Ach man, wenn's den CCC nicht gäbe ...
Tja
this post was submitted on 27 Dec 2024
90 points (100.0% liked)
DACH - Deutschsprachige Community für Deutschland, Österreich, Schweiz
2149 readers
461 users here now
Das Sammelbecken auf feddit.org für alle Deutschsprechenden aus Deutschland, Österreich, Schweiz, Liechtenstein, Luxemburg und die zwei Belgier. Außerdem natürlich alle anderen deutschprechenden Länderteile der Welt.
Ursprünglich wurde diese Community auf feddit.de gegründet. Nachdem feddit.de mit immer mehr IT-Problemen kämpft und die Admins nicht verfügbar sind, hat ein Teil der Community beschlossen einen Umzug auf eine neue Instanz unter dem Dach der Fediverse Foundation durchzuführen.
Für länderspezifische Themen könnt ihr euch in folgenden Communities austauschen:
Eine ausführliche Sidebar mit den Serverregeln usw. findet ihr auf der Startseite von feddit.org
___
founded 6 months ago
MODERATORS
Das Schlimme ist ja: Es geht ja durchaus mit einer ePA in sicher. Aber man hat ja für die ePA 3.0 das Sicherheitsniveau herunter gefahren und zusätzlich lecken die Prozesse an allen Ecken und Enden.
Ich hab selber einen elektronischen Heilberufeausweis(eHBA) und eine Institutionskarte. War jetzt nicht einfach zu kriegen weil viel Papierkram,aber wirklich ernsthaft geprüft hat das auch keiner - da liegt aber das Grundproblem der Digitalisierung in Deutschland: Es ist Stückwerk.
Denn es gäbe einen ganz einfachen Weg wie man das lösen könnte: Man muss nur die Aktivierung mit einem elektronischen Personalausweis und PIN erzwingen und schon hat man das Problem nicht mehr. Technisch gesehen könnte man dann sogar ganz auf den eHBA verzichten und diesen nur als Merkmal auf den Perso aufschalten,dann wäre nur noch die Institutionskarte notwendig, selbst diese ist aber ggf. anders lösbar. Warum macht man das nicht? Weil es ein riesen Geschäft ist. Der eHBA kostet mind. 100€ im Jahr, die Institutionskarte nocheinmal ähnlich viel. In Zukunft braucht jeder Healthcare Professional (also auch alle Hebammen, Notfallsanitäter, ein Teil der Pflege)Zugriff.
Das sind insgesamt knapp eine Million Menschen. Also geschmeidige 100 Millionen Euro pro Jahr die an die insgesamt 5 großen Anbieter gehen. Für nix. (Denn die Entwicklung und Instandhaltung zahlt der Staat größtenteils)
Ist das nicht witzigerweise genau das selbe, was Linus Naumann vor 10 Jahren beim CCC zum Thema De-Mail gesagt hat? Dass man einfach nur den elektronischen Perso für ne Signatur der Mail nutzen müsste, um das Thema ohne weiteren Aufwand zu lösen?
Man könnte den e perso für sehr viele Dinge nutzen, bei denen man stattdessen auf weniger sichere, umständlichere und teurere Lösungen zurückgreift.
Der Talk war sehr unterhaltsam und leider ziemlich deprimierend.
Ich habe etwas den Überblick verloren, welche der Lücken geschlossen sein sollen und welche nicht, aber dass selbst einfache SQL Injections schon gereicht haben, um Vollzugriff auf alle Akten zu bekommen, ist in 2025 lächerlich.
Wow, verfickter Fick. Ich hab lange gerungen ob ich nicht im System bleiben soll. Jetzt bin ich raus. Dilletanten, verdammte!
Inzwischen hat sich die Gematik zu den Sicherheitsmängeln geäußert und bezeichnet die "praktische Durchführung in der Realität" für einen der genannten Angriffe als "nicht sehr wahrscheinlich".
Achso ja. Man kann sich damit ja nur Zugriff auf sämtliche Daten erschleichen. Wer sollte diesen Aufwand schon auf sich nehmen? V.a. heutzutage, so friedlich und lieb, wie wir alle miteinander sind. Ne, macht keiner. 100%ig nicht! /s
Ich sehs schon kommen:
Person findet Sicherheitslücke.
Person meldet Sicherheitslücke.
5 Monate passiert nichts.
Person macht Sicherheitslücke öffentlich.
Polizei macht Hausdurchsuchung bei Person und konfisziert alles was elektronisch ist.
Person muss sich drei Jahre lang vor Gericht gegen Staatsanwalt wehren und wird finanziell und beruflich in den Ruin getrieben.
Bleibt zu hoffen dass in Deutschland Sicherheitsforscher künftig anonym Daten leaken um auf Sicherheitslücken aufmerksam zu machen.
Ich mags wie sie quasi sagen: stimmt, das kann passieren, aber wird schon gut gehen.
Es wäre ja außerdem auch verboten das auszunutzen! Geht also gar nicht.
Das kann keiner ausnutzen! Außer mit einem extrem hohen Maß an krimineller Energie!!!1!
#YOLO
Das trifft es nur zu gut auf den Punkt.
Die Gematik äußerte sich wohl nur auf einen der Kritikpunkte; das Zitat bezieht sich wohl nur auf einen der Angriffsmöglichkeiten.
Überdies findet Tschirsich es schade, dass die Gematik nur zu einem der Mängel Stellung bezieht.
Das ist deren backup Strategie: Dezentral
Spätestens jetzt sollte man wissen, was man zukünftig zu erwarten hat. Es ist noch nicht zu spät für den Opt-Out...
Ich hab mich beim Lesen des Artikels sehr gefreut, dass mein Opt-Out sich so schnell als die absolut richtige Wahl herausgestellt hat. Das ist absolut erbärmlich von den Verantwortlichen. Aber geht ja wohl auch nur um die Daten von gesetzlich Versicherten, wenn der Privatversicherte mit dem ich gesprochen habe, da nichts verpasst hat...
Das hat ja niemand ahnen können. Also einfach wirklich niemand.
ÖDA: Sie konnen ausoptieren.