Danke für die Erinnerung. Ich hatte das glatt vergessen und Morgen ist Stichtag, oder?! Mein Widerspruch ist eingelegt.
Aus den Kommentaren des Posts, keine Ahnung wem zu glauben ist weil ich nicht in Deutschland wohne und keine Gesundheitskarte habe:
Ich habe das so verstanden, dass das zwei verschiedene Dinge sind.
Eine Gesundheitseinrichtung kann mit den Daten auf der Karte auf die EPA zugreifen.
Ein Bürger bzw eine Krankenkasse kann dies nicht.
(Aber das sag ich als Österreicher, bis zum ccc Vortrag wusste ich nichts über dieses Thema)
Ich habe das auch so aus dem CCC talk verstanden. Wenn man jetzt natürlich so ein Karten Lesegerät und eine Identität einer Arztpraxis besitzt(wo man auch recht einfach drankam, wie im talk mehrfach bewiesen), kann jeder Depp mit der Karte an die ePA dran kommen.
Schlimmer - es gibt auf der Karte zweimal die ID. Einmal sauber signiert, einmal nur als regulärer unauthentifizierter Eintrag. Der letztere wird zur Authentifizierung genommen. Du brauchst also nur die ID und ein Gerät, was dir eine Karte an der passenden Stelle mit der gewünschten ID beschreiben kann…
Super wichtiger Beitrag! Gehört in den öffentlichen Diskurs!
Ich denke Passwort ist da das falsche Wort. Das scheint die Identifikationsnummer zu sein.
Den Unterschied macht die Standardeinstellung die es Parteien mit Zugang zum System, den nur Parteien aus dem Gesundheitssystem haben sollten, standardmäßig Zugriff haben, auch ohne explizite Freigabe.
Das kann man zwar alles aus dem Beitrag herauslesen, aber da so von Passwort zu sprechen halte ich für irreführend.
