ComputerBase Menü
Aktuelles

News Elektronischen Patientenakten (ePA): Angreifer können Zugang zu allen Patientenakten erhalten

Mensch_lein schrieb:
Nochmals, der CCC ist NICHT dazu verpflichtet Support zu leisten. Er zeigt die Sicherheitslücken auf, das wars schon mit seiner Aufgabe.
Zum Vergrößern anklicken....
Dann würde ich als Behörde auch nicht mit dem CCC finanziell zusammenarbeiten. (Langzeit-)Support ist nun mal essentiell. Als kostenloser Berater, der die Finger in die Wunde legt, reicht es leider nicht aus für eine juristisch wasserdichte Lösung.
Mensch_lein schrieb:
Wenn du ihm mehr aufhalsen willst, wäre ich gespannt auf deine Argumentationskette.
Zum Vergrößern anklicken....
Ich schmeiße ihn mit Geld zu, im Gegenzug bieten er mir Langzeit-Support (testet also meine Softwareanwendungen für 10 Jahre lang auf Schwachstellen und meldet sich ungehend bei gefundenen Sicherheitslücken und hilft umgehend beim Schließen jener.
 
  • Gefällt mir
Reaktionen: coxon
Weyoun schrieb:
reicht es leider nicht aus für eine juristisch wasserdichte Lösung.
Zum Vergrößern anklicken....
Wer ist denn in unseren Zeiten an sowas interessert?
Alle wollen es schnell und billig. Qualität und Sicherheit sind sind zweitrangig.
 
@Weyoun

Aktuell redest nur du davon, der CCC sollte finanziell mit den Behörden zusammenarbeiten.

Aber mal einfach verständlich:

Es gibt Menschen, die finden Sicherheitslücken und melden diese korrekt bei der zuständigen Stelle.

Dann gibt es Menschen, die diese Systeme gebaut haben(programmiert zB), diese sollten die Schwachstellen beseitigen, die aufgedeckt wurden.

Nun vermischen zu wollen, ala, der Finder einer Lücke müsste zwingend für die Behebung zuständig sein, entbirgt irgendwie jeglicher Logik.
Natürlich kann man sagen, du, die finden die Lücke, also sollen die doch das Ganze für uns machen, wir bezahlen es ja auch. Das ist dann aber Wunschdenken und abwälzen der Verantwortlichkeit.

Die gematik hat Mist gebaut, da ihr "Sicherheitskonzept" ein schlechter Witz ist. Tatsache! Genau das hat der CCC aufgezeigt.

Es liegt nun an der gematik, die Fehler zu beheben.

Der allseitsbeliebte Autovergleich. Ich kaufe ein Auto, bemerke die Bremsen funktionieren nicht so, wie sie sollten. Laut dir, müsste ich also dem Hersteller erklären, wie er die Bremsen zu bauen hat????
 
  • Gefällt mir
Reaktionen: Bolder, Piktogramm, Timo Lock und eine weitere Person
Weyoun schrieb:
Dann würde ich als Behörde auch nicht mit dem CCC finanziell zusammenarbeiten. (Langzeit-)Support ist nun mal essentiell. Als kostenloser Berater, der die Finger in die Wunde legt, reicht es leider nicht aus für eine juristisch wasserdichte Lösung.

Ich schmeiße ihn mit Geld zu, im Gegenzug bieten er mir Langzeit-Support (testet also meine Softwareanwendungen für 10 Jahre lang auf Schwachstellen und meldet sich ungehend bei gefundenen Sicherheitslücken und hilft umgehend beim Schließen jener.
Zum Vergrößern anklicken....

Der CCC ist ein Verein und keine (g)GmbH. Wobei ich als popliger Mitschwimmer mitbekommen habe, dass der Verein unabhängig sein will und daher nie kommerzielle Angebote wahrnehmen wird. Was die (Förder-)Mitglieder machen ist ihr Ding. Wobei ausreichend Viele sowieso als Berater, Pentester anheuerbar wären. Der Stand ist aber eher, dass u.a. die Vorstände der Gematik Kritikern vorhalten, dass das Beharren auf Datenschutz (und damit stabiler Prozesse) Menschenleben kosten würde [sic].[2]
Und niemand, der noch bei klarem Verstand ist würde der Gematik Langzeitgarantien geben! Die Verfahren zur Standardisierung, die Standards, die Zertifizierungsprozesse, das Personal/die Stakeholder und alle mir bekannten Komponenten sind alle soooooo kaputt, dass die Übernahme für von Verantwortung als Externe Person schlicht tödlich ist.

Zudem die Forderungen glaub zuletzt in sowieso komplett gegen das Gingen was das Gesundheitsministerium will.
  • Zentrale staatliche Infra anstatt vieler Anbieter
  • Standardisierte, maschinenlesbare Datenformate (mit Orientierung an WHO-, EU-Regularien)
  • Haftung für alle Software-/Hardwareanbieter
  • Die Ausnahme für die Telematikinfra von der NIST2-Richtlinie rückgängig machen
  • Datenschutz vor kommerziellen Verwertungsrechten!

An sich müsste sich da ein neuer Gesundheitsminister finden, der das Milliardengrab beerdigt und nochmal bei der grundlegenden Planung beginnt. Wobei bei dieser Planung dann das Gejammer der kommerziellen Anbieter im Gesundheitsbereich ignoriert wird..

Mensch_lein schrieb:
Die gematik hat Mist gebaut, da ihr "Sicherheitskonzept" ein schlechter Witz ist. Tatsache! Genau das hat der CCC aufgezeigt.
Zum Vergrößern anklicken....
Wenn es nur das Sicherheitskonzept wäre!
In der ePA landen überwiegend PDFs, Röntgenaufnahmen und sonstige komplexere Daten sind vorerst nicht vorgesehen und der FHIR-Standard[1] wird großteils ignoriert. Der Scheiß ist Zettelwirtschaft auf PDF portiert. Relevante Informationen müssen in entsprechende Verwalungssoftware großteils manuell (abtippen!) übernommen werden.
Kaputte Scheiße!

[1]https://en.wikipedia.org/wiki/Fast_Healthcare_Interoperability_Resources
[2] https://www.apotheken-umschau.de/ge...ten-nicht-zu-nutzen-kostet-leben-1025955.html ; das wurde aber auch auf einem öffentlichem Panel geäußert wo glaube auch Bianka anwesend war.
 
  • Gefällt mir
Reaktionen: Vigilant
Piktogramm schrieb:
Wenn es nur das Sicherheitskonzept wäre!
In der ePA landen überwiegend PDFs, Röntgenaufnahmen und sonstige komplexere Daten sind vorerst nicht vorgesehen und der FHIR-Standard[1] wird großteils ignoriert. Der Scheiß ist Zettelwirtschaft auf PDF portiert. Relevante Informationen müssen in entsprechende Verwalungssoftware großteils manuell (abtippen!) übernommen werden.
Kaputte Scheiße!

[1]https://en.wikipedia.org/wiki/Fast_Healthcare_Interoperability_Resources
[2] https://www.apotheken-umschau.de/ge...ten-nicht-zu-nutzen-kostet-leben-1025955.html ; das wurde aber auch auf einem öffentlichem Panel geäußert wo glaube auch Bianka anwesend war.
Zum Vergrößern anklicken....
Ich dachte, einfacher ist es, wenn ich beim grundlegenden bleibe, also erst Sicherheit, dann die Anwendbarkeit und damit wären dann die blödsinnigen pdfs gemeint, die absolut bescheuert sind.
Ein offenes Format, dass ich eine Maske passt und eine direkte Suchfunktion hat, schön verschlüsselt mit zweifacher Authentivizierung. Aber, man müsste sich dann ja auf etwas wirklich einigen und eine Firma damit beauftragen, da etwas einheitliches zu machen, dass auch variabel an die möglichen Zukünftigen Problemstellungen und Suchanfragen passen würde.
Wenn aber der Punkt Sicherheit nicht gegeben ist, wirds ein Rohrkrepierer und das hoffe ich inständig. Da der zu erwartende Schaden sonst immens sein wird für die Betroffenen. Und mal ganz unter uns, wenn die Regierung so etwas verbockt und das trotz aller Warnungen und Hinweise, wie es besser gehen würde, dann wünschte ich mir, die zuständigen Behörden könnten für den zu erwartenden Schaden verantwortlich gemacht werden! Da sind wir dann bei Lebenslangen Freiheitsstrafen wegen grober Fahrlässigkeit und schlimmerem.
 
@Mensch_lein
Das ist halt eine grundlegende Fehlannahme. Nachträglich IT-Sec und Datenschutz irgendwo drüber zu stülpen ist die Hölle und macht Alles für Alle viel komplizierter. Von Anfang an gescheite, verständliche Prozesse, Datenflüsse und -formate sowie Rollen zu definieren unter Aspekten von IT-Sec und Datenschutz ist meist der einzige Weg.

Wenn man irgendwie Prozesse zusammenschustert und am Ende irgendwer vorbei kommt und Datenschutz anmahnt, und dass es nicht sinnvoll ist, dass der Physiotherapeut die Berichte vom Psychotherapeuten einsehen kann, dann wird es Mist. An der Stelle muss man dann einen bestehenden Prozesse abändern gegen die Widerstände aller Akteure, die den Prozess bereits implementiert haben.

Wobei Datenschutz und IT-Sec zu beachten die Planung meist nicht deutlich verkompliziert. Gutes Prozess- und Softwaredesign bedingt ja sowieso die eindeutige Definition von Datenformaten, -flüssen und Rollen.
Sowas wie "PDFs" als Austauschformat würde bei gescheiter Planung am Anspruch automatisierbaren Prozessen, an wohldefinierten Formaten und Flüssen scheitern und dann ebenso bei der IT-Sec.
 
  • Gefällt mir
Reaktionen: Mensch_lein
@Piktogramm

Naja, wir reden aneinander vorbei. Vermutlich mein Fehler. Ich spreche vom aktuellen Fall und da ist die Gematik schon falsch vorgegangen. Also muss man den Fehler korrigieren. Das ist grundlegend anders, als wenn man richtig anfängt. Du hast natürlich recht, dass man am besten nochmals neu beginnen würde.

Korrekte vorgehensweise wäre auch da, wie immer:

Bedarfsanalyse. Also kurz runtergebrochen und rudimentär:

-Suchfunktion, über die ähnliche Fälle zu verorten sind(wie gesagt, rudimentär vereinfacht gesagt). anonymisiert!
-Maske zur Eingabe, wobei die verschiedenen Therapieformen auszuwählen sind, stand der Wissenschaft und Ärzteseite. Medikation, und Diagnosen und dabei auch die unsicheren, nicht endgültigen.
-Sicherheitskonzept -3 Schutzzonen(falls jemandem das was sagt)! Verschlüsselung, anonymisierung etc pp.

Beginnend bei der Strukturierung des Aufbaus, vereinfacht gesagt. Darüber, also über allem, wie muss die Sicherheit sein, wie und wann wird verschlüsselt und wo sind die Anonymisierungen einzupflegen, auf welche Daten der Zugriff möglich ist. Ich habs absichtlich hier kurz gehalten und mit Sicherheit das eine, oder andere vergessen.
Die Planung von so etwas ist immens und dabei hat die Gematik keinerlei Arbeit geleistet, da diese pdf-lösung schlicht blödsinn ist. Händisch abtippen, und das soll digitalisierung sein?

Es ist ein schneller Wurf, den ich selbst in ein paar Monaten hinbekommen hätte! Und sorry, das ist traurig wie Zau. Ich möchte nicht wissen, wie viel Geld die für ihr Totalversagen bekommen haben. Ganz böse gesagt, so etwas hätte ich besser hinbekommen. Alleine schon das, ist erschreckend!
 
  • Gefällt mir
Reaktionen: Revolvermann01
Mensch_lein schrieb:
Es gibt Menschen, die finden Sicherheitslücken und melden diese korrekt bei der zuständigen Stelle.
Zum Vergrößern anklicken....
So weit, so gut.
Mensch_lein schrieb:
Dann gibt es Menschen, die diese Systeme gebaut haben(programmiert zB), diese sollten die Schwachstellen beseitigen, die aufgedeckt wurden.
Zum Vergrößern anklicken....
Es wäre aber deutlich effizienter, wenn sie dabei auf die Hilfe der "Finder" zurückgreifen könnten (der Finder müsste natürlich entsprechend dafür entlohnt werden). Sie stopfen irgendwas, und der CCC findet am Folgetag eine aufgrund des Patches eine neue Sicherheitslücke.
Mensch_lein schrieb:
Der allseitsbeliebte Autovergleich. Ich kaufe ein Auto, bemerke die Bremsen funktionieren nicht so, wie sie sollten. Laut dir, müsste ich also dem Hersteller erklären, wie er die Bremsen zu bauen hat????
Zum Vergrößern anklicken....
Nein, laut mir müsste der Zulieferer der Bremse im Auftrag des OEM (Autobauer) sich externe Hilfe ins Haus holen, damit es künftig zu keinem Bremsversagen mehr kommt.
 
  • Gefällt mir
Reaktionen: Vigilant und Restart001
crashbandicot schrieb:
In Deutschland läuft es aufgrund des Hackerparagraphen aber anders: da wird der Finder auch noch verklagt und verurteilt.
Zum Vergrößern anklicken....
Das ist aber eine eher unzulässige Verkürzung der verlinkten Artikel. Eine Verurteilung hat es im ersten Fall nicht gegeben und im zweiten wegen der Veröffentlichung der bei der Attacke gefunden Daten, nicht wegen des Findens der Lücke.

Dass das immer eine schwierig zu entscheidende Sache ist, müsste ja klar sein. In einem anderen Thread zum Modern Solution Thema wurde ja auch schon der Vergleich benutzt, dass es ein Unterschied ist, ob ich einen gefundenen Haustürschlüssel dem rechtmäßigen Besitzer übergebe oder mir damit erst mal Zutritt verschaffe, mich ausgiebig in seinem Haus umschaue und Bilder davon im Internet poste.
 
  • Gefällt mir
Reaktionen: Weyoun und SIR_Thomas_TMC
Weyoun schrieb:
So weit, so gut.

Es wäre aber deutlich effizienter, wenn sie dabei auf die Hilfe der "Finder" zurückgreifen könnten (der Finder müsste natürlich entsprechend dafür entlohnt werden). Sie stopfen irgendwas, und der CCC findet am Folgetag eine aufgrund des Patches eine neue Sicherheitslücke.
Zum Vergrößern anklicken....

Ich gehe davon aus, dass der CCC alle Daten aus seinen "Tests" zu den Sicherheitslücken auch den "Verursachern der Software" vor Veröffentlichung zur Verfügung gestellt hat. So ist das auch üblich meines Wissens. Das ganze erfolgt komplett kostenlos. Und dies soll jetzt nicht ausreichen? Am "Betatesting" wurde ja offensichtlich bereits gespart.
 
Es ist doch immer einfacher, von anderen etwas zu fordern, statt seinen gutbezahlten Job vernünftig zu machen.
Es ist ja auch Mode, dass der Fehlerfinder sich Rechtlich absichern muss, statt dass man den, ders Verbockt hat zur Rechenschaft zieht. Aber aber, die grosse Firma kann doch nix dafür. Der einzelne Hacker aber, der ist Luzifer und gehört verknackt. Dabei hat er die Schwachstelle gemeldet!
 
  • Gefällt mir
Reaktionen: Revolvermann01 und KitKat::new()
Halte ich so formuliert weiterhin für ein Märchen. Nur vom Melden passiert rechtlich (Verurteilung) nichts. Ist ja auch beim CCC jetzt nicht der Fall. Dann muss man schon weiterstöbern und neugierig die Lücke nutzen.
 
@SIR_Thomas_TMC ich habe nichts anderes von dir erwartet.

Apropos Märchen, dann erleuchte mich doch mal ganz genau, ab wann man sich strafbar macht. Du hast das Märchen ja erkannt und als solches müsstest du genau bescheid wissen, was davon stimmt, was nicht.
Abgesehen von dem Deteil, das ich nicht sagte die Meldung an sich sei Strafbar, sondern dass man sich rechtfertigen muss, wie man den fehler gefunden hat, was genau man getan hat. Und da wird extrem darauf geachtet, ob man nicht die "ungenau" definierte Linie überschritten hat, bei der man sich strafbar gemacht hätte.
Wenn man nun hingehen würde und bei der Firma nachsehen würde, warum der Fehler entstanden ist, obs ein ausreichendes Sicherheitskonzept gegeben hat, oder was genau schiefgelaufen wäre.. wäre es kein so grosses Ungleichgewicht, in meinen Augen. Aber das wird ja nicht gemacht, wozu auch. Die Firma hat ja sicher alles richtig gemacht.

Würde man die Lücke nicht melden, hat man keinerlei Probleme zu erwarten. Doch die Firma, in dem Falle die Gematik hätte spätestens bei ausnutzung von echten Kriminellen ein problem.. ok, fehler meinerseits, die gematik ist ja unangreifbar, da sie nicht dafür haftet, was mit den Daten passiert, noch für deren Sicherheit haftbar gemacht werden kann aktuell(glaube ich mal).
 
Zuletzt bearbeitet:
Das mit anderer Meinung und so fällt dir aus meiner Sicht weiterhin schwer. Ganz einfach, der CCC hat Sicherheitslücken gefunden, gemeldet und sich nicht strafbar gemacht. Scheint also möglich zu sein. Vielleicht fragst du da einfach nach. Dort scheint man ja recht hilfsbereit zu sein. Ansonsten bleibe ich dabei, so wie du es formuliert hast, ist es ein Märchen. Denn und wenn sie nicht gestorben sind, melden sie noch heute strafverfolgungsfrei.
 
Ja klar, da der CCC auch mich Rechtsanwälten zusammenarbeitet. Das ist cleveres ausweichen, aber kein beantworten der Frage. Aber schon gut, habe ich auch nicht erwartet.
 
Was dummerweise, meine Aussage unterstreicht. Dumm gelaufen, würd ich mal sagen. Ich sprach ja nicht nur vom CCC. :mussweg:
 
Ah ja. Dann ist doch alles gut und wer Sicherheitslücken meldet steht mit einem Bein im Knast. Außer der CCC.
Der zur Rechenschaft gezogen rechtschaffene Hacker, der nur eine Sicherheitslücke meldet und diese nicht weiter ausnutzt, wird trotzdem eingebuchtet. So wie der, der nur mal schauen wollte, ob man im Supermarkt überhaupt die Ware gut gesichert hat, und nicht nur schaut und die Eigentümer infomiert, sondern auch versucht, diese mitzunehmen...
Vielleicht ist die beste Lösung, sowas mit Einverständnis der Eigentümer zu machen oder sich tatsächlich rechtlich gut beraten zu lassen.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

A
Elektronische Patientenakte in 2 Monaten
2 3
Antworten
59
Aufrufe
3.247
K3ks
K3ks

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz