38C3: Große Sicherheitsmängel in elektronischer Patientenakte 3.0 aufgedeckt
Gravierende Sicherheitslücken müssten bis zum Start der ePA 3.0 noch geschlossen werden. Das demonstrieren Martin Tschirsich und Bianca Kastl auf dem 38C3.
Inzwischen hat sich die Gematik zu den Sicherheitsmängeln geäußert und bezeichnet die "praktische Durchführung in der Realität" für einen der genannten Angriffe als "nicht sehr wahrscheinlich".
Achso ja. Man kann sich damit ja nur Zugriff auf sämtliche Daten erschleichen. Wer sollte diesen Aufwand schon auf sich nehmen? V.a. heutzutage, so friedlich und lieb, wie wir alle miteinander sind. Ne, macht keiner. 100%ig nicht! /s
Das ist deren backup Strategie: Dezentral
Ich sehs schon kommen:
Person findet Sicherheitslücke.
Person meldet Sicherheitslücke.
5 Monate passiert nichts.
Person macht Sicherheitslücke öffentlich.
Polizei macht Hausdurchsuchung bei Person und konfisziert alles was elektronisch ist.
Person muss sich drei Jahre lang vor Gericht gegen Staatsanwalt wehren und wird finanziell und beruflich in den Ruin getrieben.
Bleibt zu hoffen dass in Deutschland Sicherheitsforscher künftig anonym Daten leaken um auf Sicherheitslücken aufmerksam zu machen.
Die Gematik äußerte sich wohl nur auf einen der Kritikpunkte; das Zitat bezieht sich wohl nur auf einen der Angriffsmöglichkeiten.
Überdies findet Tschirsich es schade, dass die Gematik nur zu einem der Mängel Stellung bezieht.
Das hat ja niemand ahnen können. Also einfach wirklich niemand.
Ich hasse wie wenig ich überrascht bin.
Der Talk war sehr unterhaltsam und leider ziemlich deprimierend.
Ich habe etwas den Überblick verloren, welche der Lücken geschlossen sein sollen und welche nicht, aber dass selbst einfache SQL Injections schon gereicht haben, um Vollzugriff auf alle Akten zu bekommen, ist in 2025 lächerlich.
Ach man, wenn's den CCC nicht gäbe ...
Tja
Das Schlimme ist ja: Es geht ja durchaus mit einer ePA in sicher. Aber man hat ja für die ePA 3.0 das Sicherheitsniveau herunter gefahren und zusätzlich lecken die Prozesse an allen Ecken und Enden.
Ich hab selber einen elektronischen Heilberufeausweis(eHBA) und eine Institutionskarte. War jetzt nicht einfach zu kriegen weil viel Papierkram,aber wirklich ernsthaft geprüft hat das auch keiner - da liegt aber das Grundproblem der Digitalisierung in Deutschland: Es ist Stückwerk.
Denn es gäbe einen ganz einfachen Weg wie man das lösen könnte: Man muss nur die Aktivierung mit einem elektronischen Personalausweis und PIN erzwingen und schon hat man das Problem nicht mehr. Technisch gesehen könnte man dann sogar ganz auf den eHBA verzichten und diesen nur als Merkmal auf den Perso aufschalten,dann wäre nur noch die Institutionskarte notwendig, selbst diese ist aber ggf. anders lösbar. Warum macht man das nicht? Weil es ein riesen Geschäft ist. Der eHBA kostet mind. 100€ im Jahr, die Institutionskarte nocheinmal ähnlich viel. In Zukunft braucht jeder Healthcare Professional (also auch alle Hebammen, Notfallsanitäter, ein Teil der Pflege)Zugriff.
Das sind insgesamt knapp eine Million Menschen. Also geschmeidige 100 Millionen Euro pro Jahr die an die insgesamt 5 großen Anbieter gehen. Für nix. (Denn die Entwicklung und Instandhaltung zahlt der Staat größtenteils)
Ist das nicht witzigerweise genau das selbe, was Linus Naumann vor 10 Jahren beim CCC zum Thema De-Mail gesagt hat? Dass man einfach nur den elektronischen Perso für ne Signatur der Mail nutzen müsste, um das Thema ohne weiteren Aufwand zu lösen?
Man könnte den e perso für sehr viele Dinge nutzen, bei denen man stattdessen auf weniger sichere, umständlichere und teurere Lösungen zurückgreift.
Spätestens jetzt sollte man wissen, was man zukünftig zu erwarten hat. Es ist noch nicht zu spät für den Opt-Out...
Ich hab mich beim Lesen des Artikels sehr gefreut, dass mein Opt-Out sich so schnell als die absolut richtige Wahl herausgestellt hat. Das ist absolut erbärmlich von den Verantwortlichen. Aber geht ja wohl auch nur um die Daten von gesetzlich Versicherten, wenn der Privatversicherte mit dem ich gesprochen habe, da nichts verpasst hat...
Wow, verfickter Fick. Ich hab lange gerungen ob ich nicht im System bleiben soll. Jetzt bin ich raus. Dilletanten, verdammte!
ÖDA: Sie konnen ausoptieren.