Aktuelles, Branche - geschrieben von dp am Freitag, Juni 25, 2021 18:59 - noch keine Kommentare
Sicherheitslücken in Corona-Testzentren aufgedeckt
Schwache Passwörter und lückenhafte Verschlüsselung untergraben die Sicherheit
[datensicherheit.de, 25.06.2021] Das Hacker-Kollektiv „Zerforschung“ hat laut einer aktuellen Stellungnahme von Jörg Horn, „Chief Product Officer“ bei uniscon, „erneut eine gravierende Sicherheitslücke“ in „Corona“-Testzentren aufgedeckt. Die Spezialisten hatten demnach nach eigenen Angaben keine Mühe, sich Zugriff auf 174.000 Datensätze zu verschaffen, „darunter Buchungsbestätigungen sowie streng vertrauliche, personenbezogene Daten wie Name, Anschrift, Telefonnummer, E-Mail-Adresse und Geburtsdatum der Patienten“. Selbst Testergebnisse und in einigen Fällen sogar die Ausweisnummer hätten den Angreifern vorgelegen.
Jörg Horn: Verschlüsselung bei Übertragung und Speicherung sensibler Daten u.a. nicht diskutierbare Grundlage der Sicherheit
Passwort-Sicherheit der Accounts geradezu schlampig…
Horn kommentiert: „Die Passwörter der Accounts wurden geradezu schlampig generiert und ungesichert übermittelt: In Aufsteigender Reihenfolge wurden von der im Einsatz befindlichen Software Passwörter aus den Zahlen null bis neun sowie aus den Buchstaben A bis F zusammengesetzt.“ Die Hacker hätten somit leichtes Spiel gehabt, massenhaft Patientendaten einsehen zu können.
Das BSI habe diesen Vorfall als „gravierendes IT-Sicherheits- und Datenschutzproblem“ bezeichnet. Betroffen seien 34 Testzentren des Betreibers PAS Solutions in vier Bundesländern. „Zerforschung“ vermute hinter der Sicherheitslücke einen Mangel an Personal in den für die Aufsicht zuständigen Behörden.
Einhaltung grundlegender Prinzipien der Datensicherheit hat gefehlt
„Die Bewertung eines Vorfalls im Nachgang ist eine vermeintlich einfache Disziplin.“ Mit Kenntnis der genauen Vorgangsweise der Hacker und der Schwachstellen in der betroffenen IT-Struktur könnten Sicherheitsexperten schnell eine Strategie mit Gegenmaßnahmen formulieren. Doch in diesem Fall, so Horn, sei es nicht dem Einfallsreichtum der Angreifer zuzurechnen, „dass die Patientendaten entwendet werden konnten“.
Hierbei habe es an der Einhaltung grundlegender Prinzipien der Datensicherheit gefehlt – „vor allem die unbedachte Generierung simpler Passwörter machten es den Angreifern leicht, die Passwörter mit Hilfe von ,Brute Force‘ zu ,erraten‘. Abgesehen davon sollten sensible digitale Informationen niemals im Klartext kommuniziert werden.“ Ansonsten seien sie Cyber-Kriminellen schutzlos ausgeliefert.
Lückenlose Verschlüsselung der Daten als eine Säule der Sicherheit
Geschäftsfelder wie das Gesundheitssystem, welche mit besonders sensiblen Daten operierten, sollten daher unter allen Umständen auf eine lückenlose Verschlüsselung ihrer Daten setzen.
Horn betont: „Ausnahmslos! Denn der damit verbundene zusätzliche Aufwand steht in keinem Verhältnis zu dem Risiko, das ohne sie eingegangen wird. Und das meist ohne Kenntnis der betroffenen Patienten oder Kunden.“ So seien laut „Zerforschung“ selbst eine Woche nach Bekanntwerden der Sicherheitslücke die Betroffenen nicht vom Betreiber informiert worden.
Verletzung der Datensicherheit untergräbt Akzeptanz der Nutzer
Um der Digitalisierung des öffentlichen Lebens – einschließlich Behördengängen, Arztbesuchen oder zukünftig auch Wahlen – zum Erfolg zu verhelfen, werde die Akzeptanz aller Nutzer benötigt. „Um auch die letzten Skeptiker von den Vorzügen digitaler Lösungen zu überzeugen, dürfen sich Vorfälle wie dieser nicht wiederholen“, unterstreicht Horn.
Gerade in Zeiten, da immer mehr Betriebe und sogar streng regulierte Branchen ihre Daten in die Cloud migrierten, seien vertrauensbildende Maßnahmen der IT-Sicherheit von größter Bedeutung. Die grundsätzliche Verschlüsselung bei der Übertragung und Speicherung sensibler Daten sei dabei genauso „als nicht diskutierbare Grundlage zu sehen wie der flächendeckende Einsatz starker Passwörter und der Zwei-Faktor-Authentifizierung“, so Horn abschließend.
Weitere Informationen zum Thema:
datensicherheit.de, 17.06.2021
TÜV Rheinland: Online-Seminar zur IT-Sicherheit im Gesundheitswesen / Gebührenfreies Angebot vom TÜV Rheinland am 12. Juli 2021
datensicherheit.de, 30.11.2020
IT-Sicherheit hinkt bei Digitalisierung im Gesundheitswesen hinterher / PSW GROUP gibt Tipps, wie sich die IT-Sicherheit im Gesundheitswesen verbessern lässt
datensicherheit.de, 16.08.2020
Gesundheitswesen: Digitalisierung-Datenschutz-Synergie / Haye Hösel erläutert „1×1 des Datenschutzes“ im Kontext der notwendigen Erhebung besonders sensibler Informationen im Gesundheitswesen
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren