Aktuelles, Branche - geschrieben von dp am Freitag, Juni 25, 2021 18:59 - noch keine Kommentare
Sicherheitslücken in Corona-Testzentren aufgedeckt
Schwache Passwörter und lückenhafte Verschlüsselung untergraben die Sicherheit
[datensicherheit.de, 25.06.2021] Das Hacker-Kollektiv „Zerforschung“ hat laut einer aktuellen Stellungnahme von Jörg Horn, „Chief Product Officer“ bei uniscon, „erneut eine gravierende Sicherheitslücke“ in „Corona“-Testzentren aufgedeckt. Die Spezialisten hatten demnach nach eigenen Angaben keine Mühe, sich Zugriff auf 174.000 Datensätze zu verschaffen, „darunter Buchungsbestätigungen sowie streng vertrauliche, personenbezogene Daten wie Name, Anschrift, Telefonnummer, E-Mail-Adresse und Geburtsdatum der Patienten“. Selbst Testergebnisse und in einigen Fällen sogar die Ausweisnummer hätten den Angreifern vorgelegen.
Jörg Horn: Verschlüsselung bei Übertragung und Speicherung sensibler Daten u.a. nicht diskutierbare Grundlage der Sicherheit
Passwort-Sicherheit der Accounts geradezu schlampig…
Horn kommentiert: „Die Passwörter der Accounts wurden geradezu schlampig generiert und ungesichert übermittelt: In Aufsteigender Reihenfolge wurden von der im Einsatz befindlichen Software Passwörter aus den Zahlen null bis neun sowie aus den Buchstaben A bis F zusammengesetzt.“ Die Hacker hätten somit leichtes Spiel gehabt, massenhaft Patientendaten einsehen zu können.
Das BSI habe diesen Vorfall als „gravierendes IT-Sicherheits- und Datenschutzproblem“ bezeichnet. Betroffen seien 34 Testzentren des Betreibers PAS Solutions in vier Bundesländern. „Zerforschung“ vermute hinter der Sicherheitslücke einen Mangel an Personal in den für die Aufsicht zuständigen Behörden.
Einhaltung grundlegender Prinzipien der Datensicherheit hat gefehlt
„Die Bewertung eines Vorfalls im Nachgang ist eine vermeintlich einfache Disziplin.“ Mit Kenntnis der genauen Vorgangsweise der Hacker und der Schwachstellen in der betroffenen IT-Struktur könnten Sicherheitsexperten schnell eine Strategie mit Gegenmaßnahmen formulieren. Doch in diesem Fall, so Horn, sei es nicht dem Einfallsreichtum der Angreifer zuzurechnen, „dass die Patientendaten entwendet werden konnten“.
Hierbei habe es an der Einhaltung grundlegender Prinzipien der Datensicherheit gefehlt – „vor allem die unbedachte Generierung simpler Passwörter machten es den Angreifern leicht, die Passwörter mit Hilfe von ,Brute Force‘ zu ,erraten‘. Abgesehen davon sollten sensible digitale Informationen niemals im Klartext kommuniziert werden.“ Ansonsten seien sie Cyber-Kriminellen schutzlos ausgeliefert.
Lückenlose Verschlüsselung der Daten als eine Säule der Sicherheit
Geschäftsfelder wie das Gesundheitssystem, welche mit besonders sensiblen Daten operierten, sollten daher unter allen Umständen auf eine lückenlose Verschlüsselung ihrer Daten setzen.
Horn betont: „Ausnahmslos! Denn der damit verbundene zusätzliche Aufwand steht in keinem Verhältnis zu dem Risiko, das ohne sie eingegangen wird. Und das meist ohne Kenntnis der betroffenen Patienten oder Kunden.“ So seien laut „Zerforschung“ selbst eine Woche nach Bekanntwerden der Sicherheitslücke die Betroffenen nicht vom Betreiber informiert worden.
Verletzung der Datensicherheit untergräbt Akzeptanz der Nutzer
Um der Digitalisierung des öffentlichen Lebens – einschließlich Behördengängen, Arztbesuchen oder zukünftig auch Wahlen – zum Erfolg zu verhelfen, werde die Akzeptanz aller Nutzer benötigt. „Um auch die letzten Skeptiker von den Vorzügen digitaler Lösungen zu überzeugen, dürfen sich Vorfälle wie dieser nicht wiederholen“, unterstreicht Horn.
Gerade in Zeiten, da immer mehr Betriebe und sogar streng regulierte Branchen ihre Daten in die Cloud migrierten, seien vertrauensbildende Maßnahmen der IT-Sicherheit von größter Bedeutung. Die grundsätzliche Verschlüsselung bei der Übertragung und Speicherung sensibler Daten sei dabei genauso „als nicht diskutierbare Grundlage zu sehen wie der flächendeckende Einsatz starker Passwörter und der Zwei-Faktor-Authentifizierung“, so Horn abschließend.
Weitere Informationen zum Thema:
datensicherheit.de, 17.06.2021
TÜV Rheinland: Online-Seminar zur IT-Sicherheit im Gesundheitswesen / Gebührenfreies Angebot vom TÜV Rheinland am 12. Juli 2021
datensicherheit.de, 30.11.2020
IT-Sicherheit hinkt bei Digitalisierung im Gesundheitswesen hinterher / PSW GROUP gibt Tipps, wie sich die IT-Sicherheit im Gesundheitswesen verbessern lässt
datensicherheit.de, 16.08.2020
Gesundheitswesen: Digitalisierung-Datenschutz-Synergie / Haye Hösel erläutert „1×1 des Datenschutzes“ im Kontext der notwendigen Erhebung besonders sensibler Informationen im Gesundheitswesen
Aktuelles, Experten - Apr 26, 2024 20:46 - noch keine Kommentare
eco-Stellungnahme zum Verschlüsselungsverbot – praktisch nicht umsetzbar und Verstoß gegen Grundrechte
weitere Beiträge in Experten
- Schleswig-Holstein: Datenschutzbericht 2023 vorgestellt
- Bundesdatenschutzgesetz: DSK-Stellungnahme zum Gesetzentwurf zur Änderung veröffentlicht
- Digitalministerkonferenz: Digitalverband Bitkom benennt Herausforderungen an die neue Institution
- Digitalministerkonferenz sollte Schnellboot der Digitalisierung in Deutschland sein
- World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
Aktuelles, Branche - Apr 26, 2024 20:54 - noch keine Kommentare
Soziale Medien: Booster oder Cyber-Achillesferse für Politiker
weitere Beiträge in Branche
- DORA ante portas: Verbindliche Richtlinie für das Risikomanagement im Finanzsektor rückt näher
- Generative KI: Jüngste Erkenntnisse von Check Point Research zur Gefahr für die Wahlen 2024
- DDoS-Attacken: Check Point warnt vor neue Wellen
- Finanzkriminalität: BioCatch publiziert ersten Bericht über digitalen Betrug mittels KI
- Zscaler-Report 2024: 60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren