soc.hardwarepunk.de
Gesundheitsdaten sicher ... für 10 Minuten
Alles ist hackbar, manches auch sehr schnell
"Unsere Gesundheitsdaten sind sicher" betont der Gesundheitsminister immer wieder, wenn er uns die neuesten Errungenschaften seiner Telematik-Infrastruktur schmackhaft machen will. Egal ob es die wenigen Funktionen der teuren elektronischen Gesundheitskarte (eGK), des e-Rezepts, des elektronischen Gesundheitsdatenaustausches der Ärzte (KIM), der auf den 1.7.21 verschobenen elektronischen Patientenakte (ePA) oder der Corona-App handelt, immer wieder werden wir in einer Scheinsicherheit gewogen.
Brüchiges Backbone für alle diese Anwendungen ist die Telematik-Infrastruktur, betrieben durch die Gematik. Dazu wurden den Arztpraxen und Krankenhäuser als Zugang Kartenlesegeräte für den angeblich sicheren Zugang teilweise unter Sanktionsandrohung aufgezwungen.
Nun stehen sie überall, meist sind es Kartenterminals des Typs "Ingenico ORGA 6141 online". An ihnen melden sich die Ärzte in Krankenhäusern und Praxen an und mit ihnen werden auch die Karten der Patienten ausgelesen. Natürlich sind diese Geräte auf ihre Sicherheit geprüft und vom BSI zertifiziert. Die Zeitschrift ct wollte wissen, wie sicher man mit so einem Zertifikat ist und hat Wissenschaftler des Secure Mobile Networking Lab (SEEMOO) der TU Darmstadt die Beschreibungen von Hackern sowie zwei auf eBay erworbene Terminals zukommen lassen.
Die spannenden Einzelheiten des Hacks sind in ct 1.21 ab Seite 62 zu lesen ...
Fazit: Die Operation dauerte rund sieben Minuten. In weniger als 10 Minuten war das Gerät gehackt und die Leiterbahnen für den Anschluss z.B. "eines kleinen Arduino-ähnlichen Mikro-Rechner ESP8266 mit WLAN" frei. Solche "kosten rund fünf Euro und sind gerade mal 2x2 Zentimeter groß. Damit ließen sich nicht nur PINs abgreifen, sondern auch Kommandos injizieren, während die Originalkarte des Arztes im Gehäuse steckt".
So einfach hatten sich weder die SEEMOO Wissenschaftler noch die Redakteure der ct den Vorgang vorgestellt. Völlig unverständlich war ihnen z.B., dass "das BSI die Klappe unter dem Gerät nicht absichert. Zwei simple zusätzliche Siegel würden Angreifer vor weitere Probleme stellen und den unbemerkten Zugriff auf die innere Hardware erheblich erschweren". Aber auch dann wäre die Sicherheit fraglich, denn welche Arztpraxis prüft die Unversehrtheit solcher Siegel unter einem Gerät, das täglich hin- und herbewegt wird.
Nach diesem erschreckenden Ergebnis fragten die Redakteure in Krankenhäusern und Praxen nach, wie diese Terminals gesichert werden.Die Antworten waren sicher "vielfältig" ...
- Sind sie in Mittagspausen und nach Feierabend unter Verschluss?
- Welche Sicherheitsvorgaben werden den Beschäftigten gemacht?
- Wurden die Beschäftigen über den Inhalt des Sicherheitshandbuchs aufgeklärt?
- Wer haftet im Falle eines Missbrauchs?
Mehr dazu in dem spannenden Artikel in der Zeitschrift ct 1.21
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7558-20210225-gesundheitsdaten-sicher-fuer-10-minuten.htm
Link im Tor-Netzwerk: nnksciarbrfsg3ud.onion/de/articles/7558-20210225-gesundheitsdaten-sicher-fuer-10-minuten.htm
Tags: #eGK #ePA #KIM #eRezept #TelematikInfrastruktur #Gematik #Kartenlesegeräte #Zugang #Cyberwar #Hacking #Trojaner #ct #eHealth #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #BSI
Moderne Suchmaschinen sind keine bloßen Verzeichnisse von Webseiten. Sie werden von hochentwickelten Algorithmen und KI-Modellen angetrieben, die die Nutzer und ihre Vorlieben gut kennen.1e9.community
Ich habe mich schon manchmal gefragt, warum manche UserInnen als DatenschutzFundementalisten betitelt werden und die Podcastfolge von @fraunora hat mich drauf gebracht.
Die Ignoranz der anderen treibt die anscheinend dazu, so gesehen zu werden.
Bittedringend hören: https://wasdenkstdudenn.podigee.io/105-ignoranzkompetenz-und-die-jagd-nach-den-kohlweisslingen-der-dummheit
#Ignoranz #Datenschutz #zuhören #reflektierenIgnoranzkompetenz
In aller Regel finden wir Ignoranz ziemlich doof. Wenn wir jemanden als ignorant bezeichnen, ist das selten als Kompliment gemeint. Dabei brauchen wir eigentlich alle Ignoranz, um durchs leben zu kommen. Denn nur, wenn wir bestimmte Dinge ignorieren, können wir uns andere wiederum genauer anschauen.wasdenkstdudenn.podigee.io
In aller Regel finden wir Ignoranz ziemlich doof. Wenn wir jemanden als ignorant bezeichnen, ist das selten als Kompliment gemeint. Dabei brauchen wir eigentlich alle Ignoranz, um durchs leben zu kommen. Denn nur, wenn wir bestimmte Dinge ignorieren, können wir uns andere wiederum genauer anschauen.wasdenkstdudenn.podigee.io
Am 04.02. 20:30 Uhr startet unser nächstes Austauschtreffen rund um den Einsatz fragwürdiger Software an Schulen für Schülerinnen und Schüler und Eltern. Ich werde einen kurzen Überblick über die aktuellen Entwicklungen geben, danach können wir uns über eure Erfahrungen und bisherigen Maßnahmen austauschen. Gut wäre, noch mehr Menschen zu finden, die bereits Beschwerde bei den LfDIs eingereicht haben. Wer dabei sein möchte, bitte melden unter inga@ingaklas.de
#datenschutz
