Diese Praxisausweise, auch SMC-B Karten genannt, spielen eine zentrale Rolle bei der Frage, wieso diese Sicherheitslücke nicht sofort geschlossen wurde: Weil die Verantwortlichen den beiden Sicherheitsforschern nicht glaubten, dass es möglich sei, dass Unbefugte sich diese Karten beschaffen. Deshalb blieb die Sicherheitslücke über Monate offen. Die Gematik, eine Tochterfirma des Bundes und verantwortlich für die ePA, erklärte gegenüber ZEIT ONLINE noch am 10. Januar 2025 in Bezug auf die Praxisausweise: Wichtig sei, “dass ein sicherer Herausgabeprozess die Karten bestmöglichst schützt.” Im weiteren Verlauf der Recherche stellte sich heraus, dass die Gematik offenbar davon ausging, dass der Herausgabeprozess der Praxisausweise tatsächlich sicher sei.
Ernsthaft? Ohje. Warum auch überprüfen, wenn man einfach auf Basis von Annahmen handeln kann.
Profis am Werk.
Die Gematik, eine Tochterfirma des Bundes und verantwortlich für die ePA
Nie vergessen: das Gesundheitsministerium hat sich 2019 einfach die Mehrheit (51%) der Gematik-Anteile zugewiesen und dadurch faktisch die Kontrolle übernommen. Minister war damals Spahn. Direkt danach wurde mit Markus Leyck Dieken ein neuer Geschäftsführer bestellt. Spahn und er kennen sich nicht nur privat, 2017 hat Spahn sogar eine Wohnung von ihm gekauft. Für Leute wie Spahn ist das ganze ein reiner Selbstbedienungsladen.
Leider keine Seltenheit. Eine Firma die großzügig in einer gammeligen Webanwendungen Kreditkartendaten in logs, DB und per Email verschickt hat meinte auch das das kein Problem sei, weil sie ja Norton einsetzen und noch nie gehackt wurden.
“1+1=2”
“Das glaube ich nicht. Es bleibt alles wie es ist.”
Der Hacker jedenfalls wandte sich an den Chaos Computer Club. Am 23. Januar meldete sich dieser bei D-Trust: Ein anonymer Sicherheitsforscher und nicht Kriminelle hätten auf die Daten zugegriffen. Dieser hätte die Ergebnisse seiner Arbeit gerne der D-Trust GmbH zur Verfügung gestellt. Aufgrund der “rechtlichen Grauzone des sogenannten Hacker-Paragraphen”, der Anzeigen gegen IT-Sicherheitsexperten auch bei responsible disclosure nicht unmöglich macht, sowie der “erstatteten Strafanzeige” hätte er dies aber nicht tun können. Er habe sich stattdessen “unmittelbar” an den CCC gewandt. Der CCC weist in dem Schreiben darauf hin, dass die personenbezogenen Daten “de facto” von D-Trust veröffentlicht wurden und kein “Zugriffsschutz” umgangen wurde. Daher sei auch die Anzeige gegenstandslos. Der CCC beendet das Schreiben mit einem Wunsch: Man hoffe, dass D-Trust seine “Energie darauf verwende, sein Sicherheitsniveau auf die gängigen Standards dieses Jahrhunderts anzuheben”.
Dass es diesen unsäglichen Hackerparagraphen weiterhin in unveränderter Form gibt, wird einmal mehr zum Hemmschuh.
Ich meine kürzlich gelesen zu haben dass sich das bessern soll - also mit einer Gesetzesänderung.
Noch unter rot-grün-eiter, oder dann unter schwarz-blau?
Die Union verklagt ja auch gerne Leute, die auf Sicherheitslücken hinweisen.
https://www.sueddeutsche.de/politik/cdu-connect-anzeige-wittmann-1.5373488
Mir geht diese ePA-Geschichte dermaßen auf die Nerven. Wieso schafft es Deutschland nicht ein System auf die Kette zu kriegen, in das man vertrauen kann? Es sind doch nun 20 Jahre vergangen und Milliarden an Geldern geflossen.
Nun haben wir ein System, was Sicherheitslücken hat, Daten an wildfremde Menschen weitergibt, die es überhaupt nichts angeht und man ist nicht mal der einzige, der einen Schlüssel zu seiner Akte hat.
Das ist doch wirklich Bockmist.
daß das nix wird, war nme gut bei der pressekonferenz zum start von den stakeholdern dargestellt worden. die haben verschiedene, teils gegensätzliche interessen und die meisten von denen stehen im gegensatz zum anspruch auf akzeptanz durch vertrauen.
Die, die sich mit sowas auskennen haben keine Entscheidungskraft. Die die was entscheiden haben keine Ahnung und keinen tuev der das Endprodukt nachher abnehmen muss.
Es gibt an vielen Stellen kein Interesse an wirklich sicheren Anwendungen. Wenn man nicht mitlesen kann, ist aus Sicht des Staates schlecht. Klar, das hier ist ein grober Patzer, aber warum sich wirklich anstrengen, wenn es eh nicht gewollt ist, dass alles 100 % dicht ist?
Obendrauf kommt, dass die Gematik, ähnlich wie die Bahn, nur vermeintlich ein privates Unternehmen ist und somit, auch wieder wie die Bahn, die Vorzüge von privatwirtschaftlichem Handeln genießt, aber mit einem gesicherten Kundenstamm, keinen unternehmerischen Druck hat.
Ich kann empfehlen, direkt den Talk vom 38C3 anzusehen: https://media.ccc.de/v/38c3-konnte-bisher-noch-nie-gehackt-werden-die-elektronische-patientenakte-kommt-jetzt-fr-alle
Das zum CDU-Thema: Wer Daten bereitstellt, zahlt 10 Prozent weniger Krankenkassenbeiträge
Sicherheitshinweis: ePA ist opt-out. Wer seine Gesundheitsdaten nicht in diesem unsicheren System haben will, muss sich aktiv bei seiner Krankenkasse abmelden.
Geht zum Glück auch jetzt noch und einfach per Telefon.
…oder ganz einfach online, für diejenigen, die nicht so auf Interaktionen stehen :)
“Ganz einfach” geht da aber halt nicht
Brauchst ein Google Certified OS, oder irgendeinen Code den du mal per Post bekommen haben sollst etc.
Telefon ist der analoge Fallback, Barrieren und so. Deswegen werden ja auch immer Leute mit Telefon-Identitätsdiebstahl abgezogen
Ich hab das einfach per Browser im Kundenkonto meiner Versicherung gemacht.
Ja immer unterschiedlich. Manche wollen dafür Codes haben die man nicht hat usw
Hier gibt’s schon die Antwort von D-Trust und sie ist in etwa so schlimm wie man es erwartet:
Berlin, 24.01.2025 – Am 23.1.2025 hat die D-Trust ein Schreiben des Chaos Computer Clubs erreicht, in dem der Verein die Verantwortung für den Angriff auf das Antragsportal für Signatur- und Siegelkarten der D-Trust einem “anonymen Sicherheitsforscher” (sic!) zuschreibt. Dieser hat demnach Anfang Januar unzulässigerweise in mehreren Sitzungen Daten aus dem Antragsbearbeitungssystem entwendet (siehe unten).
Laut Aussage des „Sicherheitsforschers“ seien die ausgelesenen Daten im Nachgang gelöscht worden, so dass den Betroffenen kein weiterer Schaden entstehe. Die in dem Schreiben gemachten Aussagen werden aktuell ausgewertet. In diesem Zusammenhang arbeitet die D-Trust weiterhin eng mit den involvierten Sicherheitsbehörden und externen Sicherheitsexperten zusammen.
Ich habe gefühlt noch nie einen Text gelesen, in dem allein die Zeichensetzung so viel Inkompetenz ausstrahlt.
Daten entwendet. Die waren dann weg. /s
Vielleicht hätten Sie bei D-Trust von einer Anzeige abgesehen, wenn der Datendieb die Daten wieder zurückgegeben hätte.
Ich habe gefühlt noch nie einen Text gelesen, in dem allein die Zeichensetzung so viel Inkompetenz ausstrahlt.
Dann liest du nicht häufig Texte von mir, die ich am Handy verfasst habe.
Da bekommt „konnte noch nie gehackt werden“ eine völlig neue Bedeutung.
… MUSS ja auch nicht gehackt werden, schließlich stehen die Daten eh alle einfach öffentlich im Netz.
Was für Amateure, auweia.
