Unverschlüsselte Arzt E-Mail

Ein neuer Arzt bat um Ausfüllen eines Anamnesebogens mit allen Vorerkrankungen.

Er schickte dann eine Beschreibung des geplanten Behandlungsverfahrens per E-Mail. Mit den Daten meiner Vorerkrankungen aus dem Anamnesebogen auf einer der PDF-Seiten. „Könnten Sie Schwanger sein? Herzinfarkt? Krebserkrankung? Alkohol?“ Ganz heikle Gesundheitdaten!

Um dem Datenschutz zu genügen, wurde ein verschlüsseltes PDF verschickt. Gut so! Leider aber wurde als Verschlüsselungskennwort ein triviales Kennwort verwendet, das in der E-Mail sowieso enthalten war. Und „pffcrack“ kann das triviale Kennwort auch ohne Kenntnis der E-Mail in 15 Sekunden entschlüsseln:

herd@herdsoft:/tmp$ time pdfcrack Arztbrief.pdf 
PDF version 1.6
Security Handler: Standard
V: 2
R: 3
P: -532
Length: 128
Encrypted Metadata: True
FileID: 37e140a97d9730ebe9bce12297728ae5
U: aa6232e41b6a72e1f1e23eafdca3307500000000000000000000000000000000
O: ac8473cadf9706a0144ef3e333ed115de69780a8b7451182111627720edf8a44
found user-password: 'Herd'

real	0m14,440s
user	0m14,433s
sys	0m0,000s

Das ist also in etwa so, als hätte der Arzt mir eine Kopie meines Anamnesebogens als Postkarte geschickt.

Offenbar ist es in der Branche bekannt, dass Ärzte genau diesen Fehler massenhaft machen.

Mir wäre ein Arzt lieber, der mir ganz konventionell einen gedruckten Flyer über das Behandlungsverfahren in die Hand gedrückt hätte.

[…] das Versenden von Gesundheitsdaten per unverschlüsselter E-Mail rechtlich unzulässig, da es sich hierbei um besondere Arten von personenbezogenen Daten i.S.v. § 3 Abs. 9 BDSG handelt[…]

Für die in § 203 Strafgesetzbuch (StGB) genannten Berufsgeheimnisträger wie z.B. Apotheker, Ärzte und Rechtsanwälte kann dies laut Schurig auch zu einer Strafbarkeit wegen der Verletzung von Privatgeheimnissen führen.

https://www.dr-datenschutz.de/e-mail-verschluesselung-pflicht-fuer-apotheker-aerzte-und-rechtsanwaelte

Ich glaube, der Arzt risikiert da ein hohes Bußgeld.

Vom technischen Verfahren her wurde ein 128-Bit Schlüssel verwendet. Ein sicheres Kennwort mit 128 Bit sieht etwa so aus:

herd@x6:/tmp$ head --bytes=$((128/8)) /dev/random | base64
W0PAuWFFVf6AxNyPvP5KDQ==

Wenn der Arzt mir also bei der Erstbesprechung ein solches sicheres Kennwort mitgeteilt hätte und dieses dann bei der PDF-Verschlüsselung benutzt hätte, dann wäre das auch eine sichere Verschlüsselung gewesen.

Bei diesem Arzt habe ich den Anamnesebogen erstmalig auf einem Webformular ausgefüllt. Das ist DSGVO-Konform möglich, aber aufwändig in der Umsetzung. Wenn er schon einen Webserver betreibt, dann hätte dieser auch nach meinem PGP-Key fragen können und/oder ein sicheres Kennwort für symmetrische Verschlüsselung generieren können.

Ich schätze, beim nächsten Arztbesuch werde ich versuchen, mit dem Arzt ein sicheres Kennwort brieflich zu vereinbaren.

Berater

Ein Berater mit einem ähnlichen Status wie ein Rechtsanwalt hat zunächst im Erhebungsbogen gefragt, ob er per unverschlüsselter E-Mail kommunizieren darf. Das habe ich abgelehnt und den Erhebungsbogen ganz altmodisch per Post geschickt.

Geburtsdatum als Kennwort

Dann wollte der Berater E-Mails als PDFs mit meinem Geburtsdatum als Schlüssel schicken. Das habe ich abgelehnt: Menschen werden maximal 110 Jahre alt, also gibt es nur 110*365,25 = 40177 mögliche Geburtsdaten als Kennwörter. Das knackt „pdfcrack“ (nachgemessen…) in 0,3 Sekunden.

Dropbox

Dann hat er die Daten per „Dropbox“ geschickt. Ich dachte, er wird schon wissen, was er tut…

Da kam dann eine E-Mail mit einem Link und als zusätzliches Kennwort wurde nur mein Name abgefragt, der naturgemäß auch schon im Anschrift-Feld der E-Mail stand. Wer also dazu in der Lage ist, eine E-Mail abzupassen (beispielsweise mein Internet-Provider) kann auch auf Dropbox zugreifen.

Ich habe ihn dann gebeten, das Verfahren nicht mehr zu verwenden.

Ich habe ihm dann per Brief ein 16-stelliges sicheres Kennwort für symmetrische Verschlüsselung zugeschickt.

Geschwärzte PDF

Er wollte dann in einem PDF mit vertraulichen Daten Bereiche schwärzen, um die Datei mit einem Geschäftspartner zu teilen. Ich habe um eine Kopie (Verschlüsselt) gebeten, um mir eine Meinung zu bilden.

Es zeigte sich, dass die Schwärzung fragwürdig umgesetzt war. Er hatte meinen Brief eingescannt und darüber schwarze Balken platziert. Das Programm, mit dem er das gemacht hat, hat diese schwarzen Balken auch in den Scan eingezeichnet. Gut.

Aber der Balken im Scan ist kleiner als das schwarze Rechteck (mit weißem Rand?) das im PDF darüber gelegt wurde. Mit der Folge, dass man manche geschwärzten Texte noch erahnen kann:

Wer schreibt eine Software, die so heimtückisch arbeitet?

Um auf die nicht richtig gelöschten Inhalte zuzugreifen, genügt es, die PDF-Datei einfach in LibreOffice Calc zu öffnen und die schwarzen Rechtecke zur Seite zu schieben.

Bereinigung

Um die PDF-Dateien zu bereinigen, habe ich erst mal mit Ghostscript eine Darstellung als einen Satz von JPEG-Grafiken erstellt:

herd@herdsoft:/tmp$ mkdir /tmp/a
herd@herdsoft:/tmp$ gs -r200 -dSAFER -dBATCH -dNOPAUSE -sOutputFile=/tmp/a/j-%02d.jpg -q -sDEVICE=jpeg "a.pdf"

Dann aus den JPEG-Dateien mit imagemagick ein neues PDF erstellt:

herd@herdsoft:/tmp$ convert /tmp/a/j*.jpg b.pdf

Empfehlung

Für die sichere Kommunikation per E-Mail gibt es schon seit den 1991 PGP, oder in der Aktuellen Implementierung gnupg bzw gpg4win. Das ist kostenlose, hochwertige und vom Bundesamt für Sicherheits in der Informationstechnik befürwortete Verschlüsselunstechnologie.

Es ist bedauerlich, dass das nicht viel mehr eingesetzt wird.

Fazit

Früher waren die Dienstleister in Deutschland eher konservativ und haben mit althergebrachten Techniken gearbeitet, deren Eigenschaften sie verstanden haben.

In letzter Zeit entstand ein Hype um „Digitalisierung“ und Menschen nutzen massenhaft Technologien, die sie nicht richtig verstehen und deren Konsequenzen sie nicht beurteilen können.

Und leider sind sie oft auch beratungsresistent.

Ich nehme an, dieser Hype wurde auch durch Corona und die Neigung zu Home-Office befeuert.

Mir ist eine konservative Dienstleisterin, die Briefe per Post versendet, lieber als einer, der unsichere Verschlüsselung einsetzt. Aber am Besten wäre es eigentlich, die Leute würden auf sichere Verschlüsselung setzten. Eben gnupg, oder wenigstens S-Mime.