Aktuelles, Branche, Produkte - geschrieben von dp am Montag, Dezember 31, 2018 17:30 - ein Kommentar
Gesundheits-Apps: Sicherheitslücke kann geschlossen werden
Dr. Florian Scheuer kommentiert Hacker-Attacke auf „Vivy“ und zeigt Ausweg auf
[datensicherheit.de, 31.12.2018] Nachdem es die letzten Wochen offenbar still um den Hacker-Angriff auf die Gesundheitsakten-App „Vivy“ geworden ist, wurde nach Angaben von Dr. Florian Scheuer, „CTO“ von DRACOON, das Thema auf dem „Chaos Communication Congress“ (35C3) in Leipzig noch einmal intensiv diskutiert. Anlass sei die detaillierte Beschreibung der Schwachstellen im Rahmen seines Vortrags durch ihren Entdecker, Martin Tschirsich, gewesen. Sehr deutlich geworden sei dabei erneut, welche grundlegenden Fehler bei der finanziell durchaus gut aufgestellten Entwicklung der App gemacht worden seien, „die nach eigener Aussage auf der Webseite den Anspruch hat ,Sicherheit auf höchstem Niveau‘ zu bieten“, kommentiert Dr. Scheuer.
Schwache Schutzmaßnahmen für kritische Patientendaten
Besonders problematisch falle auf, dass die lediglich schwachen Schutzmaßnahmen der kritischen Patientendaten durch einfaches Ausprobieren hätten ausgehebelt werden können.
Zudem sei es gelungen, Phishing-Angriffe in die App einzuschleusen und somit Zugangsdaten von Nutzern zu stehlen (ohne dass diese eine Chance hätten, dies festzustellen) sowie einen Weg aufzuzeigen, über den sensible kryptographische Schlüssel von Ärzten gestohlen werden könnten. Dr. Scheuer: „Gerade die letzte Schwachstelle ist bis heute nicht beseitigt.“
Schwache Sicherung der geheimen kryptographischen Schlüssel
Doch nicht nur bei „Vivy“ träten gravierende Sicherheits- und Datenschutzprobleme zutage: Tschirsich habe auch die Alternativen von großen und kleinen Anbietern analysiert und dabei ebenfalls eklatante Schwachstellen gefunden, die teilweise Zugriff auf sämtliche Daten des Systems ermöglichten.
Mit Abstand am besten schlage sich eine noch in der Beta-Phase befindliche App („TK Safe“); diese schütze die Gesundheitsdaten mit Hilfe einer clientseitigen Verschlüsselung. Bei ihr würden die Daten bereits in der App stark verschlüsselt und erst danach zum zentralen Service übertragen bzw. mit einem Empfänger (z.B. dem behandelnden Arzt) ausgetauscht. Dennoch seien auch dort „schwerwiegende Fehler bei der Sicherung der geheimen kryptographischen Schlüssel gemacht“ worden, berichtet Dr. Scheuer.
Clientseitige Verschlüsselung empfohlen
Die Probleme bei den Umsetzungen der digitalen Gesundheits- und Patientenakten zeigten sehr deutlich die Notwendigkeit, Sicherheitsgrundsätze von Anfang an bei der Entwicklung dieser kritischen Systeme zu berücksichtigen und tief in der Software-Architektur zu verankern – das nachträgliche Ergänzen von Sicherheitsmaßnahmen sei „oft sehr schwierig und fehleranfällig“.
Zudem könne einzig eine clientseitige Verschlüsselung wirklich verhindern, dass die gespeicherten Informationen bei einem Datenleck einem Angreifer in die Hände fallen, betont Dr. Scheuer.
Nach seinen Angaben ist DRACOON Anbieter einer Enterprise-Filesharing-Lösung zur Verwaltung sensibler Informationen mit einer Vielzahl an Sicherheitsmechanismen. Bereits heute werde diese Lösung im Healthcare-Bereich durch viele Kliniken „erfolgreich eingesetzt und schützt somit die sensiblen Informationen vieler Patienten in Deutschland“.
Weitere Informationen zum Thema:
datensicherheit.de, 16.10.2018
BSI-Lagebericht belegt weiterhin hohes Gefährdungspotential durch Ransomware
datensicherheit.de, 08.09.2018
Datensicherheit: Filesharing mit Virenschutz
datensicherheit.de, 20.06.2018
Filesharing: Schutz vor ungewolltem Datenzugriff
ein Kommentar
Stefan Streit
Kommentieren
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
ein Gruß aus Leipzig.
Ich wünsche Ihnen einen guten Jahreswechsel und ein gutes Jahr 2019.
Ganz herzliche Grüße
Stefan Streit
Neue Horizonte – Digitalisierung in der Medizin. So kann´s gehen!
Der Beitrag von Herrn Tschirsich, zur Digitalisierung in der Medizin, gehört zu den meistgeklickten Vorträgen des 35C3. Die Probleme rund um die geplanten, digitalen Patientenakten und die Telematikinfrastruktur sind ebenso vielfältig, wie unübersichtlich.
Deshalb empfehle ich hier einen Versuch mit reverse engineering. Schauen Sie sich zuerst einmal eine Lösung an, um sich gezielt darüber klar zu werden, worin denn die Probleme eigentlich bestehen. Dies gelingt mit meinem Lightning-Talk „Neue Horizonte“, vom 35C3, in fünf Minuten. Dazu benutzen Sie bitte den folgenden Link und starten das Abspielen der Aufzeichnung mit dem „>“.
https://media.ccc.de/v/35c3-9566-lightning_talks_day_2#t=6586
Das Geheimnis ist durch die Digitalisierung zu einem fragwürdigen Schutzkonzept geworden. Ausgerechnet die binäre Digitalisierung erzwingt nun den Abschied von liebgewonnenen schwarz-weißen Gewissheiten. Aktuell macht graue Datennutzung den weitaus größten Teil der Datenübertragungen in der Medizin aus. In diesem gigantischen, rechtsfreien Raum erfolgt die Datennutzung derzeit völlig unreguliert. Geregelt ist offensichtlich ausschließlich nur die weiße Datennutzung. Dies so gründlich, dass praktisch jeder ärztliche Datentransfer entweder illegal oder unangemessen aufwendig wird. Zur Verhinderung schwarzer Datennutzung existiert dagegen keine politische Idee. Das von mir vorgestellte Konzept basiert auf einem neuen bio-psycho-sozio-informationellen Gesundheitsbegriff, der Gesundheitsdaten als Teil der Persönlichkeit betrachtet. Diese scheinbar kleine Intervention, zusammen mit strikter Zweckbindung, wie von der DSGVO sowieso gefordert, justiert die Wechselwirkung bestehender Gesetze neu. Ohne jede Gesetzesänderungen kommt man jetzt zu Perspektiven für gegenwärtig unlösbare Probleme. Dieses Konzept wurde vom Institut für Sozialstrategie begutachtet und als Langversion veröffentlicht. Der angegebene Link führt direkt zur Veröffentlichung.
https://www.institut-fuer-sozialstrategie.de/2018/11/15/gesundheit-eigentum-und-digitalisierung-in-der-medizin-ueberlegungen-zu-einem-neuen-gesundheitsdateneigentumsbegriff/