29.12.2023 Gesundheitsdaten nur bedingt sicher

KIM = Kaos in der Medizin

Eigentlich sollte KIM ein sicherer E-Mail Service für die Medizin, also die Kommunikation zwischen Krankenkassen und Ärzten sein. Etwas ähnliches gibt es auch seit Jahren im Bereich der Justiz für Gerichte und Anwälte. Insofern handelt es sich nicht um die grandiosiste Innovation.

Trotzem ging es schief. Wie auf dem 37. CCC Kongress in Hamburg von dem Münsteraner Sicherheitsforscher Christoph Saatjohann vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Münster und Sebastian Schinzel berichtet wurde, haben insgesamt acht Krankenkassen durch die Gematik den gleichen S/MIME-Key erhalten. Sichere E-Mail beruht auf dem seit den 80-iger Jahren von Phil Zimmermann entwickelten Public-Private-Key Verfahren. In öffentlichen Einrichtungen geschieht das nach dem Standard X.509, während im privaten Umfeld Jede/r seine Schlüsselpaare selbst generieren kann.

Wenn jedoch die Zertifizierungsstellen (CAs) für verschiedene Akteure die gleichen Schlüssel verteilen, dann war es das mit der Sicherheit sensibler medizinischer Daten. Das ist der GAU in der PKI - der Public Key Infrastructure.

Laut den Sicherheitsforschern hatten, wie Heise.de schreibt, einmal drei Krankenkassen denselben im September 2021 ausgestellten Schlüssel, bei einem zweiten Schlüssel fünf. 28% der Bürgerinnen und Bürger seien über diese acht Krankenkassen versichert gewesen. Dieser Vorfall war nicht der erste mit KIM. 2022 wurde eine Log4J-Schwachstelle im KIM-Clientmodul von T-Systems gefunden.

Künftig werden die Schlüssel nun monatlich auf Dopplungen geprüft.

Mehr dazu bei https://www.heise.de/news/37C3-Schluessel-fuer-E-Mail-Dienst-KIM-fuer-das-Medizinwesen-mehrfach-vergeben-9583275.html
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3y7
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8633-20231229-gesundheitsdaten-nur-bedingt-sicher.html
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8633-20231229-gesundheitsdaten-nur-bedingt-sicher.html
Tags: #KIM #Gematik #Telekom #Scheinsicherheit #CCC #X.509 #Zertifizierungsstellen #doppelt #Keys #Schlüssel #Email #PP #GPG #Verbraucherdatenschutz #Datensicherheit #Datenpannen #Datenskandale #eGK #ePA #Datenverluste #Anwaltspostfach

15.08.2022 Das Video-Ident Verfahren ist kaputt

Eine Scheinsicherheit wird vorgegaukelt

Seit 2001 überschlagen sich die Regierungen der westlichen Staaten mit sogenannten "Sicherheitsgesetzen", die den "Terrorismus" abwehren sollen. Praktisch gehr es meistens um eine vollständigere Überwachung ihrer Bürger.

Seit fast 2 Jahren nehmen die Angebote für das Video-ident-Verfahren zu. Dabei wird zur Erteilung einer Kreditkarte oder bei Eröffnung eines Bankkontos verlangt, dass der Antragsteller seinen Ausweis oder Pass einscannt oder vor die Kamera hält und sich dann selbst vor die Kamera setzt.

Eine "intelligente" Software soll dann feststellen, dass Bild und Person identisch sind. Dieses Verfahren wurde auch seit einem Jahr für die Eröffnung einer elektronischen Patientenakte angewendet.

Nun hat der Chaos Computer Club (CCC) nachweisen können, dass man dieses Verfahren "mit Open-Source-Software sowie ein bisschen roter Aquarellfarbe" austricksen kann. Nach einer Mitteilung des Chaos Computer Club war es möglich verschiedenen Video-Ident-Verfahren zu täuschen.

Die Gematik als Betreiber der Infrastruktur im Gesundheitswesen hat daraufhin dieses Identifikationsverfahren eingestellt. Das war vernünftig und logisch. Doch was ist mit den anderen Anwender, vor allem den Banken?

Anfragen von netzpolitik.org an die Aufsichtsbehörden, ob auch ein Verbot von Video-Ident in Erwägung gezogen wird, brachten lediglich die Antwort:

"Hinweise auf Sicherheitsprobleme oder Schwachstellen in Bezug auf das Identifizierungsverfahren nehmen wir sehr ernst und überprüfen diese."

Mit dieser Antowrt sind sich Bundesnetzagentur (BNetzA) und die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) einig aber ein für die Sicherheit der Nutzer notwendiges Verbot dieses unsicheren Verfahrens ist bisher nicht erfolgt. Dabei könnte das vom BSI empholene und bisher(!) sichere Verfahren mittels der Online-Ausweisfunktion des Personalausweises mit einem Verbot von Video-Ident sogar gepusht werden.

PS. „Rohrkrepierer“ nennt der CCC die Online-Ausweisfunktion des Personalausweises weil kaum jemand sie nutzt ... Selbst der Aktivierungszwang der eID-Funktion vor mehr als einem Jahr hat nicht den Durchbruch gebracht.

Mehr dazu bei https://netzpolitik.org/2022/video-ident-eingestuerzte-brueckentechnologie/
Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/3p9
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/8113-20220815-das-video-ident-verfahren-ist-kaputt.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/8113-20220815-das-video-ident-verfahren-ist-kaputt.htm
Tags: #Video-IdentVerfahren #Scheinsicherheit #CCC #Hack #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #Datenskandale #ePerso #eID-Funktion #eGK #ePA #Banken #Kreditkarten