Schlagwort-Archive: CCC

Offener Brief von CCC, FifF u. a. an Jens Spahn: Geplante Corona-App ist höchst problematisch

Wie Medienberichten zu entnehmen ist, plant das Bundesgesundheitsministerium nun mit einer Corona-Tracing-App auf Basis des Softwaregerüsts der Initiative PEPP-PT (Pan-European Privacy-Preserving Proximity Tracing) mit zentralem Matching.

In einem Offenen Brief vom 24.04.2020, der u. a. vom Chaos Computer Club e.V. (CCC), dem · Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V. (FifF) und der · Gesellschaft für Informatik (GI) e.V. unterzeichnet wurde, wird dazu festgestellt:

In der derzeitigen politischen Diskussion werden Erwartungen für eine Corona-Tracing- App geschürt, die möglicherweise nicht eingehalten werden können. Inwiefern sie die Pandemie-Bekämpfung unterstützen kann, wird erst in Monaten zu beurteilen sein. Wir bitten aus diesen Gründen darum, eine Neubewertung der verschiedenen Optionen zu vollziehen und dabei die Argumente und Vorbehalte vieler Expertinnen und Experten stärker zu berücksichtigen sowie ausschließlich auf Lösungen zu setzen, die – im Gegensatz zu dem vorliegenden Vorschlag – technisch von den Betriebssystem- Anbietern auch umsetzbar sind. Offener Brief von CCC, FifF u. a. an Jens Spahn: Geplante Corona-App ist höchst problematisch weiterlesen

CCC: 10 Prüfsteine für die Beurteilung von Corona-“Contact Tracing”-Apps

In einer Zeit, in der nicht nur Politiker*innen, die schon immer vom Überwachungsstaat träumten, ausufernde Phantasien entwickeln, wie die Menschen in unserem Land „zu ihrem Besten“ engmaschig überwacht werden könnten; in einer Zeit, in der auch viele Menschen bereit zu sein scheinen, ihr Grundrecht auf informationelle Selbstbestimmung aufzugeben, begründet mit der Hoffnung, damit Gesundheit und Leben zu schützen, in einer solchen Zeit ist es notwendig, gegenzusteuern und deutlich zu machen: Gesundheitsschutz und Grundrechtsschutz – wir brauchen beides!

Der CCC hat sich im Bezug auf die – auch international – eingesetzten und geplanten Überwachungsinstrumentarien positioniert und Prüfsteine zu deren Beurteilung aus technischer und gesellschaftlicher Perspektive veröffentlicht. In einer Stellungnahme vom 06.04.2020 erklärt der CCC: „Politik und Epidemiologie ziehen aktuell gestütztes ‘Contact Tracing’ als Maßnahme in Erwägung, systematisch einer Ausbreitung von SARS-CoV-2-Infektionen entgegen zu wirken. Dies soll der Gesellschaft eine größere Freizügigkeit zurückgeben, indem Infektionsketten schneller zurückverfolgt und unterbrochen werden können. Durch eine solche Lösung sollen Kontakte von Infizierten schneller alarmiert werden und sich dadurch schneller in Quarantäne begeben können. Dadurch wiederum sollen weitere Infektionen ihrerseits verhindert werden… Für die technische Implementierung dieses Konzepts gibt es eine Reihe an Vorschlägen. Diese Empfehlungen reichen von dystopischen Vorschlägen für Vollüberwachung bis hin zu zielgenauen, vollständig anonymisierten Methoden der Alarmierung von potentiell Infizierten ohne Kenntnis der konkreten Person.“ Daraus folgend hat der CCC „gesellschaftliche und technische Minimalanforderungen für die Wahrung der Privatsphäre bei der Implementierung derartiger Technologien“ formuliert und erklärt: „Wir werden aus grundsätzlichen Erwägungen keine konkreten Apps, Konzepte oder Verfahren empfehlen. Wir raten jedoch von Apps ab, die diese Anforderungen nicht erfüllen.“ CCC: 10 Prüfsteine für die Beurteilung von Corona-“Contact Tracing”-Apps weiterlesen

Corona – auch ein Türöffner für den Überwachungsstaat?

Diese Frage bewegt – neben der Sorge um die eigene Gesundheit und die der Familienangehören, Freund*innen, Kolleg*innen, Nachbar*innen – viele Menschen die wissen, wie lange es dauerte bis grundlegende Freiheitsrechte wie das Recht auf die freie Entfaltung der Persönlichkeit (Art. 2 Grundgesetz), die Versammlungsfreiheit (Art. 8 Grundgesetz), das das Post- und Fernmeldegeheimnis (Art. 10 Grundgesetz), die Freizügigkeit im ganzen Bundesgebiet (Art. 11 Grundgesetz), das Asylrecht (Art. 16a Abs. 1 Grundgesetz) und weitere Freiheitsrechte zur Grundlage unserer Rechtsordnung wurden.

Ja, in § 32 Infektionsschutzgesetz (IfSG) gibt es Regelungen, dass „die Grundrechte der Freiheit der Person (Artikel 2 Abs. 2 Satz 2 Grundgesetz), der Freizügigkeit (Artikel 11 Abs. 1 Grundgesetz), der Versammlungsfreiheit (Artikel 8 Grundgesetz), der Unverletzlichkeit der Wohnung (Artikel 13 Abs. 1 Grundgesetz) und des Brief- und Postgeheimnisses (Artikel 10 Grundgesetz) … eingeschränkt werden“ können. Und Ja, wir erleben, wie dies derzeit live und täglich neu mit einer Vielzahl rechtlicher Regelungen umgesetzt wird, die vom Bund, den 16 Bundesländern, aber auch von Landkreisen, Städten und Gemeinden erlassen werden. Ein Ende dieser Fahnenstange ist noch nicht absehbar.

Vieles, was jetzt angeordnet oder einfach auch nur „gemacht“ wird, erscheint medizinischen Laien, auch dem Verfasser dieses Beitrags,  vernünftig und angemessen. Aber spätestens bei der Massenüberwachung von Kommunikationsmitteln (Beispiel: Telekom liefert Bewegungsdaten von Handy-Nutzer*innen an das Robert-Koch Institut) drängen sich Fragen auf, z. B.: Corona – auch ein Türöffner für den Überwachungsstaat? weiterlesen

Anfrage im Bundestag nach „Schwachstellen… der Telematikinfrastruktur im Gesundheitswesen“

Beim 36. CCC-Kongress im Dezember 2019 wurden Schwachstellen und Sicherheitslücken beim Ausgabeprozess für verschiedene in der Telematikinfrastruktur (TI) genutzte Komponenten und Smartcards demonstriert. Es wurde deutlich, dass es für Unbefugte problemlos möglich war, einzelne Smartcards und Komponenten der TI durch die jeweiligen beteiligten Serviceprovider zu beziehen. Es gelang den CCC-Mitgliedern, sich u. a. unautorisiert einen elektronischen Heilberufeausweis und einen Praxis-Ausweis (SMC-B) zu bestellen. Auch ein Konnektor wurde den CCC-Mitgliedern unautorisiert ausgehändigt. Zusätzlich waren bei einem beauftragten Serviceprovider die Kartenanträge von 168 Ärztinnen und Ärzten zeitweise online zugänglich.Außerdem war es den Mitgliedern des CCC gelungen, unautorisiert eine elektronische Gesundheitskarte der AOK Hessen zu bestellen.

Bereits 2015 deckten Recherchen des ZDF Schwachstellen bei der Ausgabe der elektronischen Gesundheitskarte auf, nachlesbar in der Deutschen Apothekerzeitung vom 25.06.2015.

Vor diesem Hintergrund hat die Fraktion BÜNDNIS 90/DIE GRÜNEN am 30.01.2020 eine kleine Anfrage (Bundestags-Drucksache 19/16949) mit insgesamt 21 Fragen an die Bundesregierung gestellt. Die erste und die letzte dieser Fragen lauten: Anfrage im Bundestag nach „Schwachstellen… der Telematikinfrastruktur im Gesundheitswesen“ weiterlesen

CCC diagnostiziert Schwachstellen im deutschen Gesundheitsnetzwerk

Hackern des Chaos Computer Club ist es gelungen, sich Zugangsberechtigungen für das sogenannte Telematik-Netzwerk zu verschaffen. An das Netz sind über 115.000 Praxen angeschlossen. Über das System sollen in naher Zukunft verpflichtend digitale Patientendaten und elektronische Rezepte ausgetauscht werden.

CCC-Sicherheitsforschern ist es gelungen, sich gültige Heilberufsausweise, Praxisausweise, Konnektorkarten und Gesundheitskarten auf die Identitäten Dritter zu verschaffen. Mit diesen Identitäten konnten sie anschließend auf Anwendungen der Telematik-Infrastruktur und Gesundheitsdaten von Versicherten zugreifen. Die Hacker stellten grobe Mängel in den Zugangsprozessen fest, und demonstrieren mit Beispielangriffen, wie sich Kriminelle Identitäten erschleichen können. Im Falle der eGK gelang dies bereits zum wiederholten Male.

Die Diagnose

  • Bei Ausgabe der Praxisausweise (SMC B) wurde auf eine Identifikation des Antragstellers vollständig verzichtet. Ein Angreifer kann so Befunde lesen und selbst gefälschte Dokumente in Umlauf bringen. Mit Einführung der elektronischen Patientenakte kann der Angreifer die vollständigen Inhalte der für diese Praxis freigegebenen Patientenakten einsehen.
  • Bei Ausgabe der elektronischen Heilberufsausweise (HBA) kommen völlig ungeeignete Identifikationsverfahren zum Einsatz. Angreifer im Besitz eines eHBA können damit nicht nur Rezepte, sondern beliebige Dokumente signieren.
  • Bei Ausgabe der elektronischen Gesundheitskarte (eGK) kommen für die Identifikation des Antragstellers ebenfalls völlig ungeeignete Verfahren zum Einsatz. Mit der eGK ist schon jetzt der Zugriff auf die jeweiligen Patientenquittungen möglich, in der die durchgeführten ärztlichen Leistungen verzeichnet sind. Schon in naher Zukunft soll mit Hilfe der eGK ein Zugriff auf den elektronischen Medikationsplan und den Notfalldatensatz sowie die elektronische Patientenakte ermöglicht werden.

Die Ergebnisse präsentiert der CCC-Sicherheitsexperte Martin Tschirsich zusammen mit dem Arzt Christian Brodowski und dem Experten für Identitätsmanagement André Zilch beim diesjährigen Chaos Communication Congress (36C3) in Leipzig. Der Vortrag ist unter media.ccc.de verfügbar.

Die Ursachen

  • Das Konstrukt der gematik: Die Gesellschafter der gematik sind gleichzeitig von der gematik zu kontrollierenden Unternehmen.
  • Nachlässigkeit: Vernachlässigung der Sicherheit organisatorischer Abläufe bei Umsetzung und Zulassung.
  • Mangelnde Prüfung: Relevante Prozessschritte wurden nicht durch die gematik geprüft.
  • Verantwortungsdiffusion bei den beteiligten Unternehmen und Institutionen: Nicht nur im Bundesministerium für Gesundheit sprach man hinter vorgehaltener Hand von “organisierter Verantwortungslosigkeit”, weil die beteiligten Unternehmen sich gegenseitig die Schuld für Probleme zuschoben.

Der CCC verschreibt

  • Schadensbegrenzung: Die gematik muss jetzt prüfen, inwieweit unberechtigte Zulassungen entzogen und falsch ausgestellte Zertifikate zurückgenommen werden müssen.
  • Zuverlässige Kartenbeantragungs- und herausgabeprozesse: Beantragung, Identifikation und Ausgabe müssen entsprechend dem Schutzbedarf von Gesundheits- und Sozialdaten durchgeführt werden.
  • Volle Umsetzung der eGK als Identitätsnachweis.
  • Neuplanung und saubere Implementierung der Prozesse die zur Ausstellung von eGK, HBA und SMC-B führen sowie Kontrolle der Umsetzung.
  • Organisierte Verantwortung statt organisierter Verantwortungslosigkeit: Eine unabhängige zentrale Stelle sollte für die Informationssicherheit der Telematikinfrastruktur verantwortlich sein. Diese Stelle sollte Prozesse nicht nur vorgeben, sondern auch ihre ordnungsgemäße Umsetzung unabhängig prüfen.

Wir wünschen dem deutschen Gesundheitswesen eine schnelle Genesung!

Quelle: Chaos Computer Club, 27.12.2019


Und die @gematik1 “wünscht Ihnen… ein glückliches, gesundes und erfolgreiches neues Jahr!”

Da freuen wir uns aber – und das ganz dolle!

„Digitalstadt Darmstadt“ und die Sorge der grün-schwarzen Rathaus-Koalition um die Gesundheit ihrer BürgerInnen

Die südhessische Universitätsstadt Darmstadt (grüner Oberbürgermeister, grün-schwarze Koalition wie in Baden-Württemberg) hat sich von der BITKOM, dem Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V., einer Lobby-Organisation der deutschen IT-Unternehmen, den Titel “Digitalstadt” verleihen lassen. In einem Wettbewerb gegen die Städte Heidelberg, Kaiserslautern, Paderborn und Wolfsburg hatte Darmstadt die Nase vorn. Seitdem betreibt sie voll Stolz eine Homepage mit dem Namen Digitalstadt Darmstadt.

Naive Begeisterung über die schöne neue Digital-Welt paart sich mit Plattitüden. Oberbürgermeister Jochen Partsch (Grüne) gerät bei Digitalstadt Darmstadt ins Schwärmen: „Wir leben in spannenden Zeiten, denn wir erleben ein ganz eigenes Kapitel der Geschichte hautnah mit. Die Digitalisierung verschiebt sich zunehmend in alle Lebensbereiche und Teile der Bevölkerung. Die Chancen und Potentiale sind enorm. Nicht minder groß sind die Herausforderungen, die die digitale Lebensreform mit sich bringt. Die Wissenschaftsstadt Darmstadt hat eine lange Historie, sich den Zeichen der Zeit zu stellen und sowohl technologischen Wandel zu leben als auch ihn voranzutreiben. In Darmstadt greift man wortwörtlich nach den Sternen und schafft die Voraussetzungen, dass die Digitalisierung für unsere Gesellschaft auf sinnvolle und nachhaltige Weise nutzbar wird…“ Das Darmstädter Echo vom 30.07.2017 stellt dazu fest: „Vergleichsweise konkret sind Aussagen von Oberbürgermeister Jochen Partsch für den Bereich Gesundheit. Er kündigte die Schaffung einer ‚intuitiven Datenplattform‘ an, über die jeder Bürger jederzeit Zugriff auf seine eigenen Gesundheitsdaten habe und diese anderen, etwa Ärzten, zur Verfügung stellen könne.“ „Digitalstadt Darmstadt“ und die Sorge der grün-schwarzen Rathaus-Koalition um die Gesundheit ihrer BürgerInnen weiterlesen