste), und würden die Bundesregierung und das Bundesamt für Sicherheit in der Informationstechnik vor diesem Hintergrund auch Geheimnisträgerinnen und Geheimnisträgern, vor allem solchen mit besonders sensiblen Gesundheitsinformationen, die Nutzung der elektronischen Patientenakte 3.0 angesichts der bestehenden Risikolage mit hybrider Kriegsführung, u. a. durch staatliche Akteure aus Russland, zum Zeitpunkt ihrer Einführung empfehlen?

Antwort:

Fremdstaatliche Akteure und deren Angriffsvektoren werden sowohl im Gutachten vom Fraunhofer-Institut für Sichere Informationstechnologie als auch in den Sicherheitsanalysen der gematik berücksichtigt. Den im Bereich der Telematikinfrastruktur bestehenden Bedrohungen wird bereits wirkungsvoll entgegengewirkt. Technisch werden derzeit weitere Sicherheitskomponenten eingebaut, die internationalen Angreifern das massenhafte Abgreifen von Daten unmöglich machen. Im europäischen Vergleich verfügt Deutschland damit über eine der sichersten Infrastrukturen im Gesundheitswesen überhaupt, welche unter Einbeziehung der
obersten Sicherheits- und Datenschutzbehörden konzipiert wurden.

Frage:

Wie plant die Bundesregierung bis zur Einführung der elektronischen Patientenakte 3.0 („ePA für alle“) alle betroffenen Bürgerinnen und Bürger analog zu Beipackzetteln von Medikamenten so über Risiken und Einschränkungen in den Funktionen und für die informationelle Selbstbestimmung der ePA 3.0 zu informieren, dass diese eine tatsächlich informierte Entscheidung für oder gegen die Nutzung der ePA 3.0 treffen können, wie es der Verbraucherzentralen Bundesverband am 5. Dezember 2024 öffentlich forderte (www.vzbv.de/pressemitteilungen/elektronische-patientenakte-krankenkassen-informieren-unzureichend), und plant die Bundesregierung zu evaluieren, ob sich zum Zeitpunkt der Einführung der ePA 3.0 in der Opt-Out Variante die betroffenen Versicherten ausreichend informiert sehen (vgl. Insights-Bericht der Gematik „Status quo „ePA für alle“, Ein Stimmungsbild vor dem Rollout 2025“ vom 10. Dezember 2024, wonach noch im Oktober 2024 erst 34 Prozent der Bevölkerung laut einer repräsentativen Befragung angaben, ausreichend über die ePA für alle informiert zu sein und 41 Prozent der Befragten die ePA noch nicht einmal dem Namen nach kannten: www.gematik.de/telematikinfrastruktur/ti-atlas/einblicke/insights)?

Antwort:

Die Krankenkassen als Anbieter der elektronischen Patientenakte (ePA) sind gesetzlich verpflichtet, alle Versicherten umfassend sowie gemäß § 343 Fünftes Buch Sozialgesetzbuch in präziser, transparenter, verständlicher und leicht zugänglicher Form zu informieren, bevor eine ePA zur Verfügung gestellt wird. Die gesetzlich vorgesehenen Pflichtinformationen sollen allen Versicherten die Möglichkeit für eine selbstbestimmte, eigenverantwortliche und fundierte Entscheidung über die Nutzung der elektronischen Patientenakte bieten. Die Information aller gesetzlich Versicherten durch die Krankenkassen muss bis sechs Wochen vor der Einführung der ePA für alle, die am 15. Januar 2025 eingeführt wird, erfolgt sein. Die Überwachung und die Einhaltung der Vorgaben obliegt den zuständigen Aufsichtsbehörden. Die Bundesregierung geht davon aus, dass alle gesetzlich Versicherten informiert wurden und sich auch weiterhin bei ihren Krankenkassen informieren können.


Um alle Bürgerinnen und Bürger, aber auch die Leistungserbringenden, möglichst gut zu informieren und auf die ePA vorzubereiten, ist am 30. September 2024 die Informations- und Fachkampagne des Bundesministeriums für Gesundheit gestartet. Aufgrund der bundesweiten Kampagne ist davon auszugehen, dass die Aufklärung und Information aller Versicherten weiter gesteigert werden konnte. Bis zum Start der ePA für alle am 15. Januar 2025, und auch darüber hinaus, wird die Bundesregierung weiterhin auf verschiedenen Wegen die Versicherten über die ePA für alle informieren.

Frage:

Welchen konkreten Handlungsbedarf sieht die Bundesregierung nach dem Vortrag zu Sicherheitsrisiken bei der elektronischen Patientenakte (ePA) 3.0 auf dem 38C3 in Hamburg am 27. Dezember 2024 in Bezug auf diese Sicherheitsrisiken (bitte für jede/s genannte Risiko/Sicherheitslücke den jeweiligen Handlungsbedarf spezifizieren, bzw. mit nein antworten, wo es keinen gibt), und hält sie vor dem Hintergrund dieser Gesamtrisiken entweder eine Verschiebung der Einführung der ePA 3.0 für alle (mit Opt-out-Möglichkeit) oder einen Wechsel auf Einführung der ePA 3.0 nach dem bisher geltenden Freiwilligkeitsprinzip (Opt-In) zum aktuell geplanten Zeitpunkt für denkbare Szenarien (ggf. auch eine Kombination beider Szenarien), um die Folgen möglicher Sicherheitsrisiken für Nutzende der ePA für alle zu minimieren?

Antwort:

Die Bundesregierung nimmt die durch den Chaos Computer Club (CCC) veröffentlichten Hinweise zur Sicherheit der elektronischen Patientenakte (ePA) sehr ernst. Die vom CCC beschriebenen Probleme sind länger bekannt und werden gelöst. Darüber hat sich das BMG auch vor dem Chaos Communication Congress (38C3) mit dem CCC ausgetauscht. Das BMG und die gematik stehen insbesondere im intensiven Austausch mit den zuständigen Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik und es wurden bereits technische Lösungen zum Unterbinden der Angriffsszenarien konzipiert, deren Umsetzung jeweils rechtzeitig abgeschlossen sein wird. Für die ab 15. Januar 2025 startende Pilotphase bedeutet dies, dass zunächst nur die in der Modellregion teilnehmenden und explizit gelisteten Leistungserbringer („Whitelisting“) auf die ePA der Versicherten zugreifen können.


Vor dem bundesweiten Rollout bei den Leistungserbringern werden weitere technische Lösungen umgesetzt und abgeschlossen sein. Dazu gehört insbesondere, dass organisatorisch sowohl die Prozesse zur Herausgabe als auch zur Sperrung von Karten sowie technisch das VSDM++-Verfahren nachgeschärft werden. Gleichzeitig werden zusätzliche Überwachungsmaßnahmen wie Monitoring und Anomalie-Erkennung implementiert. Somit steht weder dem Start in den Modellregionen zum 15. Januar 2025 noch dem darauffolgenden bundesweiten Rollout nach Umsetzung der Maßnahmen etwas entgegen. Die ePA für alle kann sicher von Praxen, Krankenhäusern, Apotheken sowie Patientinnen und Patienten genutzt werden.

Frage:

Sind die von der gematik GmbH am 27. Dezember 2024 vorgeschlagenen Maßnahmen (vgl. www.gematik.de/newsroom/news-detail/aktuelles-stellungnahme-zum-ccc-vortrag-zur-epa-fuer-alle) aus Sicht des Bundesamt für Sicherheit in der Informationstechnik geeignet, um ein der Sensibilität von Gesundheitsdaten angemessenes Sicherheitsniveau beim Betrieb der elektronischen Patientenakte 3.0 zu erreichen, also eine Ausnutzung der in einem Vortrag auf dem 38C3 (38. Chaos Communication Congress ) in Hamburg am 27. Dezember 2024 beschriebenen Sicherheitslücken, die sämtlich in der Praxis mit z. T. sehr geringem Aufwand von Sicherheitsforschenden ausgenutzt werden konnten, künftig zu verhindern, und welche konkreten Forderungen stellte ggf. die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit seit August
2024 bis 30. Dezember 2024 im Zusammenhang mit der Sicherheit der elektronischen Patientenakte 3.0 bezogen auf den Zeitpunkt ihrer Einführung an die Bundesregierung oder an die von ihr als Mehrheitsgesellschafterin kontrollierte gematik, nachdem die gematik und damit auch die Bundesregierung als ihre Mehrheitsgesellschafterin über diverse Sicherheitsrisiken informiert worden war?

Antwort:

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) war und ist eng in die Abstimmung mit der gematik eingebunden. Die von der gematik vorgeschlagenen Maßnahmen werden vom BSI als geeignet angesehen.

Von September bis Dezember 2024 fanden mehrere Termine zwischen der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem BSI und der gematik zur Bewertung des Risikos im Zusammenhang mit der dargestellten Schwachstelle statt. Hier wurde vornehmlich die Wirksamkeit der bereits getroffenen Maßnahmen sowie die Eintrittswahrscheinlichkeit besprochen. Zusätzlich war die BfDI dauerhaft in die regelmäßige Abstimmung zum Sicherheitskonzept mit gematik und BSI eingebunden.

Antworten der Bundesregierung im Original (geschwärzt):

2025-01-13_BMG-12_446-12_448-449-1_geschwaerzt-1Herunterladen
2025-01-13_AW-BMG-SF-12_447_geschwaerzt-1Herunterladen
/von

Meine Schriftliche Frage zu Personal für neue Aufgaben der BNetzA im Haushalt 2025

, , , , , , , ,

Meine Frage:

„Wie viele der als Erfüllungsaufwand in der jeweiligen gesetzlichen Grundlage genannten Personalstellen wurden für die seit Anfang 2024 der Bundesnetzagentur (BNetzA) neu übertragenen oder noch zu übertragenden Aufgaben, die spätestens ab 2025 ganz oder teilweise von ihr zu erfüllen sind, für den Haushalt 2025 als Bedarf angemeldet und dort berücksichtigt (siehe Übersicht der neuen Aufgaben in der Antwort der Bundesregierung auf meine Schriftliche Frage 6 auf Bundestagsdrucksache 20/13317; bitte zu jeder neuen Aufgabe die dafür als Erfüllungsaufwand bestimmten, als Bedarf für den Haushalt 2025 angemeldeten und die dort berücksichtigten Stellen auflisten), und wie soll die BNetzA ihre neuen Aufgaben wahrnehmen, sollte es eine Diskrepanz zwischen dem Erfüllungsaufwand,den angemeldeten und den im aktuellen Haushaltsentwurf 2025 geplanten Haushaltsmitteln geben?“

Antwort der Bundesregierung vom 07.11.24:

„Die in der Bundestagsdrucksache 20/13317 genannten gesetzlichen Aufgaben sehen folgende stellenmäßige Haushaltsausgaben vor:

Für die EnWG-Novellen 2023 wurden im Haushalt 2024 bereits 15 Planstellen im Kapitel 0918 der Bundesnetzagentur (BNetzA) neu ausgebracht. Für das Digitale-Dienste-Gesetz (DDG), mit dem der Digital Service Act umgesetzt wurde, wurden im Haushalt 2024 15 Planstellen im Kapitel 0918 ausgebracht und darüber hinaus weitere 33 Planstellen wegen Aufgabenübergangs nach § 50 Bundeshaushaltsordnung vom Bundesamt
für Justiz an die BNetzA umgesetzt. Entsprechend des Haushaltsaufstellungsrundschreibens des BMF zum Bundeshaushalt 2025 und des Finanzplans bis 2028 wurden im Regierungsentwurf für den Haushalt 2025 keine neuen Planstellen und Stellen ausgebracht. Folglich hat das Bundesministerium für Wirtschaft und Klimaschutz – aufgrund der entsprechenden Vorgaben des BMF – auch keine neuen Planstellen oder Stellen im Rahmen des Haushaltsaufstellungsverfahrens angemeldet. Ob im parlamentarischen Verfahren für den Haushalt 2025 neue Planstellen und Stellen ausgebracht werden und wenn ja, für welche Bereiche, obliegt der Entscheidung des Haushaltsgesetzgebers.


Aus einer möglichen Diskrepanz zwischen personellem Erfüllungsaufwand und etatisierten Stellen kann keine Schlussfolgerung auf die Aufgabenerfüllung gezogen werden. Häufig werden neue Aufgaben schrittweise umgesetzt, so dass nicht alle im Erfüllungsaufwand enthaltenen Stellen gleich zu Beginn zur Verfügung stehen müssen. Daher werden in der Regel neue Stellen in Tranchen über mehrere Haushaltsjahre ausgebracht. Ziel ist es dennoch immer, eine größtmögliche Effizienz in der Aufgabenwahrnehmung zu erreichen und gleichzeitig sicherzustellen, dass sowohl kurz- und mittelfristig als auch langfristig den Aufgaben genügend Personalressourcen zugeordnet sind. Dazu wird der bestehende Aufgabenbestand auch einer regelmäßigen Aufgabenkritik unterzogen.“

Antwortschreiben im Original (geschwärzt):

241107_SF_Aw_BNetzA_HH25-Personalmittel_GeschwaerztHerunterladen
/von

Kein “Public Money, Public Code” beim Bund

, , , , , , ,

Im Jahr 2021 versprach die selbsternannte Fortschrittskoalition in ihrem Koalitionsvertrag: “Entwicklungsaufträge werden in der Regel als Open Source beauftragt, die entsprechende Software wird grundsätzlich öffentlich gemacht”. Schon die Antwort der Ampel auf meine Kleine Anfrage im Dezember 2023 ergab, dass diese Ankündigung der Ampel und ihre Umsetzung eklatant auseinander klafften. So gab die Bundesregierung zu, dass seit Beginn der Legislaturperiode nur ca. 0,5 Prozent seiner Ausgaben zu Entwicklungsaufträgen von Software auf OSS entfielen. Für Dienstleistungen im Zusammenhang mit Software gab der Bund insgesamt sogar etwa 3,5 Milliarden Euro aus, auch davon flossen aber nur 18,6 Mio. (0,54 Prozent) im Zusammenhang mit Open Source Software. Die vielen Tabellen mit der Auflistung aller Software Entwicklungsaufträge aus dieser Anfrage wurde leider aus Gründen der Sicherheit eingestuft, ich konnte sie also nicht veröffentlichen.

Meine neue Anfrage belegt Schere zwischen Koalitionsvertrag und Praxis im Bund

Deshalb habe ich nun erneut nachgefragt mit einer Schriftlichen Frage und deren Beantwortung durch die Bundesregierung (August 2024) zeigt das konkrete Ausmaß der krassen Schere zwischen Absichtserklärung und gelebter Praxis mit Blick auf die Beauftragung von Open Source Software.

Hier die nackten Fakten (besonders peinlich das Digitalministerium!):

  • 1.727 Software Entwicklungsaufträge erteilte die Ampel-Regierung seit Veröffentlichung des Koalitionsvertrages
  • 475 davon sollen als Open Source beauftragt worden sein (=27,5 %)
  • 352 dieser Open Source Aufträge (74%) soll das BMEL beauftragt haben, das noch im Nov. 2023 nur 62 Software Entwicklungsaufträge in meiner Kleiner Anfrage angab, davon 12 als Open Source (Details zur Kl. A. sind eingestuft)
  • 123 von insg. 1.293 Entwicklungsaufträgen der anderen Ministerien wurden als Open Source beauftragt (9,5%)
  • 61 der 1.727 Fälle von Software Entwicklung (3,5%) haben den Source Code der Software veröffentlicht
  • 6 Ministerien veröffentlichten in keinem einzigen Fall den Source Code beauftragter Software
  • 0,37 % (2 von 542 Softwareentwicklungsaufträgen) beim BMDV haben den Source Code veröffentlicht
  • 5 Ministerien haben keinen einzigen SW-Entwicklungsauftrag als Open Source beauftragt (BMAS, BMWSB, BMVg, BMBF) oder weniger als 1 % (BMDV: 0,55%)

Weiterlesen
/von

Meine schriftliche Frage zum Anteil von Open-Source an Entwicklungsaufträgen für Software

, , , , ,

Meine Frage:

„Wie hoch ist der Anteil der Entwicklungsaufträge für Software, die seit Veröffentlichung des Koalitionsvertrages zwischen SPD, BÜNDNIS 90/DIE GRÜNEN und FDP entsprechend der darin enthaltenen Ankündigung “Entwicklungsaufträge werden in der Regel als Open Source beauftragt, die Software wird grundsätzlich öffentlich gemacht” tatsächlich als Open Source beauftragt wurden (bitte dafür je Ressort unter Beachtung aller nachgeordneten Behörden die Anzahl erteilter Entwicklungsaufträge insgesamt und die Anzahl derjenigen Aufträge davon angeben, die die genannte Bedingung erfüllen, also als Open Source beauftragt wurden), und wie bewertet die Bundesregierung diese Zahlen hinsichtlich der Erfüllung ihres Koalitionsvertrages?“

Vorbemerkungen der Bundesregierung:

„Vorbemerkung:
Die Beantwortung der Frage erfolgte unter den nachfolgenden Annahmen:

• Die Formulierung „beauftragt“ bezieht sich auf die Auftragsvergabe an Organi-
sationseinheiten innerhalb der Bundesverwaltung sowie externe Stellen au-
ßerhalb der Bundesverwaltung (privatwirtschaftliche Unternehmen, Dienstleis-
ter auf kommunal-, landes- oder EU-Ebene).
• Bezüglich des Begriffs „Open Source“ wurde die Annahme getroffen, dass es
sich bei dabei um eine quelloffene Software handelt, bei der grundsätzlich
eine freie Weitergabe der Software ermöglicht wird und es eine Möglichkeit
gibt, den Quellcode der Software zu erhalten.
• Zum Begriff „öffentlich gemacht“ wurde die Annahme getroffen, dass es für die
Öffentlichkeit eine grundsätzliche Möglichkeit geben soll, die Software zur Nut-
zung als Datenträger oder über das Internet als Software-Download zu bezie-
hen.
• Da die Frage auf den gesamten Zeitraum nach Veröffentlichung des Koaliti-
onsvertrages abzielt, wurden die Daten für den Zeitraum Dezember 2021 bis
Juli 2024 erhoben.“

Antwort der Bundesregierung:

„1. Der Anteil der Entwicklungsaufträge in Prozent je Ressort für als Open Source
beauftragte Softwareentwicklungsaufträge beträgt für:

2. Der Anteil der Entwicklungsaufträge in Prozent je Ressort für als Open Source
beauftragte Softwareentwicklungsaufträge die öffentlich gemacht wurden be-
trägt für:

3. Wie bewertet die Bundesregierung diese Zahlen hinsichtlich der Erfüllung ih-
res Koalitionsvertrages?

Open Source ist lediglich ein Teil der Strategie zur Erreichung der Digitalen
Souveränität. Eine ganzheitlichere und aussagekräftigere Betrachtung um-
fasst weitere Initiativen, darunter die Multi-Cloud-Strategie der Bundesregie-
rung, die Gründung des Zentrums für Digitale Souveränität (ZenDiS) im Jahr
2022, die Stärkung von IT-Kompetenzen (durch die Gründung der Digitalaka-
demie im Jahr 2021) sowie die Vernetzung über die europäische Plattform
“Gaia-X” zur Schaffung einer souveränen europäischen Dateninfrastruktur.

Die Bundesregierung fördert den Einsatz offener Standards und Open-Source-
Software, die bei neu anzuschaffender Software vorrangig vor solcher Soft-
ware beschafft werden soll, deren Quellcode nicht öffentlich zugänglich ist
oder deren Lizenz die Verwendung, Weitergabe und Veränderung ein-
schränkt.

Ein weiterer Schritt in diese Richtung wurde mit dem Inkrafttreten des OZG-
Änderungsgesetz (OZGÄndG) am 24. Juli 2024 vollzogen. Als eine Anpas-
sung des E-Government-Gesetzes – EGovG regelt dies die vorrangige Nut-
zung von Open Source Software in der Bundesverwaltung. Die Bundesregie-
rung erfüllt somit eine weitere Forderung aus dem Koalitionsvertrag 2021-
2025 (Zitat: „Entwicklungsaufträge werden in der Regel als Open Source be-
auftragt…“) und stärkt damit die Digitale Souveränität in der IT der Bundesver-
waltung.

Antwort der Bundesregierung im PDF:

240730_SF_Aw_OSS-Entwicklungsauftraege_Geschwaerzt-1Herunterladen

Hinweis zu nachgetragene Information der Bundesregierung zu korrigierten Daten:

SF_Antwort-mit-korrigierten-Daten-des-BMI-1Herunterladen

/von

Meine Schriftliche Frage zu Passwortsicherheit und Abo-Pflicht beim Deutschlandticket

, , , , , ,

Meine Frage:

„Sind der Bundesregierung Berichte von Nutzern im Internet darüber bekannt (https://key.matiq.com/info/blog/dubious_credit_check), dass bei der Buchung eines Deutschlandtickets durch Privatpersonen mit Bezahlung im geforderten Lastschriftverfahren die Nutzenden zur Eingabe ihres Onlinebanking-Passworts auf Webseiten Dritter aufgefordert werden, obwohl diese Verfahrensweise den BSI-Empfehlungen zum Phishing-Schutz widerspricht, nämlich derartig vertrauliche Informationen nur in der jeweils üblichen Weise also etwa auf der Online-Banking-Website selbst einzugeben, nicht jedoch auf irgendwelchen Webseiten Dritter (https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Spam-Phishing-Co/Passwortdiebstahl-durch-Phishing/Schutz-gegen-Phishing/schutz-gegen-phishing_node.html), und plant die Bundesregierung, bundesweit garantierte Alternativen zum Abo-Modell (beispielweise eine Monatskarte) anzuregen, die aufgrund der vollständigen Bezahlung beim Kauf keiner Bonitätsprüfung, so aber nach den genannten Berichten bisher, bedürfen, um eine Nutzung des Tickets auch durch Personen mit schlechterer Bonität zu ermöglichen?“

Antwort der Bundesregierung:

„Der Bundesregierung liegen keine Erkenntnisse über Einzelfälle im Sinne der Fragestellung vor.

Das Deutschlandticket wird von den Ländern umgesetzt, der Bund unterstützt die Länder bei der Finanzierung. Für die Ausgabe des Deutschlandtickets gelten die Bedingungen des jeweiligen Verkehrsunternehmens. Die Verkehrsunternehmen entscheiden eigenständig über die Vorgaben zur Identifizierung des Kunden beim Abschluss von Abonnements und über eine mögliche Bonitätsprüfung. Eine Zuständigkeit des Bundes ist hier nicht gegeben.“

Antwort im PDF:

240801_Aw_SF-49euro-Ticket-D-Ticket-Passwortsicherheit_GeschwaerztHerunterladen
/von

Meine schriftliche Frage zu feministischer Digitalpolitik

, , , , , ,

Meine Frage:

„Welche Maßnahmen oder sonstigen Aktivitäten hat die Bundesregierung seit Verabschiedung ihrer Digitalstrategie im August 2022 als Teil der dort unter Kapitel 4.1. (s. dort “Schutz und Kompetenz im digitalen Raum”) beschriebenen “feministische Digitalpolitik” geplant, unternommen und/oder durchgeführt (bitte Maßnahme/Aktivität beschreiben und gegebenenfalls zugeordnete Haushaltsressourcen nennen), und warum enthält der Nationale Fahrplan zur Digitalen Dekade (vgl. S. 8 im Dokument: https://bmdv.bund.de/SharedDocs/DE/Anlage/DG/Digitales/nationaler-fahrplan-zur-digitalen-dekade.pdf?) keinerlei jährliche Zielzahlen für die bis 2030 angestrebte Erhöhung sowohl der Anzahl der IKT-Fachkräfte/IKT-Absolventinnen und -Absolventen insgesamt als auch des Frauenanteils an ITK-Fachkräften (bitte auf alle Aspekte eingehen, also insbesondere auch auf den Frauenanteil), um einen Deutschland angemessenen Anteil am EU Gesamtziel von 20 Millionen ITK Fachkräften zu erreichen (vgl. Statista-Übersicht zum Anteil Deutschlands an der Gesamtbevölkerung der EU von 18,8% https://de.statista.com/statistik/daten/studie/348929/umfrage/anteile-der-mitgliedsstaaten-an-der-gesamtbevoelkerung-der-eu/#:~:text=Ohne%20die%20EU%2DBeitrittskandidaten%20macht,Europäischen%20Union%20im%20Jahr%202023.) oder zumindest zum Erreichen des EU-Ziels von über 15 Millionen ITK-Fachkräften bis 2030 als bevölkerungsreichstes Mitgliedsland der EU mehr als den Wert Null beizutragen?“

Antwort der Bundesregierung:

„Nachfolgend sind die Maßnahmen im Sinne der Fragestellung aufge-führt:

Der Nationale Fahrplan zur Digitalen Dekade formuliert als nationalenZielwert, eine Steigerung der Zahl der IKT-Fachkräfte sowie des Anteilsvon Frauen im Vergleich zu 2022 zu erreichen. Laufende Maßnahmen,wie der MINT-Aktionsplan 2.0 (BMBF), die durch die Förderung der au-ßerschulischen MINT-Bildung von Kindern und Jugendlichen u. a. zurStärkung von Ausbildung und Beschäftigung im IKT-Bereich beitragenund Maßnahmenschwerpunkte für weibliche Zielgruppen umfassen,sind nicht auf einzelne Berufsgruppen zugeschnitten, sondern breit ge-fasst und auf langfristige Wirkung ausgelegt. Die Zahl erwerbstätigerIKT-Fachkräfte ist zudem von der wirtschaftlichen und demografischenEntwicklung abhängig.“

Antwortschreiben der Bundesregierung als PDF:

240705_SF_Antwort BMDV_Umsetzung_Maßnahmen_feministische Digitalpolitik_ITK Fachkräfte_FrauenanteilHerunterladen
/von

Medienecho

Interview mit ZDF heute: „Ampel-Pläne für Kürzungen in der Digitalisierung“, Sendung vom 03.08.23

,
/von

Bitkom-Studie: Deutsche Firmen können das Faxen nicht lassen

,
/von