Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
News80.000 Betroffene: Ergebnisse von 136.000 COVID-19-Tests frei einsehbar
136.000 COVID-19-Testergebnisse sowie die zugehörigen persönlichen Daten wie Name, Adresse, Geburtsdatum, Staatsbürgerschaft, Ausweisnummer aus Deutschland und Österreich waren nur unzureichend geschützt und deshalb für jedermann frei einsehbar. Die Sicherheitslücke steckt in der Software SafePlay von Medicus AI.
Wundert mich absolut nicht. Was IT angeht, pennen Behörden, Ämter, aber auch Krankenhäuser usw. doch grundsätzlich.
Da wird von irgendwelchen BWLern teils extrem teure Software gekauft, die dann von der Anbieterfirma eingerichtet wird und das wars dann. Da wird nicht von unabhängigen Leuten mit Ahnung drübergeschaut, ob das auch wirklich richtig funktioniert.
Und die Administration wird oft auch ausgelagert. Bis da mal ein Fehler behoben ist, dauert es ne halbe Ewigkeit, weil erstmal ein Mitarbeiter der Administration "anreisen" muss.
Klingt für mich wie die Aldi Schnelltests (heise berichtete), bei denen man das Zertifikat herunterladen kann, das man "negativ" sei, bei dem die URL erratbar war und dier QR Code außen auf der Schnelltestpackung ist, um dort hinzugelangen. IT Sicherheit ist für viele dann wieder ein Fremdwort, wenn die Dollarzeichen bereits in den Augen leuchten
Und ich dachte immer, in Deutschland wird Datenschutz groß geschrieben. Offenbar hat sich das geändert. Wer hat sich da um die IT gekümmert? Ein "Hobby" Informatiker oder jemand, der das auch wirklich gelernt hat?
YouTube
An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.
Paradebeispiel, warum ich acuh keine Lust auf die digitale Patientenakte habe und sie ablehne, solang ich kann. Der Datensicherheit kannste einfach nicht trauen.
Wahrscheinlich wieder per Ausschreibung möglichst billig irgendwas hergeholt, oder?
Wenn man mal nach Medicus Ai googelt ist das ein "fast-growing startup" welches 2016 gegründet wurde.
Klingt auf jeden Fall zuverläßig! Aber hey, wenn das einzige Kriterium der Preis ist, kann man sowas ja machen.
@TheDarkness ist doch immer so. Das Unternehmen, dass am günstigsten ist, wird sofort genommen. Unabhängig ob es dazu fähig ist oder nicht. Dieser Skandal ist wirklich gewaltig, es war so einfach die Daten anderer einzusehen, dazu noch bequem von 1 angefangen, musste man nicht einmal die URL erraten. Als hätten das 4. Klässler geschrieben.
Auch wenn es mir schwerfällt, beim Thema „Deutschland/Deutsche Behörden und Digitalisierung“ nicht ins bodenlos polemische zu verfallen, hier eine Frage in die Runde:
Sind Fälle bekannt, wonach Behörden nach solchen Missgeschicken Konsequenzen ziehen mussten? Meines Wissens nach musste für so etwas noch niemand seinen Hut nehmen/Schaden wieder gut machen, sei es Behörde oder beauftragte Firma.
Klingt für mich wie die Aldi Schnelltests (heise berichtete), bei denen man das Zertifikat herunterladen kann, das man "negativ" sei, bei dem die URL erratbar war und dier QR Code außen auf der Schnelltestpackung ist, um dort hinzugelangen.
Wobei das noch deren geringstes Problem ist. Testergebnisse, die man sich selbst ausstellt, sind so oder so wertlos. Zudem kann man immerhin (so weit ich weiß) keine Daten anderer Leute einsehen. Doch kann man.
Das hier ist aber noch etwas schwerwiegender. Neben haufenweise persönlichen Daten bis hin zur Ausweisnummer und zusätzlich auch noch Gesundheitsdaten. Da müssen eigentlich Köpfe rollen. Egal wie kurzfristig etwas aufgezogen wird, sowas darf nicht sein.
Philipp692 schrieb:
Und ich dachte immer, in Deutschland wird Datenschutz groß geschrieben.
Was gesetzliche Regelungen angeht stimmt das (oftmals) auch. Das Problem ist, dass es gerade im Bereich Software oft gar keine Gesetze gibt oder jemandem auffällt, dass deren Einhaltung ja Arbeit ist. Hier hinkt praktisch jedes Land der Digitalisierung hinterher und Unternehmen schaffen derweil bereits Fakten (und Leaks).
Meine Freundin mitte Zwangzig hat EINMAL Asthma Spray verschrieben bekommen, weil sie Probleme mit einem Heuschnupfen hatte. Jetzt wurde sie von der Bundesregierung schon zweimal angeschrieben bezüglich der Gratismasken zwecks Risikogruppe. Wie kann es sein, dass solche sensiblen Daten in einer allgemeinen Datenbank landen, obwohl es nicht einmal der Realität entspricht, dass sie zur Risikogruppe gehört? Deswegen wundert mich das hier absolut gar nicht, es ist allgemein ein Unding wie intransparent und stümperhaft mit unseren wichtigsten Daten umgegangen wird.
@Philipp692
Ja und das System gehört seit ner halben Ewigkeit überarbeitet.
Als Verbraucher muss man oftmals drauf schauen nicht den günstigsten Schrott zu kaufen, aber die Behörden nicht?
Oftmals steht in den Verträgen auch noch, dass die jeweiligen Firmen praktisch für nichts haften, etc... Aber das kommt ja immer erst jahrzehnte später raus, weil davor die Verträge nur geschwärzt an die Öffentlichkeit kommen.
Am schlimmsten ist sowieso, dass daraus weder irgendwer Konsequenzen erfährt, noch eine Lehre draus gezogen wird. Es müssten Köpfe rollen, stattdessen werden die Verantwortlichen wie Babys behandelt, die unwissentlich an die Wand gemalt haben. Denen wird einmal gesagt das ist böse und das wars dann auch.