this post was submitted on 03 Feb 2025
104 points (99.1% liked)

DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz

4194 readers
485 users here now

Das Sammelbecken auf feddit.org für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.

Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:

___

Aus gegebenem Anlass werden Posts zum Thema Palästina / Israel hier auf Dach gelöscht. Dasselbe gilt zurzeit für Wahlumfragen al´a Sonntagsumfrage.
___

Einsteigertipps für Neue gibt es hier.
___

Eine ausführliche Sidebar mit den Serverregeln usw. findet ihr auf der Startseite von feddit.org

___

founded 1 year ago
MODERATORS
Seven@feddit.org
Der_aus_Aux@feddit.org
104
Elektronische Patientenakte: Private Daten von Ärzten waren im Netz zugänglich (www.zeit.de)
submitted 6 months ago by SapphireSphinx@feddit.org to c/dach@feddit.org
27 comments fedilink hide all child comments
top 27 comments
sorted by: hot top controversial new old
[–] connaisseur@feddit.org 74 points 6 months ago (1 children)

Der Hacker jedenfalls wandte sich an den Chaos Computer Club. Am 23. Januar meldete sich dieser bei D-Trust: Ein anonymer Sicherheitsforscher und nicht Kriminelle hätten auf die Daten zugegriffen. Dieser hätte die Ergebnisse seiner Arbeit gerne der D-Trust GmbH zur Verfügung gestellt. Aufgrund der "rechtlichen Grauzone des sogenannten Hacker-Paragraphen", der Anzeigen gegen IT-Sicherheitsexperten auch bei responsible disclosure nicht unmöglich macht, sowie der "erstatteten Strafanzeige" hätte er dies aber nicht tun können. Er habe sich stattdessen "unmittelbar" an den CCC gewandt. Der CCC weist in dem Schreiben darauf hin, dass die personenbezogenen Daten "de facto" von D-Trust veröffentlicht wurden und kein "Zugriffsschutz" umgangen wurde. Daher sei auch die Anzeige gegenstandslos. Der CCC beendet das Schreiben mit einem Wunsch: Man hoffe, dass D-Trust seine "Energie darauf verwende, sein Sicherheitsniveau auf die gängigen Standards dieses Jahrhunderts anzuheben".

Dass es diesen unsäglichen Hackerparagraphen weiterhin in unveränderter Form gibt, wird einmal mehr zum Hemmschuh.

[–] Kissaki@feddit.org 2 points 6 months ago (1 children)

Ich meine kürzlich gelesen zu haben dass sich das bessern soll - also mit einer Gesetzesänderung.

[–] UpperBroccoli@lemmy.blahaj.zone 1 points 6 months ago (2 children)

Noch unter rot-grün-eiter, oder dann unter schwarz-blau?

[–] geissi@feddit.org 5 points 6 months ago

Die Union verklagt ja auch gerne Leute, die auf Sicherheitslücken hinweisen.
https://www.sueddeutsche.de/politik/cdu-connect-anzeige-wittmann-1.5373488

[–] Kissaki@feddit.org 2 points 6 months ago

Ich habe leider nicht mehr gefunden oder konkret erinnert wo ich es gesehen oder gehört habe.

https://tarnkappe.info/artikel/it-sicherheit/hackerparagraf-soll-naechstes-jahr-abgeschafft-werden-283927.html

2023: "nächstes Jahr"

Das Bundesjustizministerium will nächstes Jahr den § 202a ff StGB (Hackerparagraf) deutlich entschärfen, um ihn den Gegebenheiten anzupassen.

Passiert also wohl nicht mehr 🙃

[–] SapphireSphinx@feddit.org 31 points 6 months ago* (last edited 6 months ago)

Das zum CDU-Thema: Wer Daten bereitstellt, zahlt 10 Prozent weniger Krankenkassenbeiträge

[–] einkorn@feddit.org 16 points 6 months ago (1 children)

Statement vom CCC

[–] rustydrd@sh.itjust.works 4 points 6 months ago (2 children)

Hier gibt's schon die Antwort von D-Trust und sie ist in etwa so schlimm wie man es erwartet:

Berlin, 24.01.2025 – Am 23.1.2025 hat die D-Trust ein Schreiben des Chaos Computer Clubs erreicht, in dem der Verein die Verantwortung für den Angriff auf das Antragsportal für Signatur- und Siegelkarten der D-Trust einem “anonymen Sicherheitsforscher” (sic!) zuschreibt. Dieser hat demnach Anfang Januar unzulässigerweise in mehreren Sitzungen Daten aus dem Antragsbearbeitungssystem entwendet (siehe unten).

Laut Aussage des „Sicherheitsforschers“ seien die ausgelesenen Daten im Nachgang gelöscht worden, so dass den Betroffenen kein weiterer Schaden entstehe. Die in dem Schreiben gemachten Aussagen werden aktuell ausgewertet. In diesem Zusammenhang arbeitet die D-Trust weiterhin eng mit den involvierten Sicherheitsbehörden und externen Sicherheitsexperten zusammen.

Ich habe gefühlt noch nie einen Text gelesen, in dem allein die Zeichensetzung so viel Inkompetenz ausstrahlt.

[–] Kissaki@feddit.org 3 points 6 months ago (1 children)

Daten entwendet. Die waren dann weg. /s

[–] rustydrd@sh.itjust.works 2 points 6 months ago

Vielleicht hätten Sie bei D-Trust von einer Anzeige abgesehen, wenn der Datendieb die Daten wieder zurückgegeben hätte.

[–] einkorn@feddit.org 2 points 6 months ago

Ich habe gefühlt noch nie einen Text gelesen, in dem allein die Zeichensetzung so viel Inkompetenz ausstrahlt.

Dann liest du nicht häufig Texte von mir, die ich am Handy verfasst habe.

[–] sp3ctre@feddit.org 15 points 6 months ago (3 children)

Mir geht diese ePA-Geschichte dermaßen auf die Nerven. Wieso schafft es Deutschland nicht ein System auf die Kette zu kriegen, in das man vertrauen kann? Es sind doch nun 20 Jahre vergangen und Milliarden an Geldern geflossen.

Nun haben wir ein System, was Sicherheitslücken hat, Daten an wildfremde Menschen weitergibt, die es überhaupt nichts angeht und man ist nicht mal der einzige, der einen Schlüssel zu seiner Akte hat.

Das ist doch wirklich Bockmist.

[–] einkorn@feddit.org 4 points 6 months ago

Es gibt an vielen Stellen kein Interesse an wirklich sicheren Anwendungen. Wenn man nicht mitlesen kann, ist aus Sicht des Staates schlecht. Klar, das hier ist ein grober Patzer, aber warum sich wirklich anstrengen, wenn es eh nicht gewollt ist, dass alles 100 % dicht ist?

Obendrauf kommt, dass die Gematik, ähnlich wie die Bahn, nur vermeintlich ein privates Unternehmen ist und somit, auch wieder wie die Bahn, die Vorzüge von privatwirtschaftlichem Handeln genießt, aber mit einem gesicherten Kundenstamm, keinen unternehmerischen Druck hat.

[–] GenosseFlosse@feddit.org 3 points 6 months ago* (last edited 6 months ago)

Die, die sich mit sowas auskennen haben keine Entscheidungskraft. Die die was entscheiden haben keine Ahnung und keinen tuev der das Endprodukt nachher abnehmen muss.

[–] foenkyfjutschah@programming.dev 2 points 6 months ago

daß das nix wird, war nme gut bei der pressekonferenz zum start von den stakeholdern dargestellt worden. die haben verschiedene, teils gegensätzliche interessen und die meisten von denen stehen im gegensatz zum anspruch auf akzeptanz durch vertrauen.

[–] Zacryon@feddit.org 13 points 6 months ago (3 children)

Diese Praxisausweise, auch SMC-B Karten genannt, spielen eine zentrale Rolle bei der Frage, wieso diese Sicherheitslücke nicht sofort geschlossen wurde: Weil die Verantwortlichen den beiden Sicherheitsforschern nicht glaubten, dass es möglich sei, dass Unbefugte sich diese Karten beschaffen. Deshalb blieb die Sicherheitslücke über Monate offen. Die Gematik, eine Tochterfirma des Bundes und verantwortlich für die ePA, erklärte gegenüber ZEIT ONLINE noch am 10. Januar 2025 in Bezug auf die Praxisausweise: Wichtig sei, "dass ein sicherer Herausgabeprozess die Karten bestmöglichst schützt." Im weiteren Verlauf der Recherche stellte sich heraus, dass die Gematik offenbar davon ausging, dass der Herausgabeprozess der Praxisausweise tatsächlich sicher sei.

Ernsthaft? Ohje. Warum auch überprüfen, wenn man einfach auf Basis von Annahmen handeln kann.

Profis am Werk.

[–] Quittenbrot@feddit.org 11 points 6 months ago

Die Gematik, eine Tochterfirma des Bundes und verantwortlich für die ePA

Nie vergessen: das Gesundheitsministerium hat sich 2019 einfach die Mehrheit (51%) der Gematik-Anteile zugewiesen und dadurch faktisch die Kontrolle übernommen. Minister war damals Spahn. Direkt danach wurde mit Markus Leyck Dieken ein neuer Geschäftsführer bestellt. Spahn und er kennen sich nicht nur privat, 2017 hat Spahn sogar eine Wohnung von ihm gekauft. Für Leute wie Spahn ist das ganze ein reiner Selbstbedienungsladen.

[–] GenosseFlosse@feddit.org 3 points 6 months ago* (last edited 6 months ago)

Leider keine Seltenheit. Eine Firma die großzügig in einer gammeligen Webanwendungen Kreditkartendaten in logs, DB und per Email verschickt hat meinte auch das das kein Problem sei, weil sie ja Norton einsetzen und noch nie gehackt wurden.

[–] aaaaaaaaargh@feddit.org 2 points 6 months ago

"1+1=2"

"Das glaube ich nicht. Es bleibt alles wie es ist."

[–] Hellstormy@lemmy.dbzer0.com 12 points 6 months ago

Ich kann empfehlen, direkt den Talk vom 38C3 anzusehen: https://media.ccc.de/v/38c3-konnte-bisher-noch-nie-gehackt-werden-die-elektronische-patientenakte-kommt-jetzt-fr-alle

[–] copacetic@discuss.tchncs.de 10 points 6 months ago* (last edited 6 months ago) (1 children)

Sicherheitshinweis: ePA ist opt-out. Wer seine Gesundheitsdaten nicht in diesem unsicheren System haben will, muss sich aktiv bei seiner Krankenkasse abmelden.

[–] pantherina@feddit.org 3 points 6 months ago (1 children)

Geht zum Glück auch jetzt noch und einfach per Telefon.

[–] Quittenbrot@feddit.org 1 points 6 months ago (1 children)

..oder ganz einfach online, für diejenigen, die nicht so auf Interaktionen stehen :)

[–] pantherina@feddit.org 1 points 6 months ago (1 children)

"Ganz einfach" geht da aber halt nicht

Brauchst ein Google Certified OS, oder irgendeinen Code den du mal per Post bekommen haben sollst etc.

Telefon ist der analoge Fallback, Barrieren und so. Deswegen werden ja auch immer Leute mit Telefon-Identitätsdiebstahl abgezogen

[–] Quittenbrot@feddit.org 1 points 6 months ago (1 children)

Ich hab das einfach per Browser im Kundenkonto meiner Versicherung gemacht.

[–] pantherina@feddit.org 1 points 6 months ago

Ja immer unterschiedlich. Manche wollen dafür Codes haben die man nicht hat usw

[–] DrunkenPirate@feddit.org 9 points 6 months ago

Was für Amateure, auweia.