Beiträge

ICH FRAGE: PATIENTENAKTE SICHER? BUND ANTWORTET: 🙈

, , , , , , , , ,

Pressemitteilung

Nach 20 Jahren Planung und erfolglosem Rollout von Vorgängervarianten startete am 15. Januar 2025 der Test der sogenannten „ePA für alle“, der elektronischen Patientenakte 3.0, in vorerst knapp 300 ausgewählten Praxen in Hamburg, Franken und NRW. Ob der geplante bundesweite Rollout wie geplant im Februar starten soll, steht aktuell in den Sternen, nachdem Ende Dezember aus dem Umfeld des Chaos Computer Clubs verschiedene Sicherheitslücken öffentlich präsentiert wurden, die theoretisch einen illegitimen Zugriff auf alle künftigen etwa 70 Mio. Patientenakten ermöglichen könnten. Auf diverse Fragen der Bundestagsabgeordneten der Linken, Anke Domscheit-Berg, antwortete die Bundesregierung entweder gar nicht, ausweichend, oder irritierend.

Dazu erklärt Anke Domscheit-Berg, digitalpolitische Sprecherin der Linken im Bundestag:

„Die Antworten der Bundesregierung auf meine Fragen zeigen, dass das Gesundheitsministerium (BMG) immer noch nicht bereit ist, sich ehrlich zu machen und transparent mit dem anhaltend mangelnden Sicherheitsniveau der ePA umzugehen. Dazu gehört, auf klare Fragen auch vollständig und verständlich zu antworten, statt unliebsame Fragen einfach zu ignorieren und bei anderen verklausuliert um den heißen Brei herumzureden. Das ist schlechter Führungsstil und eine Missachtung parlamentarischer Verfassungsrechte.

Bei einem Großprojekt mit hochsensiblen Gesundheitsdaten eines Großteils der Bevölkerung, das nur erfolgreich sein kann, wenn die Daten sicher und das Vertrauen der Patient:innen hoch ist, muss man gerade Probleme und IT-Sicherheitsrisiken transparent kommunizieren und das findet weiterhin nicht statt. Wenn Patient:innen aber immer wieder erleben, dass Minister Lauterbach die ePA als sicher anpreist, während Schlagzeilen von erschütternd einfach auszunutzenden Sicherheitslücken berichten, wie die Übertragung wichtiger Identifikationsdaten ohne Verschlüsselung und das einfache Hochzählen von Kartennummern, dann wird jedes Mal Vertrauen in die ePA zerstört und werden Menschen sie nicht nutzen wollen, die von ihr profitieren könnten. Ich fühle mich inzwischen als Patientin nur noch auf den Arm genommen, wenn mir das BMG selbst jetzt noch antwortet, dass Deutschland eine der sichersten Infrastrukturen im Gesundheitswesen in Europa habe.

Viel sagt auch der Fakt, dass meine Frage nach den konkreten Forderungen der Bundesbeauftragten für den Datenschutz (BfDI) zur neuen ePA komplett unbeantwortet blieb, wohl weil es sonst peinlich würde für die Bundesregierung, denn diese Forderungen wurden schon im Sommer gestellt und offensichtlich ignoriert. Leider wurde das Veto-Recht von BSI und BfDI bei der ePA zugunsten eines bloßen Rechts auf Anhörung aufgehoben, das BMG kann sie daher einfach ignorieren und ihre Forderungen schlicht unter den Teppich kehren.

Auffällig ist auch die fehlende Antwort auf meine Frage, ob das BSI auch Geheimnisträger:innen mit sensiblen Gesundheitsdaten die Nutzung der ePA zum Zeitpunkt ihrer Einführung empfehlen würde. Angesichts der extrem hohen Bedrohungslage durch fremdstaatliche Akteure ist das eine wichtige Frage, zumal das BMG behauptet, dass Risiken fremdstaatlicher Akteure im Sicherheitsgutachten vom Fraunhofer SIT berücksichtigt wurden, während man in diesem Gutachten das genaue Gegenteil davon lesen kann, nämlich dass der Auftraggeber gematik, dessen Mehrheitsgesellschafter das BMG ist, diese Risikobetrachtung nicht relevant fand, weshalb sie ausgeklammert wurde.

Leider löst diese ePA ihr Nutzenversprechen nicht ein, da sie nur mit rudimentären Funktionen kommt, gleichzeitig sind die Risiken für die darin gespeicherten Daten zwar hoch, aber Patient:innen völlig ungenügend darüber informiert. Dabei erfordert gerade der Paradigmenwechsel von der Einwilligungslösung zur Widerspruchslösung höchste Transparenz über den Nutzen und die Risiken für alle – ähnlich der Beipackzettel bei Medikamenten – damit eine informierte Entscheidung für oder gegen die Nutzung überhaupt getroffen werden kann.

Wenn die „ePA für alle“ nicht mit Datenskandalen zum Rohrkrepierer werden soll, muss Minister Lauterbach endlich klar und offen kommunizieren und den Flächenrollout per Opt Out so lange verschieben, bis die Angriffsrisiken auch durch fremdstaatliche Akteure sorgfältig evaluiert wurden, alle aktuell bekannten Sicherheitslücken tatsächlich geschlossen wurden – technische und organisatorische – und sichergestellt ist, dass alle Patient:innen tatsächlich umfassend über den Nutzen und die Risiken der „ePA für alle“ informiert sind. Eine Augen-zu-und-durch-Strategie aus Gründen der Wahlkampftaktik ist in Zeiten hybrider Kriegsführung und steigender Bedrohungsintensität jedenfalls indiskutabel.“

Weiterführende Links:

Antworten auf meine Schriftlichen Fragen rund um die Einführung der elektronischen Patientenakte an die Bundesregierung: https://mdb.anke.domscheit-berg.de/2025/01/4-schriftl-fragen-zur-epa/

  • Frage zur Aufklärung der Patient:innen zu Risiken der ePA und zur Evaluation des Informationsstands in der Bevölkerung
  • Frage zur fehlenden Berücksichtigung der Risiken durch fremdstaatliche Akteure im Sicherheitsgutachten von Fraunhofer und zur Empfehlung der ePA für Geheimnisträgerinnen
  • Frage zum konkreten Handlungsbedarf nach der Aufdeckung von Sicherheitslücken durch den CCC und zu einer möglichen Verschiebung des bundesweiten Rollouts oder eines Wechsels von Opt Out zurück zu Opt In
  • Frage zur Bewertung der nach Bekanntwerden der Sicherheitslücken durch den CCC veröffentlichten Maßnahmen der Gematik durch das BSI und zu den Forderungen der BfDI

Aufzeichnung des Vortrags beim 38C3 zu Sicherheitslücken der ePA: „Konnte bisher noch nie gehackt werden“: Die elektronische Patientenakte kommt – jetzt für alle! – media.ccc.de

/von

Meine Schriftliche Frage zu Aufgaben des BEKI

, , , , , , , ,

Meine Frage:

„Soll das BeKI weiterhin wie ursprünglich geplant, Beratungen und Evaluationen im Zusammenhang mit dem Einsatz von KI im Bund leisten, für den Marktplatz KI Anwendungen im Bund verantwortlich und als Koordinierungsstelle für KI im Bund zuständig sein (bitte jeweils bestätigen oder eingrenzen für die genannten Aufgabenbereiche und gegebenenfalls weitere Aufgaben ergänzen), und wie grenzen sich genau die Aufgaben des BeKI vom KI-Kompetenzzentrum der Bundesdruckerei GmbH ab (bitte als tabellarische Gegenüberstellung)?“

Antwort der Bundesregierung vom 05.11.24:

„Mit dem im Aufbau befindlichen Beratungszentrum für Künstliche Intelligenz („BeKI“) schafft das Bundesministerium des Innern und für Heimat (BMI) eine zentrale Anlauf- und Koordinierungsstelle für KI-Vorhaben in der Bundesverwaltung. Das BeKI soll der Bundesverwaltung Expertise zur verantwortungsvollen Nutzung von KI in Form eines Beratungsangebots zur Verfügung stellen, gezielt den sektor- und ebenenüber-greifenden Austausch und die Vernetzung relevanter Stakeholder fördern sowie zukünftig zu Fortbildungsmaßnamen zu KI beraten und deren (Weiter-)Entwicklung anstoßen. Das BeKI soll außerdem mit dem Markplatz der KI Möglichkeiten („MaKI“) eine Vernetzungsplattform für die Bundesverwaltung bilden und so einen transparenten Überblick über die bestehenden Projekte im Bereich der Künstlichen Intelligenz aufzeigen. Darüber hinaus koordiniert das BeKI das Angebot einer KI-Plattform zur Nutzung von Sprachmodellen (KIPITZ) und entwickelt KI-Leitlinien für die Bundesverwaltung. Im Rahmen der nationalen Umsetzung der KI-Verordnung und damit verbundener Marktüberwachungsstrukturen befindet sich der Aufgabenbereich Evaluation aktuell in Abstimmung.

Das KI-Kompetenz-Center der Bundesverwaltung (KI-KC) unterstützt bei der agilen Entwicklung nutzerzentrierter KI-Lösungen für und mit der Bundesverwaltung. Der Schwerpunkt der angebotenen Unterstützung liegt auf der technischen Umsetzungsdimension innerhalb von Proof-of-Values (PoVs) von KI-Anwendungen in der öffentlichen Verwaltung. Die an den PoV anschließende Produktentwicklung, beginnend mit Minimal Viable Products oder Piloten, liegt außerhalb des Verantwortungsbereiches des KI-KC.

Tabellarische Darstellung „Abgrenzung der Aufgaben des BeKI vom KI-Kompetenz-Center“:

Antwortschreiben im Original (geschwärzt):

241105_Aw_SF-BEKI-Abgrenzung_GeschwaerztHerunterladen
/von

Pressemitteilung: Verheerende digitalpolitische Halbzeitbilanz der Ampel

, , ,

Die Hälfte der Legislatur ist fast vorbei, ohne dass die großen digitalpolitischen Versprechen der Ampel-Regierung bisher realisiert wurden. Dazu kommentiert die digitalpolitische Sprecherin der Linksfraktion im Bundestag und Obfrau im Digitalausschuss, Anke Domscheit-Berg:

„Die Kultur sollte anders, die digitalpolitische Zivilgesellschaft mehr einbezogen werden. Außerdem versprachen Koalitionsvertrag und Digitalstrategie mehr Offenheit, mehr Gemeinwohl, mehr Nachhaltigkeit und vor allem mehr Fortschritt und gleichzeitig weniger Überwachung und eine Verbesserung der IT-Sicherheit, aber nach anfänglicher Hoffnung bin ich inzwischen nur noch desillusioniert, denn kaum etwas ist besser, manches sogar schlechter geworden.

Digitale Verwaltung

Statt Verwaltungsdigitalisierung erleben wir von Bafög bis Wohngeld weiter den Dreiklang von Drucker, Fax und Stempel. Das OZG von 575 digitalisierten Dienstleistungen für Ende 2022 wurde auf 35 Booster-Dienstleistungen reduziert, aber auch diese wurden nicht erreicht, denn es fehlt seit über fünf Jahren an den Grundlagen: an verbindlichen, einheitlichen Standards, an überall verfügbaren Basisdiensten und am verbindlichen Ziel der Ende-zu-Ende Digitalisierung. Es gibt nicht einmal ein ehrliches Monitoring, denn als Erfolge werden auch reine Schaufensterdigitalisierungen gefeiert, wie z.B. der online Bafög-Antrag, der im Amt weiterhin ausgedruckt wird und auf dessen Bescheid Studierende immer noch vier bis sechs Monate warten müssen. Grundlegende Voraussetzungen für eine erfolgreiche Verwaltungsdigitalisierung werden offenbar immer noch nicht hinreichend verstanden, das angekündigte OZG 2.0 Gesetz liegt immer noch nicht vor, wo soll man da noch Optimismus für mehr Fortschritt bis zum Ende der Legislatur hernehmen?

Digitale Infrastruktur

Das „Recht auf schnelles Internet“ wurde nur ein „Recht auf lahmes Internet“, denn dieser Rechtsanspruch auf lächerliche 10Mbit Downloadgeschwindigkeit ermöglicht mindestens den 65 Millionen Menschen in 20 Millionen Mehrpersonenhaushalten keine gleichzeitige Nutzung von Homeoffice oder digitalem Unterricht und schränkt damit ihre Teilhabe an der digitalen Gesellschaft ein, und damit auch ihre Zukunftschancen. Gerade ländliche Räume bleiben weiterhin zu oft abgehängt, insbesondere in ostdeutschen Bundesländern, wo der Anteil Haushalte mit Glasfaseranschluss erheblich geringer ist, als im Westen. Das FDP regierte „Digitalministerium“ setzt dennoch weiter auf das Primat des Marktes, obwohl der Markt bei der Sicherstellung von Teilhabe und Daseinsvorsorge offensichtlich seit Jahren versagt hat. Das Internet in Deutschland, egal ob mobil oder über Festnetz, ist nicht nur langsamer, sondern auch viel teurer als in anderen Ländern. Das ist nicht nur aus Verbrauchersicht ein Nachteil, sondern auch für die Wirtschaft selbst.

Bürgerrechte und IT Sicherheit

Mehr Sicherheit und stärker Schutz für Bürgerrechte waren uns versprochen worden. Das Gegenteil trat bisher ein. Obwohl die Risiken für unser aller IT-Infrastruktur immer größer werden, Datenleaks und Ransomware-Attacken ständig Schlagzeilen machen, stockt die versprochene Offensive für mehr IT-Sicherheit. Nicht einmal das KRITIS-Dachgesetz ist bisher verabschiedet, obwohl gerade kritische Infrastrukturen schnellstens besseren Schutz brauchen. Das BSI sollte laut Koa-Vertrag unabhängiger werden, auch hier wurde das Gegenteil erreicht: die Spitze des BSI kann jetzt bei Missfallen leichter abgesägt werden, Interessenskonflikte zu den Geheimdiensten bleiben unverändert bestehen. Die IT-Sicherheitsforschung bleibt weiter kriminalisiert und damit behindert.
 

Auch die Überwachungsgesamtrechnung ist überfällig und inzwischen immerhin beauftragt, aber ohne ihre Ergebnisse abzuwarten, werden immer weiter neue Überwachungsbefugnisse beschlossen und Evaluierungen bisheriger Überwachungsmaßnahmen finden auch nicht statt. Mit der EU-Chatkontrolle trägt die Ampel-Regierung sogar das größte Zensur- und Überwachungsvorhaben des Internets aktiv mit. Der Schutz der Privatsphäre und der Bürgerrechte spielten wohl nur auf dem Papier eine Rolle, aber nicht bei Entscheidungen der Ampel. Österreich hat die EU-Chatkontrolle abgelehnt, Deutschland unterstützt sie.

Das war kein Unfall, in Brüssel setzte sich die Ampel entgegen anderslautender Versprechen im Koalitionsvertrag auch dafür ein, dass die KI-Verordnung Schlupflöcher für biometrische Erkennung im öffentlichen Raum enthalten soll. Immer wieder spricht sich Innenministerin Nancy Faeser für Hackbacks bei Cyberangriffen aus, obwohl IT-Sicherheitsfachleute vor den unkalkulierbaren Risiken bei mangelndem Nutzen warnen und obwohl der Koalitionsvertrag Hackbacks eine Absage erteilt. Weniger Bürgerrechte und immer höhere IT-Sicherheitsrisiken, das ist die aktuelle Bilanz.

Nachhaltige Digitalisierung

Der Infrastrukturausbau für die Gigabitziele soll laut Gigabitstrategie nachhaltig erfolgen. Aber ein regionales oder nationales Roaming, das Funklöcher schneller schließt und den Ressourcenverbrauch senken würde, weil Funkmasten effizienter genutzt werden würden, gibt es mit der Ampel nicht. Volker Wissing verweigert Maßnahmen gegen Doppelverlegung von Glasfasern (sog. „Überbau“), selbst wenn ein offenes Netz verfügbar ist und toleriert damit eine Ressourcenverschwendung, die nebenbei den Ausbau in unterversorgten Gebieten verlangsamt. Für das Reparieren statt Wegwerfen stehen mickrige 2 Millionen im Haushalt 2023 zur Verfügung, aber eine Förderrichtlinie dafür gibt es nicht einmal, die Mittel drohen zu verfallen. Auch die IT des Bundes ist alles andere als nachhaltig, die Intransparenz ist hoch, die verfügbaren Daten bescheinigen dem Bund, in seinen Rechenzentren Abwärme zu verschwenden, zu selten erneuerbare Energien und zu häufig klimaschädliche Kältemittel zu nutzen. Themen wie energieeffiziente Softwareentwicklung spielen bei der Beschaffung keine Rolle. Das Energieeffizienzgesetz sollte bundesweit Rechenzentren nachhaltiger machen, aber von der Idee blieb nicht viel übrig, so lässt das Gesetz 99 Prozent der Rechenzentren komplett außen vor und für die übrigen gibt es reichlich Schlupflöcher, z.B. bei der Abwärmenutzung, und viel zu niedrig angesetzte Ziele. Zu Nachhaltiger Digitalisierung hat die Ampel insgesamt weder praktisch noch regulierend einen Beitrag dazu geleistet, dass die Klimaziele erreicht werden können.

Open Source, Transparenz, partizipativer Staat

Digitale Souveränität durch mehr offene Software, mehr Nachvollziehbarkeit durch einen transparenten Staat, mehr Einbeziehung der Zivilgesellschaft – das klang alles schön. Aber weder bei der Digital- noch bei der Gigabitstrategie wurde die Zivilgesellschaft einbezogen. Bei Verbändeanhörungen gibt es immer wieder absurd kurze Beteiligungsfristen, beim BND-Gesetz waren es kürzlich 24 Stunden. Wie sollen Ehrenamtliche da fundiert reagieren können? Das Transparenzgesetz soll nun doch erst zum Ende der Legislatur kommen – ich wette, dass es ganz ausbleibt. An wirklicher Transparenz hat die Ampel kein Interesse.

Die Demokratie ist in Gefahr, aber was zu ihrer Stärkung beitragen kann, wird gekürzt, darunter auch die Unterstützung zivilgesellschaftlicher Initiativen gegen digitale Gewalt, wie HateAid. Gravierend sind die geplanten Haushaltskürzungen für Open Source Projekte des Bundes, die bisherige Fortschritte zunichte machen können. Gleichzeitig wurde nirgendwo ein verbindlicher Vorrang für Open Source bei öffentlicher Beschaffung verankert. So konnte Oracle vor kurzem einen neuen Vertragsabschluss mit dem Bund für proprietäre Software und die Dienste drum herum über fast vier Milliarden Euro feiern, während der Haushaltsposten für Open Source von 49 Mio auf 25 Mio Euro schrumpfen soll, das wären dann lächerliche 0,6 Prozent oder 6 Promille des Rahmenvertragsvolumens mit Oracle, was zeigt, wie ernst es die Bundesregierung mit Open Source meint.

Diese Ampelregierung ist aus digitalpolitischer Sicht eine totale Katastrophe. Mindestens zwei Jahre sind bereits verloren. Viel Zeit bleibt nicht mehr, das Ruder umzusteuern.“

/von

Meine Schriftliche Frage zum Umsetzungsstand der Maßnahmen und Ziele in der Cybersicherheitsagenda für die 20. Legislaturperiode

, , ,

„Wie lautet der aktuelle Umsetzungsstand der in der Cybersicherheitsagenda formulierten Maßnahmen und Ziele für die 20. Legislaturperiode (bitte je Maßnahme und Ziel den aktuellen Stand anführen) und wann plant die Bundesregierung die von ihr weiterentwickelte, sowie im Einklang mit der Nationalen Sicherheitsstrategie stehende, Cybersicherheitsstrategie zu veröffentlichen?“

Antwort des Parlamentarischen Staatssekretärs Johann Saathof:

„Hinsichtlich des aktuellen Umsetzungsstands der Cybersicherheitsagenda wird auf die Anlage verwiesen. Im Koalitionsvertrag wurde vereinbart, dass die Cybersicherheitsstrategie für Deutschland 2021 weiterentwickelt wird. Der Prozess dauert an.“

Antwortschreiben im Original (pdf, geschwärzt)

/von

Nichts als leere Versprechungen in Sachen Open Data und Transparenz

, , ,

Quelle: Screenshot von govdata.de, 13.09.2018

Vor ein paar Wochen habe ich eine Kleine Anfrage an die Bundesregierung zum Thema „Strategie und Umsetzung der Open Government Partnership, von Open Data, Transparenz und Bürgerbeteiligung“ gestellt. Nun wurden die Antworten veröffentlicht.

Die Bundesregierung hat mal wieder gezeigt, dass sie viele Projekte, Vorhaben und Initiativen zwar im Koalitionsvertrag angekündigt hat. Bei vielen dieser Vorhaben ist aber unklar, ob sie überhaupt in dieser Legislatur umgesetzt werden, bei manchen ist das bereits jetzt extrem unwahrscheinlich, so beispielsweise die Verabschiedung des angekündigten Zweiten Open-Data-Gesetz. Auch an Ressourcen mangelt es ganz offensichtlich.
Weiterlesen

/von

Medienecho

Transparenz: Digitalausschluss im Bundestag

,
/von