Wenn man sich bei der Krankenkasse mit seinem Account einloggt und dort etwas hochlädt, ist das sicher? Der Mitarbeiter sagte mir, man lädt das direkt auf den Server, es wäre sicher. Stimmt das? Es sind sensible Daten. (es ist natürlich https-Protokoll)
Definiere sicher.
Die verschlüsselte Übertragung der Datei ist dank bewährter Verfahren nach heutigem Stand sicher.
Der Knackpunkt ist:
Die Datei liegt dann auf einem fremden System.
Ob die da in einer sicher konfigurierten Umgebung liegt, wirst du nie erfahren.
Grundsätzlich gilt: Sicherheit im Absoluten gibt es mit Netzwerkverbindung in der Praxis nicht.
Was dir der Hotlinemitarbeiter sagt, ist erstmal lediglich eine Worthülse.
1 „Gefällt mir“
Das gleiche Problem hast du aber wenn du das per Post hinschickst. Dann scannen die das halt ein und speichern es auf dem selben System.
1 „Gefällt mir“
Ja, es geht mir um die Übertragung. Wenn ich es „herkömmlich“ auf dem Postweg verschicke, wird es dann ja eingescannt und liegt dann auch auf deren System. Dürfte von der Aufbewahrung her also keinen Unterschied machen.
(war interessant, was der Mitarbeiter dann so sagte, er meinte, Briefpost wäre ja noch unsicherer, es würden ja auch Briefe verloren gehen. Ich meinte, ich kann mich nicht erinnern, das bei mir nichts angekommen ist, nur verspätet. Er: Da kann der Postbote schonmal die Post mitgehen lassen. Haben Sie mal von dem Hackerangriff auf uns gehört? - Ich: Nein - Er: sehen Sie.
Ich denke, der Anteil an Cyberkriminalität ist deutlich höher als „normale“ Kriminalität in solchen Sachen, ist mir aber zu spät eingefallen)
@Krone: Wie siehst Du denn die Übertragung mit https?
Wenn Du sichergestellt hast, das du mit dem richtigen Server verbunden bist, die Verbindung verschlüsselt ist und dein Browser das korrekte Zertifikat verwendet, dann - möglicherweise.
Ich halte das aber in der Praxis für ähnlich sicher, wie den Postweg.
Ob die Daten, auf dem Server, sicher aufbewahrt werden, kann der Mitarbeiter nicht wissen. Das wurde ihm so gesagt.
(alle Firmen, in der Presse waren, haben das vorher ähnlich behauptet)
Das würde man - vielleicht - hinterher aus der Presse erfahren, wenn es nicht so war.
Ich würde mal gucken, ob die Seite hinter der Abfangstation Cloudflare liegt. Dieser Firma würde ich meine sensiblen Daten nicht anvertrauen wollen.
1 „Gefällt mir“
Habe ich kein Problem mit. Konnte die NSA laut Snowden zwar schon vor 10 Jahren mithören, aber wenn das der Anspruch sein sollte kannst du praktisch alles digitale eh abhaken.
Wenn man sich ohnehin bereits mit seinem Account dort einloggt und den Account auch für sonstige Dienstleistungen der KK nutzt oder nutzen möchte, spielt es nach meiner Einschätzung keine Rolle ob man in diesem Zuge auch Dokumente einstellt.
Wenn man den Account nur wegen dem aktuellen Sachverhalt nutzen würde einfach per Post senden. So stellen sich weitere bzw. über das bisherige Doing hinausgehende Fragen nicht.
1 „Gefällt mir“
Frage eines Dummy: wie mache ich das?
Wenn ich Snowden richtig in Erinnerung habe, fand er auch damals schon gut implementierte Transportverschlüsselung nicht so schlecht. Er meinte glaube ich, dass die Endpunkte die deutlich leichteren Ziele sind, weshalb es meist gar nicht notwendig ist, den Transport anzugreifen.
Ich würde deshalb auch heute nicht davon ausgehen, dass Geheimdienste HTTPS standardmäßig mitlesen können.
Back to topic: In Bezug auf den Transport hätte ich kein Problem damit, medizinische Informationen via HTTPS zu übertragen.
Es gibt verschiedene Möglichkeiten:
- für Bequeme:
ich hab ein eigenes Firefox-Profil mit den zwei AddonsCloud FirewallundDetect Cloudflare
Die zeigen das an. - Für Puristen: ich gebe in der Konsole das Kommando
tracerouteein und gebe dann auf der Webseite https://www.whois.com/ die letzte IP-Adresse des traceroute-Outputs ein.
Hier siehst du ein Beispiel: am Beispiel lineageos.org
das Linux-Kommando traceroute gibt es auch für Windows, ich glaub, das heißt tracert (ohne Gewähr).
Servus,
zunächst muss man wissen, das die für die elektronische Patientenakte hochgeladenen Daten nicht auf den Servern der jeweiligen Krankenkasse landen, sondern auf Servern der Gematik. Diese betreibt die Telematik Infrastruktur für den Bund. Also alles was so mit Gesundheitsanwendungen und Datenaustausch zwischen Krankenkassen, Ärzten, Versicherten und auch anderen Leistungserbringern zu tun hat.
Die Handy-App, die man von der eigenen Krankenversicherung für die elektronische Patientenakte (ePA) bekommt ist im Prinzip eine Standard-App der Gematik, die jede Kasse für sich branden und anpassen kann, so dass es wie eine Eigenentwicklung aussieht.
Die Gematik, sozusagen als Staatsunternehmen, hat da ihre eigenen Vorstellungen von Sicherheit, die nicht unbedingt schlecht sind, definitiv aber nur wenig mit Benutzerfreundlichkeit zu tun haben, nur falls ihr euch mal gefragt habt, warum die Versicherung so einen Zirkus mit der Identifizierung und dem Login für die ePA macht. Das ist nur selten auf dem eigenen Mist gewachsen sondern meistens eine Anforderung der Gematik.
Na jedenfalls habe ich mal in den Unterlagen gelesen, das es eine Grundanforderung der Gematik ist, das die Server für diese Daten von europäischen Anbietern sein und in der EU „stehen“ müssen, damit diese unter die DSGVO fallen und so die hohen europäischen Datenschutzanforderungen anwendbar sind.
Im Gegensatz dazu landet eure Papierpost entweder im Scannzentrum der eigenen Krankenkasse oder dem eines Dienstleisters. Mittlerweile dürfte es meines Wissens nach keine Kasse mehr geben, bei dem noch ein relevanter Teil des Posteinganges in Papierform auf dem Schreibtisch des Sachbearbeiters landet. Da kriegt man nur noch ein gescanntes Image aus dem hauseigenen DMS zu sehen. Ausnahme könnte sein, wenn Oma Meier ihren Antrag noch persönlich in der Filiale abgibt und der Sachbearbeiter macht das gleich fertig. Aber spätestens danach wandert das Papier in den Scanner und nach einer bestimmten Frist in den Schredder.
Wo die Server dafür stehen müssen, ist so genau nicht definiert. Das macht im Prinzip jede Versicherung für sich und da ist dann alles dabei, von Clouddiensten bis hin zum eigenen Rechenzentrum. Wie sicher das ist, hängt dann primär von der hauseigenen IT und den beteiligten Dienstleistern ab.
3 „Gefällt mir“