Flipper@feddit.org
on 27 Dec 2024 19:26
nextcollapse
Das hat ja niemand ahnen können. Also einfach wirklich niemand.
Papierkorb@feddit.org
on 29 Dec 2024 22:26
collapse
Ich hasse wie wenig ich überrascht bin.
federalreverse@feddit.org
on 27 Dec 2024 18:04
nextcollapse
ÖDA: Sie konnen ausoptieren.
Zacryon@feddit.org
on 27 Dec 2024 19:49
nextcollapse
Inzwischen hat sich die Gematik zu den Sicherheitsmängeln geäußert und bezeichnet die “praktische Durchführung in der Realität” für einen der genannten Angriffe als “nicht sehr wahrscheinlich”.
Achso ja. Man kann sich damit ja nur Zugriff auf sämtliche Daten erschleichen. Wer sollte diesen Aufwand schon auf sich nehmen? V.a. heutzutage, so friedlich und lieb, wie wir alle miteinander sind. Ne, macht keiner. 100%ig nicht! /s
UxyIVrljPeRl@lemmy.world
on 27 Dec 2024 21:01
nextcollapse
Das ist deren backup Strategie: Dezentral
Klingenrenner@feddit.org
on 28 Dec 2024 07:19
nextcollapse
Ich mags wie sie quasi sagen: stimmt, das kann passieren, aber wird schon gut gehen.
MaggiWuerze@feddit.org
on 28 Dec 2024 10:52
nextcollapse
#YOLO
Klingenrenner@feddit.org
on 28 Dec 2024 15:39
collapse
Das trifft es nur zu gut auf den Punkt.
Don_alForno@feddit.org
on 29 Dec 2024 11:25
nextcollapse
Das kann keiner ausnutzen! Außer mit einem extrem hohen Maß an krimineller Energie!!!1!
Klingenrenner@feddit.org
on 30 Dec 2024 22:16
collapse
drückt F5
killingspark@feddit.org
on 29 Dec 2024 12:38
collapse
Es wäre ja außerdem auch verboten das auszunutzen! Geht also gar nicht.
Kissaki@feddit.org
on 28 Dec 2024 11:18
nextcollapse
Die Gematik äußerte sich wohl nur auf einen der Kritikpunkte; das Zitat bezieht sich wohl nur auf einen der Angriffsmöglichkeiten.
Überdies findet Tschirsich es schade, dass die Gematik nur zu einem der Mängel Stellung bezieht.
Ich hab mich beim Lesen des Artikels sehr gefreut, dass mein Opt-Out sich so schnell als die absolut richtige Wahl herausgestellt hat. Das ist absolut erbärmlich von den Verantwortlichen. Aber geht ja wohl auch nur um die Daten von gesetzlich Versicherten, wenn der Privatversicherte mit dem ich gesprochen habe, da nichts verpasst hat…
Saleh@feddit.org
on 28 Dec 2024 07:05
nextcollapse
Der Talk war sehr unterhaltsam und leider ziemlich deprimierend.
Ich habe etwas den Überblick verloren, welche der Lücken geschlossen sein sollen und welche nicht, aber dass selbst einfache SQL Injections schon gereicht haben, um Vollzugriff auf alle Akten zu bekommen, ist in 2025 lächerlich.
hermano@feddit.org
on 28 Dec 2024 08:23
nextcollapse
Wow, verfickter Fick. Ich hab lange gerungen ob ich nicht im System bleiben soll. Jetzt bin ich raus. Dilletanten, verdammte!
philpo@feddit.org
on 28 Dec 2024 11:06
nextcollapse
Das Schlimme ist ja: Es geht ja durchaus mit einer ePA in sicher.
Aber man hat ja für die ePA 3.0 das Sicherheitsniveau herunter gefahren und zusätzlich lecken die Prozesse an allen Ecken und Enden.
Ich hab selber einen elektronischen Heilberufeausweis(eHBA) und eine Institutionskarte. War jetzt nicht einfach zu kriegen weil viel Papierkram,aber wirklich ernsthaft geprüft hat das auch keiner - da liegt aber das Grundproblem der Digitalisierung in Deutschland: Es ist Stückwerk.
Denn es gäbe einen ganz einfachen Weg wie man das lösen könnte: Man muss nur die Aktivierung mit einem elektronischen Personalausweis und PIN erzwingen und schon hat man das Problem nicht mehr.
Technisch gesehen könnte man dann sogar ganz auf den eHBA verzichten und diesen nur als Merkmal auf den Perso aufschalten,dann wäre nur noch die Institutionskarte notwendig, selbst diese ist aber ggf. anders lösbar.
Warum macht man das nicht? Weil es ein riesen Geschäft ist.
Der eHBA kostet mind. 100€ im Jahr, die Institutionskarte nocheinmal ähnlich viel. In Zukunft braucht jeder Healthcare Professional (also auch alle Hebammen, Notfallsanitäter, ein Teil der Pflege)Zugriff.
Das sind insgesamt knapp eine Million Menschen. Also geschmeidige 100 Millionen Euro pro Jahr die an die insgesamt 5 großen Anbieter gehen. Für nix. (Denn die Entwicklung und Instandhaltung zahlt der Staat größtenteils)
Peter_Arbeitsloser@feddit.org
on 28 Dec 2024 17:00
collapse
Ist das nicht witzigerweise genau das selbe, was Linus Naumann vor 10 Jahren beim CCC zum Thema De-Mail gesagt hat?
Dass man einfach nur den elektronischen Perso für ne Signatur der Mail nutzen müsste, um das Thema ohne weiteren Aufwand zu lösen?
Don_alForno@feddit.org
on 29 Dec 2024 09:34
collapse
Man könnte den e perso für sehr viele Dinge nutzen, bei denen man stattdessen auf weniger sichere, umständlichere und teurere Lösungen zurückgreift.
gandalf_der_12te@feddit.org
on 28 Dec 2024 11:13
collapse
threaded - newest
<img alt="" src="https://swg-empire.de/pictrs/image/7c5acff1-8ffe-45fd-8c5c-110ac18d596b.png">
Das hat ja niemand ahnen können. Also einfach wirklich niemand.
Ich hasse wie wenig ich überrascht bin.
ÖDA: Sie konnen ausoptieren.
Achso ja. Man kann sich damit ja nur Zugriff auf sämtliche Daten erschleichen. Wer sollte diesen Aufwand schon auf sich nehmen? V.a. heutzutage, so friedlich und lieb, wie wir alle miteinander sind. Ne, macht keiner. 100%ig nicht! /s
Das ist deren backup Strategie: Dezentral
Ich mags wie sie quasi sagen: stimmt, das kann passieren, aber wird schon gut gehen.
#YOLO
Das trifft es nur zu gut auf den Punkt.
Das kann keiner ausnutzen! Außer mit einem extrem hohen Maß an krimineller Energie!!!1!
drückt F5
Es wäre ja außerdem auch verboten das auszunutzen! Geht also gar nicht.
Die Gematik äußerte sich wohl nur auf einen der Kritikpunkte; das Zitat bezieht sich wohl nur auf einen der Angriffsmöglichkeiten.
Ich sehs schon kommen:
Person findet Sicherheitslücke.
Person meldet Sicherheitslücke.
5 Monate passiert nichts.
Person macht Sicherheitslücke öffentlich.
Polizei macht Hausdurchsuchung bei Person und konfisziert alles was elektronisch ist.
Person muss sich drei Jahre lang vor Gericht gegen Staatsanwalt wehren und wird finanziell und beruflich in den Ruin getrieben.
Alles schon gesehen
Trauriger Ausgang des Falls
Bleibt zu hoffen dass in Deutschland Sicherheitsforscher künftig anonym Daten leaken um auf Sicherheitslücken aufmerksam zu machen.
Spätestens jetzt sollte man wissen, was man zukünftig zu erwarten hat. Es ist noch nicht zu spät für den Opt-Out…
Ich hab mich beim Lesen des Artikels sehr gefreut, dass mein Opt-Out sich so schnell als die absolut richtige Wahl herausgestellt hat. Das ist absolut erbärmlich von den Verantwortlichen. Aber geht ja wohl auch nur um die Daten von gesetzlich Versicherten, wenn der Privatversicherte mit dem ich gesprochen habe, da nichts verpasst hat…
Der Talk war sehr unterhaltsam und leider ziemlich deprimierend.
Ich habe etwas den Überblick verloren, welche der Lücken geschlossen sein sollen und welche nicht, aber dass selbst einfache SQL Injections schon gereicht haben, um Vollzugriff auf alle Akten zu bekommen, ist in 2025 lächerlich.
Wow, verfickter Fick. Ich hab lange gerungen ob ich nicht im System bleiben soll. Jetzt bin ich raus. Dilletanten, verdammte!
Das Schlimme ist ja: Es geht ja durchaus mit einer ePA in sicher. Aber man hat ja für die ePA 3.0 das Sicherheitsniveau herunter gefahren und zusätzlich lecken die Prozesse an allen Ecken und Enden.
Ich hab selber einen elektronischen Heilberufeausweis(eHBA) und eine Institutionskarte. War jetzt nicht einfach zu kriegen weil viel Papierkram,aber wirklich ernsthaft geprüft hat das auch keiner - da liegt aber das Grundproblem der Digitalisierung in Deutschland: Es ist Stückwerk.
Denn es gäbe einen ganz einfachen Weg wie man das lösen könnte: Man muss nur die Aktivierung mit einem elektronischen Personalausweis und PIN erzwingen und schon hat man das Problem nicht mehr. Technisch gesehen könnte man dann sogar ganz auf den eHBA verzichten und diesen nur als Merkmal auf den Perso aufschalten,dann wäre nur noch die Institutionskarte notwendig, selbst diese ist aber ggf. anders lösbar. Warum macht man das nicht? Weil es ein riesen Geschäft ist. Der eHBA kostet mind. 100€ im Jahr, die Institutionskarte nocheinmal ähnlich viel. In Zukunft braucht jeder Healthcare Professional (also auch alle Hebammen, Notfallsanitäter, ein Teil der Pflege)Zugriff.
Das sind insgesamt knapp eine Million Menschen. Also geschmeidige 100 Millionen Euro pro Jahr die an die insgesamt 5 großen Anbieter gehen. Für nix. (Denn die Entwicklung und Instandhaltung zahlt der Staat größtenteils)
Ist das nicht witzigerweise genau das selbe, was Linus Naumann vor 10 Jahren beim CCC zum Thema De-Mail gesagt hat? Dass man einfach nur den elektronischen Perso für ne Signatur der Mail nutzen müsste, um das Thema ohne weiteren Aufwand zu lösen?
Man könnte den e perso für sehr viele Dinge nutzen, bei denen man stattdessen auf weniger sichere, umständlichere und teurere Lösungen zurückgreift.
<img alt="" src="https://feddit.org/pictrs/image/bc763ca1-49a6-4846-99e1-5e62aab7fb18.png">
Ach man, wenn’s den CCC nicht gäbe …
Tja