News Elektronischen Patientenakten: Hacker finden erneut Sicherheitslücken in der ePA

[cookie_dent]

Als das Ganze 2005 begonnen wurde, war die Verbreitung anderer digitaler Systeme noch nicht so groß. Es wäre aber allemal schlau gewesen eine europäische Lösung anzustreben.

Tja, wie bei anderen Großprojekten auch.
Deutschland will immer alles superduper machen, setzt sich selbst viel zu hohe Ziel (was natürlich Ewigkeiten braucht), schafft unüberschaubare Strukturen (weil ja jeder mitreden will), setzt dann das falsche Personal ein und wird am Ende von anderen überholt.

 

[Casillas]

Dann haben deine Patienten viel Glück mit dir.

Beispiel aus meinem Leben (lückenlos mit Artzbriefen nachweisbar):

Wurde im Vorgespräch mit einer bereits aus vorherigen Terminen bekannten Oberärztin zur Neudiagnostik aufgrund Verschlechterung einbestellt. Die war am Termin nicht da. Der mir vorgesetzte Assistenzarzt hatte sich nicht mit beschäftigt und war völlig ahnungslos.

Da er mich persönlich scheinbar nicht mochte, hat er mir meine komplette Krankheitsgeschichte und Symptome abgesprochen (trotz mehrjähriger Vorbehandlung in selbiger Klinik), fast alle Untersuchungen für den Tag abgesagt (hab ja nur Monate drauf gewartet) und bullshit in den Befund geschrieben. Trotz Beschwerde an die Oberärztin und co ist nichts passiert und dieser Befund hat jetzt im System Bestand.

Jetzt erst gelesen, was dir da passiert ist. Ja da gibts natürlich keine Entschuldigung für. Es gibt halt Arschlöcher überall und Fehler allg. werden leider auch überall gemacht. Da können Ärzte sich nicht von ausnehmen. Obwohl es da natürlich eigentlich nicht passieren sollte.

Also meiner Erfahrung nach (schau allein mal meine Beiträge hier im Thema) tut es das halt nicht. Das war vielleicht früher mal so. Inzwischen wird dir in der Regel ein unerfahrener Assistenzarzt vor die Nase gesetzt (kann man schon froh sein, wenn der halbwegs Deutsch spricht). Und der hat sich gar nix angeguckt. Meine letzten Uni-Arztbriefe (auch aus verschiedenen Fachbereichen) waren quasi alle fehlerhaft. Auf Korrekturbitte reagiert niemand. Wenn du sowas dann in der EPA hast und jede Vorzimmerdame alles abrufen kann, herzlichen Glückwunsch

Da muss ich dir leider recht geben. Selbst auch schon (mich betreffend) erlebt und auch meine Frau wurde seiner Zeit so ins kalte Wasser geworfen. Bei ihrem ersten Arbeitgeber war es sogar so, dass es gar keine Fachärzte (also in dem Sinne "fertig" ausgebildete Ärzte) gab, weil die nach der Ausbildung gleich entlassen wurden. Ist halt für das Haus günstiger nur mit Assistenzärzten und Oberärzten zu arbeiten. Ich könnte da noch so viel erzählen, aber das führt zu weit.

Ein Stück mehr gegenseitiges Verständnis wäre im Gesundheitssystem generell schon mal eine sehr große Hilfe.

Mann sollte die allg Probleme im Gesundheitssystem jetzt auch nicht mit dem Thema der ePA vermengen.

Dein Ton ist eher das Problem

Ja naja. Ich habe ihm ja eine Entschuldigung angeboten. Allerdings sehe ich den Ton eher von Helge gesetzt.

Mit seiner Aussage:

Eine Uniklinik ist wie hier das Forum eine Bubble und hat mit der Realität wenig zu tun.

setzt er ja einen gewissen Ton. Sehe den Zusammenhang auch nicht, die so eine Aussage rechtfertig.
Die Unikliniken stellen immerhin einen wesentlichen Teil der Gesundheitsversorgung. Alle Ärzte und ein Großteil sonstiger Fachkräfte in der Gesundheitsversorgung werden dort ausgebildet.


@Vigilant
Ich muss zugeben, dass die positive Entwicklung betreffend der Krankenkassenanzahl mir nicht bewusst war. Allerdings verstehe ich auch nicht, warum die eine Bürgerversicherung nun das Bürokratiemonster schlecht hin werden sollte? Das ist doch eins der Probleme, dass gerade die niedergelassenen Ärzte sich im Zweifel mit jeder Krankenkasse auseinander setzen muss. Bzw. sehe ich den Vorteil von 94 Krankenkassen vs einer die für alle gilt einfach nicht.

 

[Vigilant]

Das ist doch eins der Probleme, dass gerade die niedergelassenen Ärzte sich im Zweifel mit jeder Krankenkasse auseinander setzen muss. Bzw. sehe ich den Vorteil von 94 Krankenkassen vs einer die für alle gilt einfach nicht.

Hinsichtlich einheitlicher Strukturen und Ansprechpartner hätte das sicherlich Vorteile und könnte einen Gewinn darstellen. Da würde ich dir recht geben.

Weil aber die Umstellung auf eine Bürgerversicherung ein mittel- bis langfristiger Prozess wäre, hat man während der Transformation kaum Vorteile. Evtl. aufgrund der "Reibungsverluste" vorübergehend Nachteile.

Das könnte man angehen, dürfte aber nicht einzige Maßnahme sein, sondern eingebettet in mehrere andere, bzw. in einem Gesamtkonzept, das gut aufeinander abgestimmt ist. Sonst wird das wieder nur Flickwerk.

 

[Piktogramm]

@cookie_dent
"Superduper" war garnich so das Ziel. Die Hoheit über die Gematik lag anfangs bei der Wirtschaft und deren Interessen schlagen sich deutlich nieder. Es sollte möglichst wirtschaftsnah sein, damit Wettbewerb entsteht. Real kosten aber alle Leistungen aller Anbieter genau so viel, wie der Förderhöchstbetrag an Erstattung verspricht. Ebenso ist die Pflicht zur Dokumentation/Support, einheitlicher Datenformate/APIs so mies, dass es praktisch keinen Wettbewerb gibt. Die Anbieter für Praxisverwaltungssoftware sichern Support im Regelfall nur für einen Dienstleister zu, sodass man als Praxis keine Auswahl hat und es keinen Wettbewerb geben kann. Wieso auch, Wettbewerb ist immer schlecht für die Marge.

Da kommen dann solche Späße raus, dass es 1jährige Zertifikatsverlängerungen für 300€ gibt und Dienstleister sich damit rühmen das auch für 100€ zzgl. Installation anzubieten. Weil Zertifikate erstellen muss man sich gut bezahle lassen und die Installation mit viel Klickerei in 15min[1] ist auch ganz sicher 99€ wert. Undenkbar, dass das einbinden eines Zertifikats einfach ein scheiß Script macht..

[1] 10min gehen drauf, weil es zwei Neustarts der Konnektoren braucht, ein Neustart aber einfach mal 5Minuten dauert. Die verbaute Hardware ist irgendwo zwischen Raspi 1 und 2, kostete aber >600€
Edit: Mitunter braucht es drei Neustarts, an der Stelle muss man meist auch die TSL Certs wechseln für die Kommunikation zwischen Konnektor und Anwendungen. Um ein neues Cert zu erstellen und einzubinden brauchen die Kisten halt einen Neustart, weil einfach nur den entsprechenden Service neustarten, damit das neue Cert eingebunden ist wäre ja Hexenwerk.

 

[Misdemeanor]

Das kommt daher, weil die Bundesregierung den CCC wohl intern als "Chaos Clown Club" zu bezeichnen scheint, statt diesen als ernstzunehmendes Gremium von Sicherheitsexperten anzusehen. Traurig, aber wahr, denn es wurde erneut viel Geld investiert und die Lösung abermals in kürzester Zeit kompromittiert. Einmal mit Profis ... aber das klappte schon bei der Post nicht, bei der Bahn nicht, bei der Digitalisierung im Allgemeinen nicht und so hängt sich Deutschland mehr und mehr selbst ab.

 

[Mensch_lein]

Wenn der Oberclown einem anderen Clown sagt... muss das zu denken geben.

 

[Snapuman]

Die implementierte Kryptografie ist im Großen und Ganzen in Ordnung. Im Regelfall liegen Konnektor, Kartenterminal und Software auch allerhand Erklärungen bei, dass da Bibliothek XY unter Lizenz Z Verwendung findet.
Die Handhabe von Schlüsseln, Autoritäten, Identitäten, Hashes, Cipher ist oftmals vom Konzept her unter aller Sau.

Zugegeben, bei einigen von der Gematik zugelassenen Softwarelösungen ist dann auch die Implementierung gruselig, aber Imho gibt es da auch ein paar Regelungslücken.

Naja sauber implementieren im Sinne "funktioniert sauber/gut, WENN es benützt werden würde" aber dann nicht benutzt wird, ist für meine Begriffe trotzdem keine "saubere Implementierung"... (das meinte ich)

Linus Neumann - 00:19:14
In dem Fall dann der, der nebenan abgegeben wurde von dem Boten,der da war, um das persönlich an die Ärztin zu übergeben. Also damit ist quasi der erste Schritt gelungen, sich so eine SMCB problemlos zu holen oder mit geringem Aufwand zu holen, um erstmal grundsätzlich in der Lage zu sein, auf die EPA überhaupt zuzugreifen mit der Rolle Arzt, Ärztin, Praxis. Und jetzt geht es aber weiter, jetzt würde man ja sagen, naja, okay, jetzt muss ja immer noch jemanden dazu bringen, dir deine Karte da reinzustecken, damit du dessen oder deren Daten auslesen kannst. Und diese Karten haben kryptografische Identitäten, also natürlich, deswegen macht man die, da ist der kleine goldene Chip drauf. Die werden aber bei dem Zugangsrechtemanagement auf diese EPA nicht angewendet. Zu einem völlig, mir absolut, also erstens nicht erklärbar und zweitens auch nicht entschuldbar, brauchst du im Prinzip für die Zugriffsberechtigung, brauchst du [nur] die versicherten Nummer einer Person, und die Kartennummer. Und die Kartennummer ist aus einem ebenfalls mir völlig unklaren, also das ist im Prinzip eine interne Nummer der Karte. Die sind einfach fortlaufend. Das heißt, wenn du jetzt eine Kartennummer hast und erhöhst die um eins, dann hast du die nächste Kartennummer.

Ich bin jetzt aber auch kein krypto oder security "Experte", mag sein dass das eine Frage der exakten Begriffsdefinition von "implementieren" ist - das überlass ich gerne euch "Freaks/Profis/Auskennern" ^^
Danke übrigens für deine ausführlichen Statements hier dazu!

Wie du selbst auch geschrieben hast - sie schaffen es ja offensichtlich nicht mal Credentlials, wo sie wissen dass die seit über einem Jahr kompromitiert sind, zu revoken. Das ist einfach nur erbärmlich...

 

[Piktogramm]

@Andy

Bei jeder Meldung zur Gematik, Telematikinfrastruktur muss man eigentlich darauf verweisen, dass die Gematik u.a. Vorstände hatten (hier: Prof. Dr. Arno Elmer) die sich damit rühmen sich im "Cyber-Schnick-Schnack-Schnuck" [sic] auszukennen und Security Hardliner in der Gematik GmbH gekündigt zu habenDer Herr wirft der anwesenden Bianka Kastl vor, dass ihre Einstellung zur IT-Sicherheit Menschen töten würde:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

ja vielen Dank also man hat mich heute
glaube ich mal ganz kurz schon gesehen
mein Name ist Manuel ma ich bin
ehemaliger Geschäftsführer der gematik
winziges Detail also ich kenne mich mit
dem Thema Datenschutz und
Datensicherheit und Cyber
stickschnack-schnuck ziemlich gut aus
ich war stolz darauf jetzt kommt was tut
mir leid aber ich glaube mit Eddi
neubauwissen einig also ich habe damals
relativ schnell viele wie sie aus der
gematik die haben mich freiwillig
gekündigt
der mich freiwillig gekündigt weil die
gematik nicht vorwärts kam mit diesem es
gibt nur die 100% Sicherheit oder sonst
was so ein Blödsinn wegen Menschen wie
ihnen nehmen Sie es mal gerade ganz kurz
aus tiefstem Herzen wegen Menschen die
ihnen sterben die gematik läuft seit 20
Jahren nicht seit zehn seit 20 Jahren
die Menschen wie ihnen die sind in
Hardcore 100,0 Prozent Germany
Engineering plus German Angst Leeds zu
germanio Germania seroport wegen
Menschen ähnlich wie Sie vielleicht
nicht ganz aber sterben Menschen
sterben Menschen
ich bin mit meiner Meinung ganz kurz ich
bin mit meiner ich lehre ich lehre seit
mehr als zehn Jahren IT-Sicherheit und
sowas verdammte Axt wir kommen so nicht
weiter gehen Sie mal ganz tief in sich
es gibt nicht digital binär an und aus
deswegen kommen wir nicht weiter die
Welt lacht sie haben recht es gibt
Sicherheitssysteme wir können Banking
nehmen da ist das angriffspotenzial da
ist die Kohle da ist die
Kreditkartennummer flugdrohnen Militär
glauben Sie mir eins die sind sicher
geschützt sonst wird die Bombe woanders
abgeladen nein aber dieses dogmatische
dieses dogmatische Schrägstrich
nerd-mäßige 100,0 sonst geht gar nichts
führt zu gar nichts vielen Dank

Transskript übernommen von: https://www.heise.de/forum/heise-on...t-hinaus-werfen-sollen/posting-41703041/show/

Kontext, ist sooo wichtig.

 

[Restart001]

Das Script ließt sich SHIT!

 

[Nuklon]

Und die TI hat an der Stelle mehrere Mängel. Zum einen wäre es durchaus denkbar, dass es abgestufte Rechte gibt. Sodass Behandler in der Notaufnahme erweiterte Rechte bekommen, deren Zugriff aber ebenso dokumentiert gehört. Ebenso wäre es sinnvoll, wenn die Patientendaten strukturiert, maschinenlesbar abgebildet wären statt als PDF/A etc. pp.
Und der Anwendungsfall Vollmachten über die ePA/eRezept etc. zu hinterlegen, sodass man als pflegende Person gescheit mitarbeiten kann ist sowieso eine Katastrophe.


Ein Hack bleibt ein Hack, auch wenn "nur" das Sicherheitskonzept von "Wir hoffen, dass Niemand an ein Sicherheitsmerkmal kommt, welches wir hunderttausendfach im Land verteilen." unterlaufen wird.
Zudem es etwas wahnsinnig ist, die SMB-C Karte die da zum Einsatz kommt ist seit über einem Jahr in der Verfügung von Mitgliedern des CCC. Das es die Pfuscherbanden rund um die Gematik nicht schaffen das Zertifikat der SMB-C Karte zu invalidieren ist wenn überhaupt ein weiterer Kritikpunkt am ganzen System.
Ganz abgesehen davon, wenn es reicht mir auf Ebay irgendwas zu kaufen und damit Credentials zu erhalten um ein Sicherheitssystem zu unterlaufen, dann wird das Sicherheitsaudit erfolgreich abgeschlossen, als "durchgefallen" mit dem Hinweis, dass das ganze Sicherheitskonzept gravierende Mängel hat.


Die Gesundheitskartennummern der Patienten sind fortlaufend, das Generieren diese ist damit unterkomplex. Fortlaufende IDs als Sicherheitsmerkmal sind in den meisten Fällen ein Garant dafür ein Sicherheitsaudit nicht zu schaffen.

Öffentlich einsehbare Versichertennummer sind kein Sicherheitsmerkmal, zudem der Zahlenraum unzureichend klein ist.

HashCheckValue, es wurde nachgewiesen, dass dieser via KIM abrufbar ist. Wobei KIM zugänglich wird, wenn man Verfügung über eine aktive SMC-B Karte erlangen kann.

Insofern gibst du nur die Position der Gematik wieder, die fröhlich angibt, dass da irgendwas sichernde Wirkung hat, nachdem gezeigt wurde, wie diese Parameter keinen wirksamen Schutz darstellen.

Die TI ist als Vertrauensraum definiert. Wer rein kommt wurde als Vertrauenswürdig eingestuft. Das ist deren Logik. Abgeschottetes Netz mit abgestuften Rechten. Dies gibt es durchaus. (HBA vs SMC-B), auch die Rolle Notfallarzt ist vorgesehen, der dann Sachen übergehen könnte (Zugriff Notfalldaten ohne Freigabe Versicherter). Ein Zero-Trust-Ansatz kommt erst in TI 2.0, wo jeder sich immer ausweisen muss.
Notfalldaten und die digitale Persönliche Erklärung (Wo liegen meine Vollmachten) waren Anwendungen der Gesundheitskarte und sollten dann in die EPA als Patientkurzakte folgen, haben aber diese kommt nicht in Puschen.
zu deinem weiteren Punkt: ICCSN/Kartennummer sind kein Sicherheitsmerkmal. Waren sie nie. Sie sind eine Hilfe das jede Karte nur einmal existiert. Deshalb werden sie auch stupide hochgezählt. Es besteht kein Grund für Hash-Lösungen oder Ähnliches. Es ist keine ID. Der Arzt fragt dann halt an: gibt es zu der Karte ein Update und ist sie noch gültig.

Schade finde ich vom CCC, das er gewartet hat, bis der Lauterbach online geht um dann den maximalen öffentlichen Schaden anzurichten, statt sich vorher zu melden. Persönlich halte ich das für Profilierungssucht. Mann hätte auch drei Tage vorher kommen können und sagen: Ihr solltet nochmal verschieben.
Testen sollen sie es immer. Immerhin sind sie einer der wenigen, die keine Daten absaugen.

 

[Vigilant]

Schade finde ich vom CCC, das er gewartet hat, bis der Lauterbach online geht um dann den maximalen öffentlichen Schaden anzurichten, statt sich vorher zu melden.

Ist das wirklich so? Gibt es dazu eine valide Quelle?

 

[Nuklon]

@Vigilant geht nur als indirekter Beweis:
Lauterbach ging Online, einen Tag später gab es die Meldung vom CCC und die gematik hat die eEB gestoppt.
Ich habe aber keinen Einblick in die Kommunikation CCC/gematik. Ich mein, die gehen doch nicht online, wenn die wissen das ihnen der CCC direkt danach einen reindrückt.

 

[Helge01]

@Nuklon Der CCC hat vor der offiziellen Einführung der ePA die Sicherheitslücke gemeldet, damit sie bis zum Start noch behoben werden kann (was nicht passiert ist). Die Sicherheitslücken sind der Gematik aber schon seit Jahren bekannt gewesen, nur haben sie nichts gemacht weil sie der Meinung waren das sie nicht ausnutzbar ist.
Große Sicherheitsmängel in elektronischer Patientenakte 3.0 aufgedeckt

Das hat dann Ende letzten Jahres dazu geführt das der CCC den Beweis erbracht hat und die Sicherheitslücke ausnutzte.

 

[Nuklon]

@Nuklon Der CCC hat vor der offiziellen Einführung der ePA die Sicherheitslücke gemeldet, damit sie bis zum Start noch behoben werden kann (was nicht passiert ist). Die Sicherheitslücken sind der Gematik aber schon seit Jahren bekannt gewesen, nur haben sie nichts gemacht weil sie der Meinung waren das sie nicht ausnutzbar ist.
Große Sicherheitsmängel in elektronischer Patientenakte 3.0 aufgedeckt

Du verwechselt da was. Das zu Weihnachten war das VSDM+ Problem in Kombination mit dem Erwerb eines Konnektors+SMC-B und dem erlangen der Passwörter für diese, durch nettes Nachfragen.

Dies wurde durch Maßnahmen gemildert (Verschlüsselung KV-Nummer in der Prüfziffer der VSDM-Antwort), Einführung eines Hashes von Straße und Geburtsdatum als zweiter Faktor(musst was über Patient wissen), Begrenzung der Zugriffe usw.

Das jetzt nach dem Livegang ist was neues mit der elektronischen Ersatzbescheinigung, wo der Arzt mit der KV-Nummer die Daten des Patienten von der Kasse bekommt und somit den Hashwert aus Straße und Geburtsdatum ermitteln kann.
Dort werden VSDM, eEB und EPA miteinander kombiniert.

Ich finds dumm. Weil für diesen Angriff muss der Arzt bereits die Kombination ICCSN (für das VSDM) und die KV-Nummer (für die eEB) wissen. Er bekommt nur für den Hashvalue neue Infos. Wenn der Arzt KV-Nummer und ICCSN hat, hat er auch in der Regel Straße und Geburtsdatum. Hier ist das theoretische Risiko höher, als das Praktische.
Folge ist das eEB abgeschaltet wurde für EPA. Also was was gerade anfing Nutzen zu stiften(eEB) für etwas was nur viel Geld kostet aber derzeit nicht genutzt wird. (EPA)

 

[Vigilant]

Ich mein, die gehen doch nicht online, wenn die wissen das ihnen der CCC direkt danach einen reindrückt.

Kann man nicht ausschließen, weshalb ich zunächst davon Abstand nehmen würde, dem CCC zu unterstellen, publicitywirksam agieren zu wollen, obwohl das hinsichtlich der offensichtlichen Sicherheitsmängel wiederum nachvollziehbar wäre.

 

[Powl_0]

warum die Gruppe nicht vorab involviert wurde.

Oder zumindest seit dem ersten Hack. Ist das wieder zu stolzes Management bei der Gematik? Wenn man Fehler ignoriert, verschwinden sie ja bekanntlich.

Bei so einem wichtigen und großen System sollte mMn vorgeschrieben sein, dass mindestens eine unabhängige Organisation mit Expertise auf dem Gebiet als Kontrollinstanz zuschaut. Ist ja auch bei Leibe nicht das erste Mal...

 

[Snapuman]

@Nuklon Also bezüglich bloßstellen ist das bloße Mutmaßung, wir wissen hier nicht, wann und was der CCC "intern" an die Gematik kommuniziert - ich würde aber sehr stark davon ausgehen dass sie (wie eigentlich immer) vor einer Veröffentlichung erst direkten Kontakt aufnehmen - sie wollen ja niemandem Schaden zufügen, sondern im Gegenteil, die Digitalisierung voran bringen. Abgesehen davon ist das aber auch alles völlig freiwillig, das ist NICHT deren Job! Wenn das aber nicht fruchtet/ignoriert wird, bleibt dem CCC ja nichts anderes übrig als öffentlich wirksam Druck zu machen...

Es ist übrigens sogar offiziell nicht mal der Job des BSI, die wurden diesbezüglich politisch schon vor 2 Jahren abgesägt und sind da nur "Berater", haben also auch nix zu melden.

Zum anderen, wenn ich das richtig verstanden habe, ist die Kartennummer, da die kryptografische Identität ja - obwohl vorhanden - NICHT zur Authentifizierung verwendet wird, eben schon Teil deren Verständnis von "Sicherheitsmerkmal"... und das wird nicht besser wenn man da "Zeug drüber klatscht" - security through obscurity ist halt einfach ne sau blöde Idee, war es schon immer.

 

[Powl_0]

weil die Lösung nicht von Tag 1 an perfekt ist.

Na komm, es fragt doch niemand nach perfekt. Aber die Lücken aus dem Dezember Hack waren halt wirklich lächerlich. Der sprichwörtliche Stall war quasi offen, die Lücke sogar schon bekannt.

Wie soll man einem System vertrauen, deren Verantwortliche dachten, dass Cybersecurity auf dem gefühlten Stand der 1970er ausreichend wäre?

 

[Nuklon]

@Nuklon Also bezüglich bloßstellen ist das bloße Mutmaßung, wir wissen hier nicht, wann und was der CCC "intern" an die Gematik kommuniziert - ich würde aber sehr stark davon ausgehen dass sie (wie eigentlich immer) vor einer Veröffentlichung erst direkten Kontakt aufnehmen - sie wollen ja niemandem Schaden zufügen, sondern im Gegenteil, die Digitalisierung voran bringen. Abgesehen davon ist das aber auch alles völlig freiwillig, das ist NICHT deren Job! Wenn das aber nicht fruchtet/ignoriert wird, bleibt dem CCC ja nichts anderes übrig als öffentlich wirksam Druck zu machen...

Es ist übrigens sogar offiziell nicht mal der Job des BSI, die wurden diesbezüglich politisch schon vor 2 Jahren abgesägt und sind da nur "Berater", haben also auch nix zu melden.

Zum anderen, wenn ich das richtig verstanden habe, ist die Kartennummer, da die kryptografische Identität ja - obwohl vorhanden - NICHT zur Authentifizierung verwendet wird, eben schon Teil deren Verständnis von "Sicherheitsmerkmal"...

Das BSI wurde ins Benehmen gesetzt. Sprich es muss immer noch gefragt werden und deren Hinweise werden auch wirklich ernst genommen. Sie können aber übergangen werden. Grundproblem ist einfach die mangelnde Kapazität beim BSI. Das dauert alles viel zu lange. Es ist aber nicht so das die gematik gegen das BSI bewusst arbeitet. Ich weiß nicht, wo dieses schonmal übergangen wurde. (kann natürlich sein, will ich nicht auschschließen)

kryptographisch sind die Zertifikate auf der Karte die Identität und die haben eigene Nummern und CAs unabhängig von der Karte lustigerweise. Die funktioniert auch. Nur ist der Aufruf des Update Flagservers der eGK bei der Kasse kryptofrei, Es ist nur die Anfrage: hast nen Update für mich. Erst wenn das Update kommt, kommt Krypto ins Spiel und die Karte macht nen sicheren Kanal auf. Schließlich ist die eGK auch offline nutzbar. Update sind aber eher die Ausnahme als die Regel (Promillebereich). Grundproblem ist: ich sage es nochmal, das die Kassen die verschlüsselte Prüfziffer der UFS-Anfrage beim e-rezept in der Apotheke genommen haben um zu beweisen, das die Karte da war. Weil der POPP der gematik nicht rechtzeitig kommt. Dann haben sie(die gematik) das in die EPA eingebaut um diese ohne PIN der eGK in der Arztpraxis nutzen zu können und die Scheiße fing an.

Die gematik hat damals auch die Kassen als Idee gefragt auf Dauerupdate deswegen umzuschalten, um immer Krypto drin zu haben. Das ist aber eine doofe Idee für die Infrastruktur und zieht noch mehr Aufwand in der Anpassung nach sich und ist wegen der Kartensperren auch nicht vollständig.

Oder zumindest seit dem ersten Hack. Ist das wieder zu stolzes Management bei der Gematik? Wenn man Fehler ignoriert, verschwinden sie ja bekanntlich.

Bei so einem wichtigen und großen System sollte mMn vorgeschrieben sein, dass mindestens eine unabhängige Organisation mit Expertise auf dem Gebiet als Kontrollinstanz zuschaut. Ist ja auch bei Leibe nicht das erste Mal...

Da kann ich bisher nicht erkennen, das die gematik Fehler aussitzt. Eher hat sie die Daumenschrauben für alle beteiligten in letzter Zeit massiv angehoben was mit ihren langwierigen Zulassungsverfahren aber kollidiert.

 

[Piktogramm]

Die TI ist als Vertrauensraum definiert. Wer rein kommt wurde als Vertrauenswürdig eingestuft. Das ist deren Logik. Abgeschottetes Netz mit abgestuften Rechten. Dies gibt es durchaus. (HBA vs SMC-B), auch die Rolle Notfallarzt ist vorgesehen, der dann Sachen übergehen könnte (Zugriff Notfalldaten ohne Freigabe Versicherter). Ein Zero-Trust-Ansatz kommt erst in TI 2.0, wo jeder sich immer ausweisen muss.

Ja Arschlecken abgestufte Rechte, wenn eine aktive SMC-B Karte reicht um volle Patientendaten abzugreifen, ohne Einwilligung. Genauso wie es, trotz Versprechungen, für Patienten nicht möglich ist die Sichtbarkeit von Datensätzen spezifischen Entitäten zu zeigen bzw. zu verbergen.
Die reale Umsetzung der TI zeigt immer wieder, dass vieles nicht, schlecht, nur bedingt funktioniert. In der Praxis sind die Anwendungen bisher alle so schlecht, teuer, dass kein Mehrwert zu verzeichnen ist. Gleichzeitig ist das Schutzniveau schlecht.

Notfalldaten und die digitale Persönliche Erklärung (Wo liegen meine Vollmachten) waren Anwendungen der Gesundheitskarte und sollten dann in die EPA als Patientkurzakte folgen, haben aber diese kommt nicht in Puschen.

Fakt ist, die Gematik pfuscht seit 20Jahren daran rum und die Funktionalität ist nicht da. Wenn ich mich recht entsinne ging da Kritik schon an die Gematik vor über zehn Jahren, dass da schlicht nicht eingeplant wurde, sowas überhaupt (kryptografisch sicher) abzubilden.

zu deinem weiteren Punkt: ICCSN/Kartennummer sind kein Sicherheitsmerkmal. Waren sie nie. Sie sind eine Hilfe das jede Karte nur einmal existiert. Deshalb werden sie auch stupide hochgezählt. Es besteht kein Grund für Hash-Lösungen oder Ähnliches. Es ist keine ID. Der Arzt fragt dann halt an: gibt es zu der Karte ein Update und ist sie noch gültig.

Du verwechselt da was. Das zu Weihnachten war das VSDM+ Problem in Kombination mit dem Erwerb eines Konnektors+SMC-B und dem erlangen der Passwörter für diese, durch nettes Nachfragen.

Dies wurde durch Maßnahmen gemildert (Verschlüsselung KV-Nummer in der Prüfziffer der VSDM-Antwort), Einführung eines Hashes von Straße und Geburtsdatum als zweiter Faktor(musst was über Patient wissen), Begrenzung der Zugriffe usw.

Du widersprichst dir hier. Die IDs wurden als Sicherheitsmerkmal als schlampiger Flicken für ein kaputtes Konzept etabliert, obwohl die IDs und sonstige Daten kein geeignetes Kriterium sind. Anstatt sich das Gesamtkonzept anzuschauen und festzustellen, dass da grundlegend Probleme mit dem eigentlichem Verfahren und Ersatzverfahren besteht wurde (wiedermal) Pfusch betrieben. Von Leuten die nicht sehen können/wollen, dass IDs und Daten die sich aus dem System abrufen lassen unzulänglich sind.

Schade finde ich vom CCC, das er gewartet hat, bis der Lauterbach online geht um dann den maximalen öffentlichen Schaden anzurichten, statt sich vorher zu melden. Persönlich halte ich das für Profilierungssucht. Mann hätte auch drei Tage vorher kommen können und sagen: Ihr solltet nochmal verschieben.
Testen sollen sie es immer. Immerhin sind sie einer der wenigen, die keine Daten absaugen.

Alter, CCC und der aus die aus dem Umfeld gewachsene AG Kritis kritisieren Gematik, TI seit Ewigkeiten. Die Aufforderung bei jedem Hack ist, da grundsätzliche Probleme anzugehen. Sowohl organisatorisch, technisch und etwas weniger öffentlich auch am Personal. Aber jedes fuckingmal wird dies nicht gemacht.
Zahnärzteblatt Schleswig-Holstein 04/2019, Seite 10
https://www.kzv-sh.de/wp-content/uploads/2019/04/Zahnaerzteblatt_04_2019_WEB.pdf
Mitglieder und Umfeld vom Verein reden, schreiben schon seit den Konzepten zur ePA, dass das nicht gut ausschaut.

Und natürlich wird das öffentlichkeitswirksam gemacht. Als hätte die Tätigkeit vom Verein eine Wirkung, wenn es nicht prominent in die Medien gespühlt wird. Regierung, Gematik, Firmen geben nichts auf den Verein, in der Regel ist belastbare IT-Sicherheit auch völlig egal. Öffentlicher Druck hingegen wirkt. Die wenigsten Hacker haben da Bock drauf, es ist aber der letzte, verbliebene Weg.
Siehe auch das verlinkte Video in #188 wo der ehemalige Chef der Gematik sich rühmt IT-Hardliner zur Kündigung bewegt zu haben. Es gab (und gibt Imho) kein Interesse die TI grundlegend auf eine solide Basis zu stellen. Nicht bei der Verfügbarkeit, nicht bei der Zugänglichkeit, nicht beim Datenschutz und nicht bei IT-Sec.

@Vigilant geht nur als indirekter Beweis:
Ich habe aber keinen Einblick in die Kommunikation CCC/gematik. Ich mein, die gehen doch nicht online, wenn die wissen das ihnen der CCC direkt danach einen reindrückt.

CCC Historie besagt: Ja doch.
Kritik am total dämlichen Konzept der DE-Mail? -> Einführung, samt Gesetz, dass der Scheiß als Sicher zu gelten hat

De-Mail war scheiße? Wieso das selbe Konzept nicht auf das elektronische Anwaltspostfach anwenden? -> Anwaltspostfach wird ebenso eingeführt.

De-Mail, Anwaltspostfach waren scheiße, dysfunktional, teuer und vom Konzept her für Bürger nicht zugänglich? Also wirklich ne Scheißidee? -> Schau her, die Gematik liefert KIM, als teuere, dysfunktionale Emaillösungen wo selbst 2025, also Jahre nach dem Start Emails Minuten bis Tage brauchen und der Scheiß so dysfunktional ist, dass das städtische Krankenhaus und das örtliche Uniklinikum das immer noch nicht abbilden können.

Oder die ePA, Kritik seit nachweislich 2019 (siehe Zeitungsartikel oben im Post), Kritik ignoriert, ePA verschlimmert, trotz Hack nur Flickschusterei betrieben, produktiv gegangen, erneut gehackt.

Konnektoren die sauteuer sind und unbrauchbar werden weil Zertifikate ablaufen. CCC Hackt, zeigt dass es per Softwareupdate möglich ist. Reaktion ist, dass ein Großteil der Hardware dennoch getauscht werden muss. Einige Konnektoren bekommen kein Softwareupdate, einige Konnektoren nur für ein Jahr und für einen sehr kleinen Teil gibt es neue Lizenzen für Zertifikate für fünd Jahre für einige hundert Euro. Letzteres ist aber sinnlos, da mit der TI 2.0 die Konnektoren eh ausgemustert werden sollen.

Keine Ahnung wie du zu dem Schluss kommst. Aber Gematik/TI verfolgt die rote Linie: Scheiße bauen, Kritik ignorieren, gehackt werden.

Achso, selbst das BSI hatte gewarnt: https://www.heise.de/news/ePA-Sicherheit-BSI-hatte-vor-Risiko-gewarnt-10369099.html
Und weil das BSI zu kritisch war, wurde deren Vetorecht je geschliffen, mehr als Warnen um Übergangen zu werden dürfen sie nimmer.

Ich finds dumm. Weil für diesen Angriff muss der Arzt bereits die Kombination ICCSN (für das VSDM) und die KV-Nummer (für die eEB) wissen. Er bekommt nur für den Hashvalue neue Infos. Wenn der Arzt KV-Nummer und ICCSN hat, hat er auch in der Regel Straße und Geburtsdatum. Hier ist das theoretische Risiko höher, als das Praktische.

Wenn ein Datum und Anschrift Bestandteil eines Sicherheitsmerkmals ist, und keine sonstige Quelle mit ausreichen hoher Entropie genutzt wird, ist das ein schwerwiegender Fehler bei jedem Audit. Scheiße, das ist ein schwerwiegender Fehler ab etwa dem 3. Semester Informatikstudium.
Zudem: https://www.heise.de/news/E-Patient...ik-reagiert-mit-Sofortmassnahme-10368642.html

Saatjohann erstellte laut einem Bericht des Spiegel ein Programm, mit dem diese Daten bei mehreren Krankenkassen abrufbar waren, darunter die Techniker Krankenkasse und die Barmer. Die Schnittstelle für elektronische Ersatzbescheinigungen ist relativ neu und bisher optional, daher unterstützen viele Praxisanwendungen sie bisher nicht. Saatjohann erwartet, dass sich dies ändern wird, wodurch Angreifer fertige Software nutzen könnten, um den Aufwand zu verringern.

Ein Großteil der "geheimen" Informationen war abrufbar, weil alles rund um die TI eine stinkende Jauchegrube ist. Selbst wenn es nicht abrufbar wären, die Daten sind alle immer wieder in Datenleaks enthalten/käuflich und sind tendenziell alle in einem so kleinen Zahlenraum, dass die Entropie für ein Sicherheitsmerkmal nicht ausreicht.

Sie können aber übergangen werden. Grundproblem ist einfach die mangelnde Kapazität beim BSI. Das dauert alles viel zu lange. Es ist aber nicht so das die gematik gegen das BSI bewusst arbeitet.


Ich weiß nicht, wo dieses schonmal übergangen wurde. (kann natürlich sein, will ich nicht auschschließen)

Du ignorierst die Realität wie die Gematik Grundkonzepte guter IT-Architektur...
https://www.recht.bund.de/bgbl/1/2024/101/regelungstext.pdf?__blob=publicationFile&v=2
Das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens

Hier wurde die Einflussnahme des BSI geschliffen. Nachdem es Fälle davon gab, dass BfdI und BSI Probleme Anmahnten, übergangen wurden, Veto einlegten und so das eRezept verzögerten. Die Folge war, dass die Bedeutung von BfdU und BSI im Prozess geschliffen wurde:
https://bonn.social/@ulrichkelber/114427912897725532

Wenn Hinweise ignoriert werden, selbst wenn angekündigt wird, dass das Ignorieren zu einem Block führt und es dann zum Block kommt. Was Anderes außer gegen BfdI und BSI Arbeiten ist das? Wenn vor allem danach auch noch ein Gesetz kommt, welches die Rechte von BSI und BfdI schleift?

Das Problem ist auch nicht, dass BfdI oder BSI irgendwie langsam wären. Bei dem Umfang den die Dokumente rund um die Gematik haben und der Vielfalt an Implementierung dauert eine Prüfung einfach ewig. Dadurch, dass die Gematik bei der Architektur auch immer wieder von bewährten Prinzipien abrückt dauert die Prüfung auch umso länger.

Oder dann sowas: https://www.heise.de/news/NIS2-Umse...em-Foederalismus-und-Weltpolitik-9713472.html

Ausgenommen vom Anwendungsbereich der NIS2 wurden mit dem neuen Entwurf die Gesellschaft für Telematik (Gematik)

Europäische Anforderungen an IT-Sicherheit, Gematik/TI werden ausgenommen. Damit es für Pfusch ja keine Konsequenzen gibt.

Da kann ich bisher nicht erkennen, das die gematik Fehler aussitzt. Eher hat sie die Daumenschrauben für alle beteiligten in letzter Zeit massiv angehoben was mit ihren langwierigen Zulassungsverfahren aber kollidiert.

Eindeutig, du kommst aus einer Parallelwelt! Anders ist es nicht zu erklären. Außer du arbeitest um/mit der Gematik und wurdest nicht von Cyberschnickschnackschnuck Arno zur Kündigung bewegt..