ePA mit schweren Sicherheitslücken

Unberechtigter Zugriff in 10-20 Minuten

74 Millionen gesetzlich Versicherte sollen in den nächsten Wochen eine "elektronische Patientenakte" (ePA) bekommen, wenn sie nicht bis zum 1. Februar diesem Ansinnen widersprochen haben. Wir von Aktion Freiheit statt Angst e.V. warnen schon seit Jahren vor dieser Datenkrake. Die weniger als 10 Millionen Privatversicherten dürfen, privilegiert wie immer, zunächst noch von außen zuschauen, bevor auch ihnen eine ePA übergeholfen werden soll.

Auch wir würden einen sinnvollen Datenaustausch zwischen verschiedenen Ärzten begrüßen und gern Doppeluntersuchungen vermeiden helfen. Doch wir sehen in diesem Datenmoloch unter dem Management der Gematik nicht die Lösung unserer Probleme in der Gesundheitsversorgung.

Nun zeigt sich, dass auch die Gematik mit den Schwierigkeiten nicht zurecht kommt. Die ePA wird deshalb (glücklicherweise) nicht zum Jahresanfang für alle angelegt, da diese zunächst nur in den "Modellregionen" Hamburg und Franken gestartet wird.

"Der Datenschutz und die Datensicherheit waren uns zu jedem Zeitpunkt der Einführung das wichtigste Anliegen" betonte Gesundheitsminister Lauterbach immer wieder. Doch nun zeigt sich, dass es damit - wie bei jeder zentralen Datensammlung mit Zehntausenden von Zugangsberechtigten - nicht weit her sein kann.

Die Sicherheitsexpert:innen Bianca Kastl und Martin Tschirsich zeigten nun auf dem 38. Chaos Communication Congress in Hamburg, dass sich Dritte mit geringem Aufwand (10-20 Minuten) und gleich auf mehreren Wegen Zugang zu den in jeder beliebigen ePA hinterlegten Gesundheitsdaten verschaffen können, wie Netzpolitik.org schreibt.

Den Beiden war es gelungen, an gültige Heilberufs- und Praxisausweise sowie an Gesundheitskarten von dritten Personen zu gelangen. So etwas ist bei Zehntausenden von Zugangsberechtigten jederzeit durch Mängel in den Ausgabeprozessen, bei den Kartenherausgeberportalen sowie in der praktischen Kartenhandhabung im Alltag möglich. Wir alle kennen von Arztbesuchen oder Krankenhausaufenthalten den Zeitdruck für die dort Beschäftigten, der immer wieder dazu führt, dass rechtlich Befugte ihre Arbeit "mal schnell" durch andere erledigen lassen. 

Zugriff auf 1000 Akten

In der Praxis führt das dazu, dass durch einen einzelnen kompromittierten Praxiszugang der Zugriff auf durchschnittlich rund 1.000 Patient:innen-Akten möglich wird. Bei einer Zahl von 74 Millionen Akten sollte man eigentlich annehmen, dass die Sicherheitsvorkehrungen bei der flächendeckenden ePA erhöht werden. Doch das Gegenteil ist der Fall, um die Arbeit mit der ePA für Ärzte und Gesundheitspersonal überhaupt durchführbar zu machen.

Während bisher alle Versicherten, die bisher freiwillig eine ePA nutzten, eine PIN - ähnlich wie bei einer Bankkarte - benötigten, fällt diese Sicherheitsvorkehrung bei der kommenden ePA-Version 3.0 weg. Auch eine bisherige Beschränkung des Fernzugriffs auf die ePA wird aufgeweicht. Netzpolitik.org berichtet von den Vorträgen beim 38C3, dass "der Angriff über den Versichertenstammdatendienst (VSDD) leichter wird, weil die Ausweisnummer der elektronischen Gesundheitskarte – die Integrated Circuit Card Serial Number (ICCSN) – unsigniert und ohne Sicherheitsschlüssel an den VSDD übermittelt wird. Die ICCSN reiche aus, um die Gesundheitsdaten beliebiger Versicherter einzusehen. Die Zahlenfolge lässt sich zudem beliebig manipulieren, weil sie fortlaufend vergeben wird."

Noch einmal ein Zitat von Netzpolitik.org: "Noch im Juni hatte der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber davor gewarnt, dass bei der ePA die Sicherheitsstandards gesenkt worden waren." Dem ist nichts mehr hinzuzufügen ... außer die weiteren Sicherheitslücken, die bisher vielleicht nicht so offensichtlich ins Auge gefallen sind.

Mehr dazu bei https://netzpolitik.org/2024/chaos-communication-congress-das-narrativ-der-sicheren-elektronischen-patientenakte-ist-nicht-mehr-zu-halten/ und https://www.rnd.de/wirtschaft/elektronische-patientenakte-offenbart-schwere-sicherheitsluecken-doch-besser-widersprechen-KCCWIEJDOBGFVPCCHMWI5SNPB4.html

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3EJ Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/9017-20250103-epa-mit-schweren-sicherheitsluecken.html

IT-Sicherheitsrichtlinien: Schlüssel zur Risikominderung

In der heutigen digitalen Welt sind Unternehmen zunehmend den Bedrohungen durch Cyberangriffe ausgesetzt. IT-Sicherheitsrichtlinien spielen eine entscheidende Rolle bei der Risikominderung und dem Schutz sensibler Daten. Diese Richtlinien helfen nicht nur, Sicherheitslücken zu identifizieren, sondern auch, die Verantwortung für den Schutz von Informationen klar zu definieren und zu kommunizieren.…

Schock: Passagier schmuggelt Waffe an Bord eines Carnival-Kreuzfahrtschiffs

In einem beunruhigenden Vorfall hat eine Passagierin der Carnival Cruise Line offenbart, dass es ihr gelungen ist, eine Schusswaffe an Bord eines Kreuzfahrtschiffs zu schmuggeln. Kendra Gordon aus Bradenton, Florida, teilte ein Video in den sozialen Medien, in dem sie die Waffe zeigt, die den Sicherheitschecks unbemerkt entgangen war. Das Video, das schnell viral ging, sorgte für erhebliche…

Cybercrime und White-Hat-Hacking

Rechtsbelehrung-Podcast #119 vom 27.09.2923 Die grundlegende rechtliche Prämisse ist vergleichsweise simpel: Hacker, die böswillig handeln, begehen strafbare Handlungen, während Hacker, die im Auftrag von Systeminhabern oder im Interesse der Systemsicherheit agieren, straffrei bleiben. Continue reading Untitled

View On WordPress

WordPress Update auf Version 6.5 am Dienstag, 2. April 2024 erschienen

Seit Dienstag, den 2. April 2024 steht das WordPress Update auf die Version 6.5 zum Download zur Verfügung. Das WordPress Update behebt 263 Fehler und enthält zahlreiche Neuerungen und Verbesserungen.

Wir empfehlen daher die zeitnahe Installation des WordPress Updates und weisen zudem noch einmal darauf hin, dass durch Updates wichtige Sicherheitslücken geschlossen werden und somit Fehler in WordPress selbst behoben werden. Vor allem das Schließen von Sicherheitslücken steht immer im Fokus der Entwickler des WordPress CMS, wobei die Sicherheit beziehungsweise die Datensicherheit Ihrer WordPress Website auch im Sinne Ihrer Websitebesucher ist.

Bedenken Sie auch die Wichtigkeit des WordPress Updates im Bezug auf die Datenschutzgrundverordnung (DSGVO) und somit auch Ihrer Haftung gegenüber den Besuchern Ihrer Website bezüglich der gespeicherten und genutzten Daten.

Das WordPress Update wurde nach der am Samstag, den 6. August 1966 in Detroit (USA) geborenen und am Mittwoch, den 26. Dezember 2018 in verstorbenen Violinistin Regina Carter benannt.

Die Releasenote im Original (englische Sprache) können Sie auf https://wordpress.org/news/2024/04/regina/ einsehen.

Die deutsche Version der Releasenote können Sie auf https://de.wordpress.org/2024/04/wordpress-6-5-regina/ einsehen.

Alle Fehlerkorrekturen, Neuerungen und Verbesserungen des WordPress Cores können Sie auf https://core.trac.wordpress.org/query?milestone=6.5 einsehen.

Die Fehlerkorrekturen, Neuerungen und Verbesserungen des „Gutenberg“ Block-Editors können Sie auf https://github.com/WordPress/gutenberg/commits/wp/6.5 einsehen.

Erfahren Sie mehr über dieses WordPress-Update in unserem News Blog auf https://seoboxx-webdesign.de/blog-news/ oder lesen Sie den vollständigen Artikel auf https://seoboxx-webdesign.de/blog-news/wordpress/wordpress-update-auf-version-6-5-regina-am-Dienstag-2-April-2024-erschienen-vollversion

Sicherheitslücken in Atlassian-Software: Risiken und Maßnahmen

Sicherheitslücken in Atlassian-Software: Risiken und Maßnahmen: https://www.it-boltwise.de/sicherheitsluecken-in-atlassian-software-risiken-und-massnahmen.html

Die Generalstaatsanwaltschaft Frankfurt am Main – Zentralstelle zur Bekämpfung der Internetkriminalität (ZIT) – und das Bundeskriminalamt (BKA) sind im Zeitraum vom 28.-30.01.2025 gemeinsam mit Strafverfolgungsbehörden aus den USA, Australien, Spanien, Griechenland, Rumänien, Italien und Frankreich gegen die beiden größten Handelsplattformen für Cybercrime im Internet vorgegangen. Hierbei handelte es sich um die Webseiten „nulled.to“ und „cracked.io“, die als Foren für Cybercrime-Dienstleistungen aufgebaut waren und damit wichtige Einstiegspunkte in die als „Underground Economy“ bezeichnete Schattenwirtschaft des Phänomenbereichs Cybercrime darstellten. Im Rahmen der international abgestimmten Operation „Talent“ unter Führung der deutschen Behörden und Beteiligung von Europol wurden insgesamt sieben Durchsuchungsmaßnahmen durchgeführt, 67 Geräte, darunter 17 Server, zwölf Accounts und zwölf kriminell genutzte Domains in zehn Ländern beschlagnahmt sowie die Plattformen abgeschaltet. Zudem wurden ein Zahlungsdienstleister sowie ein Hosting-Dienst vom Netz genommen, die unmittelbar zum Wirtschaftsgeflecht der Plattformen gehörten. Die Webseiten „nulled.to“ und „cracked.io“ waren seit 2015 bzw. 2018 mit jeweils rund fünf Millionen registrierten Nutzerkonten die beiden größten Handelsplattformen der Underground Economy im Internet. Die Plattformen waren durch gleiche Administratoren miteinander verbunden, was sich in einem ähnlichen technischen und strukturellen Aufbau zeigte. Beide Webseiten waren als Forum organisiert, auf dem kriminelle Angebote in den Kategorien DDoS (Distributed-Denial-of-Service), Malware, Cracking- & Hackingtools oder Leaks geschaltet und abgerufen werden konnten. Häufig gehandelt wurden beispielsweise Programme, die für die Vorbereitung oder Durchführung von Hacking-Angriffen oder für die Veröffentlichung ausgespähter Daten von Institutionen und Unternehmen verwendet werden können. Zusätzlich boten diese Foren KI-basierte Tools und Skripte an, die automatisiert Sicherheitslücken aufspüren oder Angriffe optimieren konnten. Zudem wurden auch Phishing-Techniken geteilt, bei denen KI zur Erstellung personalisierter Nachrichten eingesetzt wurde. Mit dem Betrieb der beiden Plattformen setzten die Beschuldigten zuletzt mehr als eine Million Euro jährlich um. Im Zuge der seit März 2024 laufenden Ermittlungen wurden insgesamt acht Personen identifiziert, die unmittelbar am Betrieb der kriminellen Handelsplattformen mitgewirkt haben sollen, darunter zwei deutsche Staatsbürger im Alter von 29 und 32 Jahren mit Lebensmittelpunkt in dem Kreis Segeberg (Schleswig-Holstein) und in Valencia (Spanien). Gegen die beiden deutschen Beschuldigten besteht der Verdacht des gewerbsm��ßigen Betreibens krimineller Handelsplattformen im Internet gemäß § 127 des Strafgesetzbuches, der für den Fall einer Verurteilung eine Freiheitsstrafe von sechs Monaten bis zu zehn Jahren vorsieht. Die weiteren Beschuldigten, eine Frau im Alter von 27 Jahren sowie Männer im Alter von 21 bis 29 Jahren, werden sich in Verfahren der amerikanischen, spanischen, griechischen und italienischen Strafverfolgungsbehörden nach dortigem Recht verantworten müssen. Insgesamt wurden zwei Personen, darunter ein deutscher Staatsbürger, festgenommen. Zudem konnten Vermögenswerte im mittleren sechsstelligen Bereich gesichert werden. Im Zuge der Maßnahmen der Strafverfolgungsbehörden wurden auch die IT-Infrastrukturen der kriminellen Plattformen sichergestellt. Die sichergestellten Daten wie E-Mail-Adressen, IP-Adressen und Kommunikationsverläufe der rund 10 Millionen registrierten Nutzerkonten sind Grundlage für weitere internationale Ermittlungen gegen kriminelle Verkäufer und Nutzer der Plattformen. Weitere Informationen zur Operation Talent sind unter folgendem Link auf der BKA-Webseite abrufbar: www.bka.de/nulled-cracked Auf den Webseiten der sichergestellten Dienste wurde das nachfolgende Sicherstellungsbanner veröffentlicht: Read the full article

Seit 40 Tagen "ePA für alle"

Widersprüche liegen unter 5% Hürde

Für die elf AOKs wurden bereits knapp 26,4 Millionen ePAs angelegt, meldet der Bundesverband der AOK. Ähnlich hohe Zahlen sind bei den anderen Krankenkassen zu erwarten. Insgesamt wurden 69.895.552 elektronische Patientenakten (ePA) für alle gesetzlich Versicherten mit Stand 7. Februar 2025 angelegt. Die Widersprüche gegen eine ePA liegen im Durchschnitt bei 3,8 Prozent.

Also alles paletti?

Da in den meisten ePAs nichts drin steht, gab es dort auch keine Probleme ;-)

Das Deutsche Ärzteblatt berichtet von Problemen beim ePA-Aktensystem von IBM.

An der Schnittstelle zwischen Praxisverwaltungssystem und dem ePA-System sieht der AOK-Bundesverband Probleme.

Die beiden Aktensysteme von IBM und RISE scheinen nicht interoperabel zu sein und würden sich sehr unterschiedlich verhalten.

Die bundesweite Inbetriebnahme soll im April starten, wenn bis dahin die bekannt gewordenen Sicherheitslücken geschlossen sind.

In den Modellregionen Hamburg und Franken ist das Berechtigungskonzept zur Zeit durch eine "Whitelist" ersetzt. Damit können alle Ärzte dort auf alle ePAs in dieser Region (? oder alle 69 Millionen?) zugreifen.

Versicherte, die auf ihre ePA schauen wollen, benötigen die App, eine PIN für ihren elektronischen Personalausweis oder für ihre elektronische Gesundheitskarte sowie ein Kartenlesegerät, welches auch ein NFC-fähiges Smartphone sein kann.

Dann müssen sie sich eine GesundheitsID erstellen lassen, was bisher von den 69 Millionen nur 2,2 Millionen Versicherte gemacht haben.

"Endlich kostenloser Speicher für alle"

Also 2,2 Millionen können schon in ihre noch leere ePA schauen. Die muss aber nicht leer bleiben, denn in die ePA-Cloud kann jede/r Versicherte beliebig viele Dokumente hochladen. Dabei darf jede Datei maximal 25 MByte groß sein. Das hat "@TheDoctor512" ausprobiert und insgesamt 1 TByte an Daten in seiner elektronischen Patientenakte gespeichert, wie er auf Mastodon schrieb.

Ob seine Daten auf diesem nur scheinbar "kostenlosen" Speicher sicher sind, muss Jede/r selbst einschätzen, denn neben den Ärzten können die Daten in der ePA pseudonymisiert auch von der Forschung und den Pharma-Konzernen genutzt werden ...

Mehr dazu bei https://www.heise.de/news/Elektronische-Patientenakte-Fast-alle-gesetzlich-Versicherten-haben-eine-10272717.html

Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3Fo Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/9055-20250209-seit-40-tagen-epa-fuer-alle.html

Automatisierung im Risikomanagement: Effizienz und Sicherheit

In der heutigen schnelllebigen Geschäftswelt ist das Risikomanagement entscheidend für den langfristigen Erfolg von Unternehmen. Die zunehmende Komplexität der Märkte und die Vielzahl möglicher Risiken erfordern innovative Ansätze zur Risikobewertung und -bewältigung. Die Automatisierung von Prozessen im Risikomanagement stellt eine Lösung dar, die sowohl Effizienz als auch Sicherheit erhöht. In…

Windows 10 Auslaufdatum naht: Warum Sie JETZT auf 11 umsteigen müssen!

Im Januar 2025 nutzen in Deutschland immer noch 62,3 % der Windows-Nutzer Windows 10, während 35,2 % bereits auf Windows 11 umgestiegen sind. Diese Zahlen verdeutlichen, dass viele Anwender ein Betriebssystem nutzen, dessen Support bald eingestellt wird. Microsoft hat angekündigt, dass Windows 10 ab Oktober 2025 keine Sicherheitsupdates mehr erhält. Dies birgt ein erhebliches IT-Sicherheitsrisiko, da ohne regelmäßige Updates Sicherheitslücken nicht geschlossen werden und Geräte anfällig für Cyberangriffe werden. Read the full article

In Deutschland arbeiten immer noch rund 32 Millionen Computer mit Windows 10 als Betriebssystem – sehr viele davon auch in Unternehmen. Das Support-Ende naht mit schnellen Schritten und es bleibt danach nur der erweiterte, kostenpflichtigen Support für Windows 10 oder sicherer: der Umstieg auch ein neues System wie Windows 11.  Droht Deutschland in wenigen Monaten ein Security-GAU? 32 Millionen Windows-Computer laufen in Deutschland immer noch unter dem Betriebssystem Windows 10. Viele davon arbeiten auch in deutschen Unternehmen. Das Support-Ende für das bald zehn Jahre alte System ist für den 14. Oktober 2025 angekündigt. Die Experten von ESET raten dringend den Umstieg zu planen auf Windows 11 umzusteigen oder ein alternatives Betriebssystem. Andernfalls setzen sich Unternehmen erheblichen Sicherheitsrisiken aus und machen sich anfällig für gefährliche Cyberangriffe und Datenverluste. Unternehmen sollten frühzeitig den Umstieg planen. Eine Verlängerung des Supports ist zwar möglich, aber auch sehr kostspielig. Die Geräte einfach weiterlaufen zu lassen wäre grob fahrlässig. Gerade veraltete Systeme sind anfälliger für Cyberangriffe. Schlimmstenfalls sind diese Computer der Ausgangspunkt für Datenverluste, Spionage- und Ransomware-Attacken. Im Schadensfall können Versicherungen sogar die Regulierung verweigern, da der Stand der Technik nicht eingehalten wurde. Gefährlichere Situation als beim Ende von Windows 7 Laut ESET ist die Situation gefährlicher als beim Support-Ende von Windows 7 Anfang 2020. Cyberkriminelle kennen diese Zahlen sehr genau und warten nur auf den Tag des Support-Endes. Derzeit veröffentlicht Microsoft noch regelmäßig Sicherheitsupdates für Windows 10. Am 14.10.2025 ist jedoch Schluss damit. Neu entdeckte Sicherheitslücken werden nicht mehr geschlossen. Dies macht die Geräte anfälliger für Malware und Cyberangriffe. Ohne Updates fällt Kriminellen der Angriff leichter. Microsoft hat angekündigt, dass es einen erweiterten, kostenpflichtigen Support für Windows 10 geben wird. Im Unternehmensbereich sind gerade veraltete Systeme ein Hauptziel für Cyberkriminelle. Daher sollten die Verantwortlichen frühzeitig den Umstieg planen. Neben Gefahren wie Datenverlust, Spionage- sowie kostspieligen Ransomware-Angriffen drohen zudem Kompatibilitätsprobleme mit moderner Soft- und Hardware, was die Produktivität beeinträchtigt. Unternehmen riskieren auch Verstö��e gegen geltende Datenschutzbestimmungen, was rechtliche Konsequenzen und einen Vertrauensverlust bei Kunden nach sich ziehen kann.     Passende Artikel zum Thema Read the full article