this post was submitted on 03 Feb 2025
106 points (99.1% liked)

DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz

2506 readers
580 users here now

Das Sammelbecken auf feddit.org für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Ursprünglich wurde diese Community auf feddit.de gegründet. Nachdem feddit.de mit immer mehr IT-Problemen kämpft und die Admins nicht verfügbar sind, hat ein Teil der Community beschlossen einen Umzug auf eine neue Instanz unter dem Dach der Fediverse Foundation durchzuführen.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

Eine ausführliche Sidebar mit den Serverregeln usw. findet ihr auf der Startseite von feddit.org

___

founded 8 months ago
MODERATORS
Seven@feddit.org
Der_aus_Aux@feddit.org
106
Elektronische Patientenakte: Private Daten von Ärzten waren im Netz zugänglich (www.zeit.de)
submitted 2 weeks ago by SapphireSphinx@feddit.org to c/dach@feddit.org
28 comments fedilink hide all child comments
top 28 comments
sorted by: hot top controversial new old
[–] connaisseur@feddit.org 75 points 2 weeks ago (1 children)

Der Hacker jedenfalls wandte sich an den Chaos Computer Club. Am 23. Januar meldete sich dieser bei D-Trust: Ein anonymer Sicherheitsforscher und nicht Kriminelle hätten auf die Daten zugegriffen. Dieser hätte die Ergebnisse seiner Arbeit gerne der D-Trust GmbH zur Verfügung gestellt. Aufgrund der "rechtlichen Grauzone des sogenannten Hacker-Paragraphen", der Anzeigen gegen IT-Sicherheitsexperten auch bei responsible disclosure nicht unmöglich macht, sowie der "erstatteten Strafanzeige" hätte er dies aber nicht tun können. Er habe sich stattdessen "unmittelbar" an den CCC gewandt. Der CCC weist in dem Schreiben darauf hin, dass die personenbezogenen Daten "de facto" von D-Trust veröffentlicht wurden und kein "Zugriffsschutz" umgangen wurde. Daher sei auch die Anzeige gegenstandslos. Der CCC beendet das Schreiben mit einem Wunsch: Man hoffe, dass D-Trust seine "Energie darauf verwende, sein Sicherheitsniveau auf die gängigen Standards dieses Jahrhunderts anzuheben".

Dass es diesen unsäglichen Hackerparagraphen weiterhin in unveränderter Form gibt, wird einmal mehr zum Hemmschuh.

[–] Kissaki@feddit.org 2 points 2 weeks ago (1 children)

Ich meine kürzlich gelesen zu haben dass sich das bessern soll - also mit einer Gesetzesänderung.

[–] UpperBroccoli@lemmy.blahaj.zone 1 points 2 weeks ago (2 children)

Noch unter rot-grün-eiter, oder dann unter schwarz-blau?

[–] geissi@feddit.org 5 points 2 weeks ago

Die Union verklagt ja auch gerne Leute, die auf Sicherheitslücken hinweisen.
https://www.sueddeutsche.de/politik/cdu-connect-anzeige-wittmann-1.5373488

[–] Kissaki@feddit.org 2 points 2 weeks ago

Ich habe leider nicht mehr gefunden oder konkret erinnert wo ich es gesehen oder gehört habe.

https://tarnkappe.info/artikel/it-sicherheit/hackerparagraf-soll-naechstes-jahr-abgeschafft-werden-283927.html

2023: "nächstes Jahr"

Das Bundesjustizministerium will nächstes Jahr den § 202a ff StGB (Hackerparagraf) deutlich entschärfen, um ihn den Gegebenheiten anzupassen.

Passiert also wohl nicht mehr 🙃

[–] SapphireSphinx@feddit.org 31 points 2 weeks ago* (last edited 2 weeks ago)

Das zum CDU-Thema: Wer Daten bereitstellt, zahlt 10 Prozent weniger Krankenkassenbeiträge

[–] sp3ctre@feddit.org 16 points 2 weeks ago (3 children)

Mir geht diese ePA-Geschichte dermaßen auf die Nerven. Wieso schafft es Deutschland nicht ein System auf die Kette zu kriegen, in das man vertrauen kann? Es sind doch nun 20 Jahre vergangen und Milliarden an Geldern geflossen.

Nun haben wir ein System, was Sicherheitslücken hat, Daten an wildfremde Menschen weitergibt, die es überhaupt nichts angeht und man ist nicht mal der einzige, der einen Schlüssel zu seiner Akte hat.

Das ist doch wirklich Bockmist.

[–] einkorn@feddit.org 5 points 2 weeks ago

Es gibt an vielen Stellen kein Interesse an wirklich sicheren Anwendungen. Wenn man nicht mitlesen kann, ist aus Sicht des Staates schlecht. Klar, das hier ist ein grober Patzer, aber warum sich wirklich anstrengen, wenn es eh nicht gewollt ist, dass alles 100 % dicht ist?

Obendrauf kommt, dass die Gematik, ähnlich wie die Bahn, nur vermeintlich ein privates Unternehmen ist und somit, auch wieder wie die Bahn, die Vorzüge von privatwirtschaftlichem Handeln genießt, aber mit einem gesicherten Kundenstamm, keinen unternehmerischen Druck hat.

[–] GenosseFlosse@feddit.org 4 points 2 weeks ago* (last edited 2 weeks ago)

Die, die sich mit sowas auskennen haben keine Entscheidungskraft. Die die was entscheiden haben keine Ahnung und keinen tuev der das Endprodukt nachher abnehmen muss.

[–] foenkyfjutschah@programming.dev 2 points 2 weeks ago

daß das nix wird, war nme gut bei der pressekonferenz zum start von den stakeholdern dargestellt worden. die haben verschiedene, teils gegensätzliche interessen und die meisten von denen stehen im gegensatz zum anspruch auf akzeptanz durch vertrauen.

[–] einkorn@feddit.org 16 points 2 weeks ago (1 children)

Statement vom CCC

[–] rustydrd@sh.itjust.works 4 points 2 weeks ago (2 children)

Hier gibt's schon die Antwort von D-Trust und sie ist in etwa so schlimm wie man es erwartet:

Berlin, 24.01.2025 – Am 23.1.2025 hat die D-Trust ein Schreiben des Chaos Computer Clubs erreicht, in dem der Verein die Verantwortung für den Angriff auf das Antragsportal für Signatur- und Siegelkarten der D-Trust einem “anonymen Sicherheitsforscher” (sic!) zuschreibt. Dieser hat demnach Anfang Januar unzulässigerweise in mehreren Sitzungen Daten aus dem Antragsbearbeitungssystem entwendet (siehe unten).

Laut Aussage des „Sicherheitsforschers“ seien die ausgelesenen Daten im Nachgang gelöscht worden, so dass den Betroffenen kein weiterer Schaden entstehe. Die in dem Schreiben gemachten Aussagen werden aktuell ausgewertet. In diesem Zusammenhang arbeitet die D-Trust weiterhin eng mit den involvierten Sicherheitsbehörden und externen Sicherheitsexperten zusammen.

Ich habe gefühlt noch nie einen Text gelesen, in dem allein die Zeichensetzung so viel Inkompetenz ausstrahlt.

[–] Kissaki@feddit.org 3 points 2 weeks ago (1 children)

Daten entwendet. Die waren dann weg. /s

[–] rustydrd@sh.itjust.works 2 points 2 weeks ago

Vielleicht hätten Sie bei D-Trust von einer Anzeige abgesehen, wenn der Datendieb die Daten wieder zurückgegeben hätte.

[–] einkorn@feddit.org 2 points 2 weeks ago

Ich habe gefühlt noch nie einen Text gelesen, in dem allein die Zeichensetzung so viel Inkompetenz ausstrahlt.

Dann liest du nicht häufig Texte von mir, die ich am Handy verfasst habe.

[–] Hellstormy@lemmy.dbzer0.com 13 points 2 weeks ago

Ich kann empfehlen, direkt den Talk vom 38C3 anzusehen: https://media.ccc.de/v/38c3-konnte-bisher-noch-nie-gehackt-werden-die-elektronische-patientenakte-kommt-jetzt-fr-alle

[–] Zacryon@feddit.org 13 points 2 weeks ago (3 children)

Diese Praxisausweise, auch SMC-B Karten genannt, spielen eine zentrale Rolle bei der Frage, wieso diese Sicherheitslücke nicht sofort geschlossen wurde: Weil die Verantwortlichen den beiden Sicherheitsforschern nicht glaubten, dass es möglich sei, dass Unbefugte sich diese Karten beschaffen. Deshalb blieb die Sicherheitslücke über Monate offen. Die Gematik, eine Tochterfirma des Bundes und verantwortlich für die ePA, erklärte gegenüber ZEIT ONLINE noch am 10. Januar 2025 in Bezug auf die Praxisausweise: Wichtig sei, "dass ein sicherer Herausgabeprozess die Karten bestmöglichst schützt." Im weiteren Verlauf der Recherche stellte sich heraus, dass die Gematik offenbar davon ausging, dass der Herausgabeprozess der Praxisausweise tatsächlich sicher sei.

Ernsthaft? Ohje. Warum auch überprüfen, wenn man einfach auf Basis von Annahmen handeln kann.

Profis am Werk.

[–] Quittenbrot@feddit.org 11 points 2 weeks ago

Die Gematik, eine Tochterfirma des Bundes und verantwortlich für die ePA

Nie vergessen: das Gesundheitsministerium hat sich 2019 einfach die Mehrheit (51%) der Gematik-Anteile zugewiesen und dadurch faktisch die Kontrolle übernommen. Minister war damals Spahn. Direkt danach wurde mit Markus Leyck Dieken ein neuer Geschäftsführer bestellt. Spahn und er kennen sich nicht nur privat, 2017 hat Spahn sogar eine Wohnung von ihm gekauft. Für Leute wie Spahn ist das ganze ein reiner Selbstbedienungsladen.

[–] GenosseFlosse@feddit.org 3 points 2 weeks ago* (last edited 2 weeks ago)

Leider keine Seltenheit. Eine Firma die großzügig in einer gammeligen Webanwendungen Kreditkartendaten in logs, DB und per Email verschickt hat meinte auch das das kein Problem sei, weil sie ja Norton einsetzen und noch nie gehackt wurden.

[–] aaaaaaaaargh@feddit.org 2 points 2 weeks ago

"1+1=2"

"Das glaube ich nicht. Es bleibt alles wie es ist."

[–] copacetic@discuss.tchncs.de 10 points 2 weeks ago* (last edited 2 weeks ago) (1 children)

Sicherheitshinweis: ePA ist opt-out. Wer seine Gesundheitsdaten nicht in diesem unsicheren System haben will, muss sich aktiv bei seiner Krankenkasse abmelden.

[–] pantherina@feddit.org 3 points 2 weeks ago (1 children)

Geht zum Glück auch jetzt noch und einfach per Telefon.

[–] Quittenbrot@feddit.org 1 points 2 weeks ago (1 children)

..oder ganz einfach online, für diejenigen, die nicht so auf Interaktionen stehen :)

[–] pantherina@feddit.org 1 points 2 weeks ago (1 children)

"Ganz einfach" geht da aber halt nicht

Brauchst ein Google Certified OS, oder irgendeinen Code den du mal per Post bekommen haben sollst etc.

Telefon ist der analoge Fallback, Barrieren und so. Deswegen werden ja auch immer Leute mit Telefon-Identitätsdiebstahl abgezogen

[–] Quittenbrot@feddit.org 1 points 2 weeks ago (1 children)

Ich hab das einfach per Browser im Kundenkonto meiner Versicherung gemacht.

[–] pantherina@feddit.org 1 points 2 weeks ago

Ja immer unterschiedlich. Manche wollen dafür Codes haben die man nicht hat usw

[–] DrunkenPirate@feddit.org 9 points 2 weeks ago

Was für Amateure, auweia.

[–] Dirk@lemmy.ml 7 points 2 weeks ago

Da bekommt „konnte noch nie gehackt werden“ eine völlig neue Bedeutung.

… MUSS ja auch nicht gehackt werden, schließlich stehen die Daten eh alle einfach öffentlich im Netz.