Mastodawn

Die #ePA (elektronische Patientenakte) soll eigentlich nur auf sicheren Handys laufen – aber Nutzer:innen von #GrapheneOS (aber auch #LineageOS & e/OS) werden ausgeschlossen, weil ihr Gerät angeblich "unsicher" sei 🤯. Dabei gilt GrapheneOS als ein sehr sicheres Betriebssystem für Handys, mit googlesicherer Weste 🤠

Gibt es Menschen, die ihre ePA-App auch auf alternativen Handybetriebssystemen zum Laufen bekommen haben und Einblicke zum Vorgehen teilen möchten?

Gibt es #Krankenkassen , deren ePA-Apps ganz ohne Frickelei auch auf z.B. GrapheneOS laufen?

Können #gematik & #BSI nicht für einen Webzugang zur ePA sorgen? Der App-Zwang bringt vllt. viele Leute dazu Handys mit nem OS von amerikanischen Datenkraken zu nutzen...🤔

#FOSDEM #DiDay #KNAPPSCHAFT #technikerkrankenkasse #AXA #RISE

demokratiehörnchen 🇺🇦 🇪🇺Jan 29

Hast Du es schon mit gesandboxten Google Play Services probiert?

FSFW Dresden Jan 29

Ja, das hilft z.B. um Bank-Apps zum Laufen zu bekommen, hatte aber bei den getesteten ePA-Apps von AXA, Knappschaft, Techniker Krankenkasse keinen Einfluss auf die Fehlerseite, die leider keine Details nennt, was genau die nicht erfüllten Sicherheitsanforderungen sind... 🤷‍♂️

@demokratiehoernchen

demokratiehörnchen 🇺🇦 🇪🇺Jan 29

Das habe ich befürchtet, dass Du die GPS bereits ausprobiert hast. Manchmal denkt mensch aber nicht an die offensichtlichem Dinge. Bin diesbezüglich selbst manchmal ein Kandidat.
Deshalb bitte konstruktiv verstehen. Halte Dich nicht für zu blöd. 🤜 🤛

FSFW Dresden Jan 29

Lieber ein Vorschlag zu viel als einen zu wenig, also danke dir für den Tipp!

Funktionierende Bank-Apps für GrapheneOS finden sich sogar in einer Liste:

https://privsec.dev/posts/android/banking-applications-compatibility-with-grapheneos/

Und diese Seite gibt vllt. anderen Leuten noch andere Anregungen zu weiteren Versuchen. Insb. das "Native code debugging" zu erlauben hilft bei einigen Banking Apps, bei der ePA-App reichte es aber nicht:

https://discuss.grapheneos.org/d/8330-app-compatibility-with-grapheneos

@demokratiehoernchen

Banking Applications Compatibility with GrapheneOS

Maintained Compatibility List for International Banking Apps This list includes banking apps that have been tested, submitted, reviewed, and verified as compatible. LIST | SUBMIT | UPDATE | POSSIBLE WORKAROUND SOLUTIONS Introduction Welcome to the crowd-sourced dataset for GrapheneOS users on currently supported devices. New visitors are encouraged to read the official usage guide on banking apps for comprehensive details about how these apps function on GrapheneOS. IMPORTANT Please read GrapheneOS’s important announcement, officially released on Dec 1, 2023:

tessarakt Jan 29

@fsfwdresden @demokratiehoernchen Die TK schafft es bei ganz anderen Sachen, die vermutlich unabsichtlich sind, nicht, die zu fixen ...

GuacamOlé 🥑Jan 29

@fsfwdresden kann nur bestätigen dass tk auf e/OS nicht geht

@fsfwdresden die hkk ePA App scheint mit GrapheneOS zu funktionieren.

Christian Berger DECT 2763 Jan 30

@fsfwdresden Bei "Sicherheit" stellt sich immer die Frage "wovor". GrapheneOS bedroht die Sicherheit vor Angriffen auf Geschäftsmodelle.

ElektroBento 🇪🇺 🇩🇪Jan 30

@casandro @fsfwdresden sicherlich oft nur vorgeschoben mit „Sicherheit“ weil die Apps ja dann doch gerne Daten abgreifen mit ihren Analytics.

@fsfwdresden
Die Vorgaben was geht und was nicht macht die #gematik. Die IBM und RISE setzen diese lediglich um. Eine Webanwendung gibt es meines Wissens nicht und ist nicht geplant. Für Windows, MacOS und Linux gibt es Desktop-Varianten die einen externen Kartenleser benötigen.

bg nerilex Jan 30

@fsfwdresden Nachdem die TK geschrieben hat, dass ich ihre App nicht auf einem Gerät nutzen darf, das mir gehört (d.h. wo ich root Rechte habe), da das die Daten anderer gefährden würde habe ich kein vertrauen mehr in deren IT Sicherheit.

Zu der Frage warum und welche Daten die über die eEB (elektronischen Ersatzbescheinigung https://www.tk.de/leistungserbringer/personengruppen/aerzte/die-elektronische-ersatzbescheinigung-2184930?tkcm=ab) mit allen Praxen teilen, die danach fragen schienen sie auch nicht für beantwortenswert zu halten 😔.

Die elektronische Ersatzbescheinigung (eEB) | Die Techniker - Leistungserbringer

Als Versicherungsnachweis können Versicherte ab sofort die elektronische Ersatzbescheinigung nutzen.

Die Techniker

@bg @fsfwdresden
Das Thema Datenschutz mit der GKV war für mich durch, als mein Versicherer mir nicht schlüssig darlegen konnte, wie er selbst auf die Datensicherheit in den von der gematik betriebenen Rechenzentren Einfluss nehmen würde.

Das ist >10 Jahre her.

Wäre schön, wenn es anders wäre, aber die sind halt gesetzlich gebunden und selbst wenn sie's wollten, könnten sie's nicht anders machen als der Bundeskasper und die Gesundheitshampelmenschen es ihnen sagen.

bg nerilex Jan 30

@syn_rst @fsfwdresden Ja, die können sich das leider nicht frei aussuchen.

Aber wenn die Anweisungen im Widerspruch zum Datenschutz stehen, könnten die das vielleicht an Menschen vom Datenschutz weitergeben und da auf 'ne Rückmeldung warten.

So ist das auf jeden Fall ein Traum für Stalker und ähnlich unangenehm und gefährliche Neugierige.

maniabel Jan 30

@fsfwdresden Möglicherweise liegt es am Fehlen von SafetyNet in GOS.

@fsfwdresden
Hallo ihr Lieben, ich Teile das gleiche Problem, leider ohne Lösung! Ich nutze VollaOS, bei der TK!
Wenn es dafür eine Lösung gibt, bin ich sehr daran interessiert!
Vielen Dank fürs Ansprechen!

maexchen1 Jan 30

Ich finde das ist der falsche Weg.

Je mehr irgendwie was übergangen werden kann um so unsichtbarer wird das Problem.

Selbst wenn man die App #Version am laufen bekommt, kann das mit dem nächsten Update hinfällig sein.

Schreibt die #Krankenkasse an und verlangt das es läuft oder die sollen ein #Smartphone zur Verfügung stellen bzw das es auch über einen #Browser läuft.

Denn dieses Problem mit der zunehmenden #Digitalisierung wird erheblich öfter auftreten.

Am besten wäre es, das ePA-System komplett quelloffen zu machen, damit jeder es auf seinen geräten nachvollziehen und ausführen kann, oder?

@fsfwdresden keine Lösung aber mein persönlicher Weg: Widersprochen und nicht nutzen. Da nicht sicher und Fremdzugriff möglich (+ keine ärztliche Schweigepflicht da Patient:Innenakte)

Icho Tolot Jan 30

Auf die Schnelle dazu gefunden:
"A_15251-01 - ePA-Frontend des Versicherten: Anforderungen an Ausführungsumgebung

Der Hersteller des ePA-Frontend des Versicherten MUSS den Nutzer über die Annahmen und Anforderungen seines Produktes an das Gerät, auf dem das ePA-FdV läuft, [...] informieren.

Die Annahmen und Anforderungen sollen insbesondere Hinweise enthalten, mit welchen Maßnahmen der Nutzer seine Ausführungsumgebung sicher gestalten kann."

https://gemspec.gematik.de/docs/gemSpec/gemSpec_ePA_FdV/gemSpec_ePA_FdV_V2.6.0/#A_15251-01

gemSpec_ePA_FdV_V2.6.0

2.6.0 2.6.0 Latest 2.6.0 2.5.1 2.5.0 2.4.1 2.4.0 2.3.1 2.3.0 2.2.1 2.2.0 2.1.0 2.0.0 1.52.0 1.51.1 1.51.0 1.11.1 1.11.0 1.8.0 1.7.0 1.6.0 PDF HTML Excel XML Änderungsvergleich Nächste Änderung Vorherige Änderung gemSpec_ePA_FdV_V2.6.0 Elektronische Gesundheitskarte und Telematikinfrastruktur Spezifikation ePA-Frontend des Versicherten Version2.6.0Revision1457392Stand15.12.2025StatusfreigegebenKlassifizierungöffentlichReferenzierunggemSpec_ePA_FdV Dokumenteninformation Änderungen zur Vorversion Anpassungen des vorliegenden Dokumentes im Vergleich zur Vorversion können Sie der nachfolgenden Tabelle entnehmen. Dokumentenhistorie Version Stand Kap./ Seite Grund der Änderung, besondere Hinweise Bearbeitung 1.

gemSpecPages – Spezifikationen und Steckbriefe

Icho Tolot Jan 30

...Diese Pflichtfunktion sehe ich im Screen nicht erfüllt, also vielleicht mal freundlich beim Hersteller der App anfragen?

ostwestfale2010 Jan 30

@fsfwdresden BKK Melitta HMR APP läuft bei mir auf GraphenOS.

Ducky CIS Jan 31

@fsfwdresden
#ePA
#KrankenkassenApps

Man fordere eine App für das "geeignete Endgerät" (§ 342 SGB V)!
Das geht mit einer Klage beim Sozialgericht. Dauert ein paar Jahre.
Kostet nix, wenn man's selbst macht.

Lehrerseele Jan 31

Ich verstehe den Wunsch, es möglich zu machen. Und auch die Sorge, dass einige Leute dann explizit andere OS für ihre Handys verwenden, damit es möglich ist, die ePA zu verwenden.

Ich frage mich aber: Sollte man bei der derzeitigen Sicherheitslage dieser Akte nicht ohnehin davon abraten?

Für mich persönlich wäre das halt ein zusätzlicher Punkt zu wiedersprechen, wenn ich nicht schon hätte.

@fsfwdresden IMHO ist das seitens der #Entwickler verkackt und hier müssten @EUCommission & @bsi konsequent #Portabilität vorschreiben.

Deshalb werd' ich weiterhin weder #Onlinebanking, #nPA noch #ePA nutzen weil's nur ne #Enshittification ist und ich es eh nicht unter meinen Betriebssystemen (egal ob @LineageOS oder @e_mydata oder @ubuntu oder @OS1337) nutzen kann.

Außerdem ist's nur nen #Downgrade ws #Verbraucherschutz und #Datenschutz angeht ohne Vorteile für mich als #Nutzer!

jesterchen42 Jan 31

@fsfwdresden Sieht mir aus, als versuchten die, Google Wallet für irgendwelche Services im Hintergrund zu nutzen, oder Libraries davon. Das funktioniert ja auch nicht auf GOS.

Ist aber nur wild geraten und aus Frust, daß ich einige Dinge derzeit nicht mehr mittels Handy und in einzelnen Apps aus genau diesem Grund bezahlen kann.

Aber ja: das dann von Nutzenden zu fordern, geht gar nicht.

@fsfwdresden
Ich hab Glück mit der DAK. ePA APP funktioniert problemlos mit sandboxed play services unter GrapgheneOS. Noch.

paet 🇪🇺Jan 31

Sämtlich DAK-Apps habe ich auf #grapheneos nicht zum Laufen bekommen.

btw: "googlesichere Weste" kannte ich noch nicht. Ein super Wortspiel! 😅

visuellgedacht Feb 1

@paet @fsfwdresden Die einfache DAK App für die elektronische Post funktioniert bei mir im vertraulichen Profil und installierten Play-Diensten.

Christian Hachmann Jan 31

@fsfwdresden
Bei mir persönlich ist der App-Zwang aktuell der Hauptgrund, die #EPA garnicht zu nutzen.

Ein ganz normaler Webzugang (meinetwegen mit nem TAN-Generator wie z.B. Chip-TAN bei Banken oder mit nem Zertifikat wie bei ELSTER) scheint mir die beste Lösung zu sein (die es aktuell offenbar nicht gibt).

Würde mich über Abhilfe freuen.

@fsfwdresden Was sagt denn deine Krankenkasse, warum dir die App den Dienst verweigert?

Senioradmin Feb 11

@asltf @fsfwdresden Habe dasselbe Problem mit der App der Knappschaft auf GrapheneOS. Lapidare Antwort: "Wir unterstützen nur Android und iOS, keine anderen Betriebssysteme". Mein Einwand, dass GrapheneOS auch Android sei, aber eben ein besonders sicheres, ist abgeprallt mit "wie gesagt, unterstützen wir nicht".

Ist denn bekannt, ob ePA Apps auf anderen googlefreien Varianten wie eOS mit microG laufen?

@Haydar @fsfwdresden Ich vermute mal dass die Play Service Device Attestation notwendig ist.