Post · bonfire.cafe

Post

Hier stellt sich die gematik immer mal wieder sehr naiv an.

"Wenn ihr uns nicht genau zeigt, welche Akten ihr wann genau wie wegtragen werdet, ist es auch kein Problem"

Naja, ein leckes System kann auch schon abgesichert werden, bevor es kompromittiert wurde. So entsteht quasi Sicherheit. Alles andere ist Flickschusterei.

Und es ist ja auch nicht so, dass im Vorfeld des Talks niemals nie SMC-B weggekommen wären. 2019 etwa, bis 2023 wurden die auch nicht per Ident ausgegeben.

Welche beim CCC im Dezember 2024 aufgezeigten Lücken waren der
Bundesregierung bereits seit wann bekannt, und welche waren ihr neu?
Die gematik wurde Ende August des Jahres 2024 von externen Sicherheits-
forschenden auf eine Schwachstelle hingewiesen. Dabei wurden weder die kon-
krete Umsetzung eines Angriffs noch alle beim Vortrag am 27. Dezember 2024
beschriebenen Lücken dargestellt. Es handelte sich zu diesem Zeitpunkt um ein
theoretisches Szenario, dessen Eintritt durch die gematik als unwahrscheinlich
eingestuft wurde, da keine Indikatoren einer Schwächung bestehender Sicher-
heitsmaßnahmen identifiziert werden konnten. Dies betraf insbesondere die si-
chere Ausgabe und Nutzung der Institutionsausweise nebst zugehöriger PIN
durch die berechtigten Leistungserbringerinstitutionen. Diese stellen einen zen-
tralen Sicherheitsanker für den Zugriff auf die ePA dar.
Im Anschluss fanden von September bis Dezember 2024 mehrere Termine mit
der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
(BfDI), dem BSI und der gematik zur Bewertung des Risikos der dargestellten
Schwachstelle statt. Hier wurde vornehmlich über die Wirksamkeit der bereits
getroffenen Maßnahmen sowie die Eintrittswahrscheinlichkeit gesprochen.
Mitte Dezember 2024 fand ein erneuter Termin mit den Sicherheitsforschenden
und der gematik statt, in welchem die Sicherheitsforschenden einen bis dahin
unbekannten Weg zur Beschaffung und missbräuchlichen Nutzung des Instituti-
onsausweises darstellen k — Welche beim CCC im Dezember 2024 aufgezeigten Lücken waren der Bundesregierung bereits seit wann bekannt, und welche waren ihr neu? Die gematik wurde Ende August des Jahres 2024 von externen Sicherheits- forschenden auf eine Schwachstelle hingewiesen. Dabei wurden weder die kon- krete Umsetzung eines Angriffs noch alle beim Vortrag am 27. Dezember 2024 beschriebenen Lücken dargestellt. Es handelte sich zu diesem Zeitpunkt um ein theoretisches Szenario, dessen Eintritt durch die gematik als unwahrscheinlich eingestuft wurde, da keine Indikatoren einer Schwächung bestehender Sicher- heitsmaßnahmen identifiziert werden konnten. Dies betraf insbesondere die si- chere Ausgabe und Nutzung der Institutionsausweise nebst zugehöriger PIN durch die berechtigten Leistungserbringerinstitutionen. Diese stellen einen zen- tralen Sicherheitsanker für den Zugriff auf die ePA dar. Im Anschluss fanden von September bis Dezember 2024 mehrere Termine mit der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem BSI und der gematik zur Bewertung des Risikos der dargestellten Schwachstelle statt. Hier wurde vornehmlich über die Wirksamkeit der bereits getroffenen Maßnahmen sowie die Eintrittswahrscheinlichkeit gesprochen. Mitte Dezember 2024 fand ein erneuter Termin mit den Sicherheitsforschenden und der gematik statt, in welchem die Sicherheitsforschenden einen bis dahin unbekannten Weg zur Beschaffung und missbräuchlichen Nutzung des Instituti- onsausweises darstellen k

Bianca Kastl

@bkastl@mastodon.social replied · 12 months ago

Hier stellt sich die gematik immer mal wieder sehr naiv an.

"Wenn ihr uns nicht genau zeigt, welche Akten ihr wann genau wie wegtragen werdet, ist es auch kein Problem"

Naja, ein leckes System kann auch schon abgesichert werden, bevor es kompromittiert wurde. So entsteht quasi Sicherheit. Alles andere ist Flickschusterei.

Und es ist ja auch nicht so, dass im Vorfeld des Talks niemals nie SMC-B weggekommen wären. 2019 etwa, bis 2023 wurden die auch nicht per Ident ausgegeben.

Bianca Kastl

@bkastl@mastodon.social replied · 12 months ago

Der Talk auf dem #38c3 ist mehr oder weniger nur eine Remix-Compilation von Oldies und Evergreens und eigentlich nur 1 1/2 neuen Lücke, der bei VSDM. Wir nehmen mal den SMC-B Gebrauchtmarkt als halbe neue Lücke.

Aber auch die VSDM Lücke ist nicht neu, die kannte die gematik selbst, das gibt sie auch zu.

Also alles schon mal benannt, schon mal vorgekommen.

Lediglich die Kombination ist neu.
Aber die Kombination von Angriffsvektoren und Lücken ist im Cyberbereich ja täglich zu sehen.

Bianca Kastl

@bkastl@mastodon.social replied · 12 months ago

"You are holding it wrong"

Unser System ist sicher, wenn man es richtig benutzt. Fehlbenutzung ist strafbar.

Man könnte aber auch sagen: Insecure by design, weil es überhaupt schon mal einen unsicheren Weg gibt.

Einerseits wird Nutzungsfreundlichkeit zum Dogma der Gesundheitsdigitalisierung, aber wehe du benutzt irgendwas falsch, das ist dann strafbar.

Benutzungsfreundliche Sicherheit lässt gar keine Fehlnutzung zu.
Denkt mal drüber nach.

6. Welche der vom CCC aufgezeigten Sicherheitsmängel beruhen darauf,
dass Spezifikationen der gematik nicht eingehalten wurden, und welche
wurden trotz Einhaltung der gematik-Spezifikationen gefunden?
24. Inwiefern sind die aufgedeckten Sicherheitslücken nach Kenntnis der
Bundesregierung trotz Einhaltung der Spezifizierungen der gematik auf-
getreten oder unter Nichteinhaltung der Spezifizierungen der gematik
aufgetreten?
25. Handelt es sich bei den Sicherheitslücken nach Kenntnis der Bundes-
regierung um Umsetzungs- oder Architekturfehler?
Die Fragen 6, 24 und 25 werden gemeinsam beantwortet.
Die aufgezeigten Schwachstellen werden durch die unberechtigte Nutzung des
Institutionsausweises als zentrales Identifikationsmerkmal und eine Manipulati-
on des Konnektors als Zugangspunkt der Leistungserbringerinstitution auf die
Telematikinfrastruktur (TI) wirksam.
Es handelt sich hierbei nicht um eine Lücke in der Spezifikation der gematik.
Vielmehr kann der Angriff nur erfolgen, wenn man sich unberechtigt Zugriff
zur Telematikinfrastruktur beschafft. Dies ist strafbar. — 6. Welche der vom CCC aufgezeigten Sicherheitsmängel beruhen darauf, dass Spezifikationen der gematik nicht eingehalten wurden, und welche wurden trotz Einhaltung der gematik-Spezifikationen gefunden? 24. Inwiefern sind die aufgedeckten Sicherheitslücken nach Kenntnis der Bundesregierung trotz Einhaltung der Spezifizierungen der gematik auf- getreten oder unter Nichteinhaltung der Spezifizierungen der gematik aufgetreten? 25. Handelt es sich bei den Sicherheitslücken nach Kenntnis der Bundes- regierung um Umsetzungs- oder Architekturfehler? Die Fragen 6, 24 und 25 werden gemeinsam beantwortet. Die aufgezeigten Schwachstellen werden durch die unberechtigte Nutzung des Institutionsausweises als zentrales Identifikationsmerkmal und eine Manipulati- on des Konnektors als Zugangspunkt der Leistungserbringerinstitution auf die Telematikinfrastruktur (TI) wirksam. Es handelt sich hierbei nicht um eine Lücke in der Spezifikation der gematik. Vielmehr kann der Angriff nur erfolgen, wenn man sich unberechtigt Zugriff zur Telematikinfrastruktur beschafft. Dies ist strafbar.

Bianca Kastl

@bkastl@mastodon.social replied · 12 months ago

Gleiches Thema hier: Sichere Nutzung ist möglich.

Unsichere aber halt auch.

7. Nach welcher Methode hat die Bundesregierung und bzw. oder die ge-
matik die Risiken bewertet, und können mit den jetzt durch die gematik
geplanten Maßnahmen alle Risiken eliminiert werden?
Die gematik orientiert sich im Kontext des Risikomanagements an der inter-
nationalen Norm ISO 31000. Sie bewertet Risiken anhand ihrer Eintrittswahr-
scheinlichkeit und Schadensschwere.
Durch die Umsetzung der geplanten Maßnahmen wird die sichere Nutzung der
„ePA für alle“ durch Praxen, Krankenhäuser, Apotheken sowie Patientinnen
und Patienten ermöglicht. — 7. Nach welcher Methode hat die Bundesregierung und bzw. oder die ge- matik die Risiken bewertet, und können mit den jetzt durch die gematik geplanten Maßnahmen alle Risiken eliminiert werden? Die gematik orientiert sich im Kontext des Risikomanagements an der inter- nationalen Norm ISO 31000. Sie bewertet Risiken anhand ihrer Eintrittswahr- scheinlichkeit und Schadensschwere. Durch die Umsetzung der geplanten Maßnahmen wird die sichere Nutzung der „ePA für alle“ durch Praxen, Krankenhäuser, Apotheken sowie Patientinnen und Patienten ermöglicht.

Bianca Kastl

@bkastl@mastodon.social replied · 12 months ago

Ich übersetz mal: Die ePA in der Form ist für Geheimnisträger nicht sicher.

"Durch das vom CCC aufgezeigte Angriffsszenario ist grundsätzlich kein geziel-
ter Zugriff auf eine ePA einer bestimmten Person möglich."

Doch. Social Engineering mit einem Aufwand von 20 Minuten, zumindest wenn Zugriff auf Umfeld.

Auch nach den Fixes.
Und die Fixes wie Rate Limiting kommen erst warum? Ja, weil gezeigt wurde, dass massenhafter Zugriff möglich ist.
Sollte aber ohne sowas online gehen. Hm.

8. Werden durch die geplanten Maßnahmen gezielte Angriffe auf elektroni-
sche Patientenakten z. B. von Geheimnisträgern oder Personen des öf-
fentlichen Lebens nach Kenntnis der Bundesregierung verhindert?
9. Welche Maßnahmen bestehen nach Kenntnis der Bundesregierung
grundsätzlich, um gezielte Angriffe auf elektronische Patientenakten
z. B. von Geheimnisträgern oder Personen des öffentlichen Lebens zu
verhindern?
Die Fragen 8 und 9 werden gemeinsam beantwortet.
Durch das vom CCC aufgezeigte Angriffsszenario ist grundsätzlich kein geziel-
ter Zugriff auf eine ePA einer bestimmten Person möglich. Für einen gezielten
Angriff müssten weitere Angriffe auf personenbezogene Daten einer versicher-
ten Person erfolgen.
Grundsätzlich unterliegen alle personenbezogenen medizinischen Daten dem
gleichen sehr hohen Schutzbedarf. Das gilt auch für die Daten des angesproche-
nen Personenkreises. Durch die mit dem BSI abgestimmten Maßnahmen soll
sichergestellt werden, dass ein Zugriff auf eine ePA nur im Behandlungskontext
erfolgt. Die Anzahl neuer Befugnisse in einer ePA wird sinnvoll beschränkt,
und das aktive Erkennen von missbräuchlichen Handlungen gestärkt. Dies um-
fasst sowohl das Erkennen von Anomalien von Zugriffen auf das ePA-Akten-
system als auch beim Zugriff auf die TI. Weiterhin wird der Nachweis für den
Behandlungskontext gestärkt, indem individuelle Versichertenmerkmale Teil
des Nachweises werden. Diese Merkmale können nur aus einer vorliegenden
elektronischen Gesundheitskart — 8. Werden durch die geplanten Maßnahmen gezielte Angriffe auf elektroni- sche Patientenakten z. B. von Geheimnisträgern oder Personen des öf- fentlichen Lebens nach Kenntnis der Bundesregierung verhindert? 9. Welche Maßnahmen bestehen nach Kenntnis der Bundesregierung grundsätzlich, um gezielte Angriffe auf elektronische Patientenakten z. B. von Geheimnisträgern oder Personen des öffentlichen Lebens zu verhindern? Die Fragen 8 und 9 werden gemeinsam beantwortet. Durch das vom CCC aufgezeigte Angriffsszenario ist grundsätzlich kein geziel- ter Zugriff auf eine ePA einer bestimmten Person möglich. Für einen gezielten Angriff müssten weitere Angriffe auf personenbezogene Daten einer versicher- ten Person erfolgen. Grundsätzlich unterliegen alle personenbezogenen medizinischen Daten dem gleichen sehr hohen Schutzbedarf. Das gilt auch für die Daten des angesproche- nen Personenkreises. Durch die mit dem BSI abgestimmten Maßnahmen soll sichergestellt werden, dass ein Zugriff auf eine ePA nur im Behandlungskontext erfolgt. Die Anzahl neuer Befugnisse in einer ePA wird sinnvoll beschränkt, und das aktive Erkennen von missbräuchlichen Handlungen gestärkt. Dies um- fasst sowohl das Erkennen von Anomalien von Zugriffen auf das ePA-Akten- system als auch beim Zugriff auf die TI. Weiterhin wird der Nachweis für den Behandlungskontext gestärkt, indem individuelle Versichertenmerkmale Teil des Nachweises werden. Diese Merkmale können nur aus einer vorliegenden elektronischen Gesundheitskart

bonfire.cafe

A space for Bonfire maintainers and contributors to communicate

bonfire.cafe: About · Code of conduct · Privacy · Users · Instances

Bonfire social · 1.0.2-alpha.7 no JS en

Automatic federation enabled