Gematik hält Kritik des Chaos Computer Clubs an ePA für übertrieben
@ibecf: Allerdings kommt man über einen Einbruch dann nur an die Akten dieses Arztes an.
Von den 5+ (ich habe nicht mitgezählt, aber 5 waren es mind.) auf dem CCC-Kongress gezeigten, praktisch durchgeführten Angriffen, war mind. 1 geeignet, alle Daten von allen ePAs auszulesen, sofern man Zugang zu Geräten und Zertifikaten von IRGENDEINEM Arzt/Krankenhaus/Apotheke hat.
Mind. 2 andere gezeigte Angriffe + 1 gezeigter Fehler in manchen Arztpraxen würden einem Angreifer genau diesen Zugang ermöglichen.
Oder eben der von Dir angesprochene Dietrich. ;) (Aber dafür müsste man ja vor Ort einbrechen und das ist ein bisschen riskant, weil das leichter entdeckt werden könnte. Da wäre ein Angriff aus einem sonnigen Inselstaat heraus via Internet angenehmer wegen geringerer Gefahr der Festnahme.)
In der Analogen Welt mit Dietrichen und ungesicherten Arztschränken müsste man dazu bei allen Ärzten und Krankenkassen einbrechen.
Weitere gezeigte Angriffe ermöglichen entweder durch Kombination oder durch etwas kompliziertere Vorarbeit* den Zugriff auf die Akten zu einzelnen quasi beliebigen Zielpersonen.
(* Dass man auch einfach Karten klauen könnte oder ähnliches haben Kastl und Tschirsich in dem Vortrag gar nicht groß erwähnt.)
In der Analogen Welt mit Dietrichen und ungesicherten Arztschränken müsste man dazu erstmal wissen, bei welchen Ärzten + Apotheken die Zielperson. Wichtig: Plural beachten. Die ePA-Server enthalten diverses von allen Ärzten, Apotheken und deiner Krankenkasse in einer ePA. Der Arzt hat nicht alles von dir (was ja genau ein Kernproblem war, das man lösen will mit der ePA).
Kommentare
5
Kommentare
geschrieben
0
Antworten
erhalten
5
Likes
erhalten
Doppelte FPS: Modder lötet einfach mehr Speicher auf alte GTX 1650
Früher als Nvidia noch bei 8000er Nummern war bis hin zu letzten GTX Karten habe ich auch meistens Mittelklassekarten mit möglichst viel Speicher genommen. Damals hat das häufig 50 oder 70 € mehr ausgemacht, hatte sich hinten raus aber doch immer in der Hinsicht gelohnt dass die Karte zwar langfristig natürlich nicht oben mithalten konnte aber dennoch zwei drei Jahre länger zumindest hinreichend brauchbar blieb als die normalen Varianten mit weniger VRAM.
Inzwischen hat man bei nVidia diese Option ja leider nicht mehr mit verschiedenen VRAM Größen. Und bei den aktuellen Preisen würde es sich wahrscheinlich auch nicht mehr lohnen.
Mozilla: Microsoft grenzt in Windows schon wieder die Konkurrenz aus
@Alexmitter: auch für selbst entwickelte Plugins verhält sich Firefox stabiler für mich.
Und es ist die einzige relevante übrige Browser Engine neben Chromium. Alles andere (inkl
Brave) hat unter der Haube den Chromium Code von Google.
Gematik hält Kritik des Chaos Computer Clubs an ePA für übertrieben
@LittelD: Es wurden diverse Angriffe auf verschiedene Stellen des Systems gezeigt mit verschiedenen Zielen, die alle einzeln durchführbar oder auch teils sinnvoll kombinierbar sind.
Darunter waren leichte Social Engineering Angriffe, SQL Injections in Web-Formularen, Ausnutzung falsch konfigurierter Hardware, Ausnutzung systematischer Designfehler beim Abruf einer ePA vom Server bzw. Ausnutzung der fehlenden Verifikation ob ein beliebiger Versicherter tatsächlich mal bei dem missbrauchten oder böswilligen Arzt oder Fake-Arzt/externen Angreifer seine Karte vorgelegt hat (oder auch nur irgendwie namentlich oder sonstig bekannt ist).
Ergebnisse der gezeigten Angriffe war mehrfach Zugriff auf Arzt-Zertifikate (=> in dessen Folge Zugriff auf alle legitim zugreifbaren ePAs), einmal möglicherweise/ungetestet Erstellung von Fake-Ärzten und Ausstellung passender Zertifikate (=> nützlich für andere Angriffe), mehrfach Zugang zum VPN in dem das System erreichbar ist (=> nützlich für andere Angriffe), einmal Zugang zu zufälligen (mitunter allen) existierenden ePAs (lesend + schreibend auf die Daten die ein Arzt sehen kann), einmal Zugang zu ePAs von einzelnen beliebigen Zielpersonen (lesend + löschend auf alle Daten - Nutzersicht).
Gematik hält Kritik des Chaos Computer Clubs an ePA für übertrieben
@mh0001:
Ich will jetzt nicht meine Antwort an ibecf wiederholen. Aber nein, es ist ja nicht ansatzweise so gut wie bisher.
Bisher kann nicht jeder Arzt(helfer) mit etwas krimineller Energie oder jeder Kriminelle mit etwas Glück (Fehler einer Praxis bzgl. ihrer IT ausnutzen zu können) ODER Zugriff auf die Zertifikatskarten und PINs irgendeines Arztes ODER Erfolg bei der illegitimen Beschaffung einer falschen Zertifikatskarte (war einer der gezeigten Angriffe auf dem Kongress) auf ALLE Befunde, Rezepte und Abrechnungen aller Ärzte für alle Patienten Deutschlands zugreifen.
Ebenso wenig genau genommen könnte ein Akteur auch nur easy auf alle Akten eines einzigen Patienten zugreifen, weil die ja eben (leider bisher) nicht alle gesammelt bei einem Arzt liegen.
Gematik hält Kritik des Chaos Computer Clubs an ePA für übertrieben
@ibecf: Allerdings kommt man über einen Einbruch dann nur an die Akten dieses Arztes an.
Von den 5+ (ich habe nicht mitgezählt, aber 5 waren es mind.) auf dem CCC-Kongress gezeigten, praktisch durchgeführten Angriffen, war mind. 1 geeignet, alle Daten von allen ePAs auszulesen, sofern man Zugang zu Geräten und Zertifikaten von IRGENDEINEM Arzt/Krankenhaus/Apotheke hat.
Mind. 2 andere gezeigte Angriffe + 1 gezeigter Fehler in manchen Arztpraxen würden einem Angreifer genau diesen Zugang ermöglichen.
Oder eben der von Dir angesprochene Dietrich. ;) (Aber dafür müsste man ja vor Ort einbrechen und das ist ein bisschen riskant, weil das leichter entdeckt werden könnte. Da wäre ein Angriff aus einem sonnigen Inselstaat heraus via Internet angenehmer wegen geringerer Gefahr der Festnahme.)
In der Analogen Welt mit Dietrichen und ungesicherten Arztschränken müsste man dazu bei allen Ärzten und Krankenkassen einbrechen.
Weitere gezeigte Angriffe ermöglichen entweder durch Kombination oder durch etwas kompliziertere Vorarbeit* den Zugriff auf die Akten zu einzelnen quasi beliebigen Zielpersonen.
(* Dass man auch einfach Karten klauen könnte oder ähnliches haben Kastl und Tschirsich in dem Vortrag gar nicht groß erwähnt.)
In der Analogen Welt mit Dietrichen und ungesicherten Arztschränken müsste man dazu erstmal wissen, bei welchen Ärzten + Apotheken die Zielperson. Wichtig: Plural beachten. Die ePA-Server enthalten diverses von allen Ärzten, Apotheken und deiner Krankenkasse in einer ePA. Der Arzt hat nicht alles von dir (was ja genau ein Kernproblem war, das man lösen will mit der ePA).