Aktuelles, Branche, Produkte - geschrieben von am Montag, Dezember 31, 2018 17:30 - ein Kommentar

Gesundheits-Apps: Sicherheitslücke kann geschlossen werden

Dr. Florian Scheuer kommentiert Hacker-Attacke auf „Vivy“ und zeigt Ausweg auf

[datensicherheit.de, 31.12.2018] Nachdem es die letzten Wochen offenbar still um den Hacker-Angriff auf die Gesundheitsakten-App „Vivy“ geworden ist, wurde nach Angaben von Dr. Florian Scheuer, „CTO“ von DRACOON, das Thema auf dem „Chaos Communication Congress“ (35C3) in Leipzig noch einmal intensiv diskutiert. Anlass sei die detaillierte Beschreibung der Schwachstellen im Rahmen seines Vortrags durch ihren Entdecker, Martin Tschirsich, gewesen. Sehr deutlich geworden sei dabei erneut, welche grundlegenden Fehler bei der finanziell durchaus gut aufgestellten Entwicklung der App gemacht worden seien, „die nach eigener Aussage auf der Webseite den Anspruch hat ,Sicherheit auf höchstem Niveau‘ zu bieten“, kommentiert Dr. Scheuer.

Schwache Schutzmaßnahmen für kritische Patientendaten

Besonders problematisch falle auf, dass die lediglich schwachen Schutzmaßnahmen der kritischen Patientendaten durch einfaches Ausprobieren hätten ausgehebelt werden können.
Zudem sei es gelungen, Phishing-Angriffe in die App einzuschleusen und somit Zugangsdaten von Nutzern zu stehlen (ohne dass diese eine Chance hätten, dies festzustellen) sowie einen Weg aufzuzeigen, über den sensible kryptographische Schlüssel von Ärzten gestohlen werden könnten. Dr. Scheuer: „Gerade die letzte Schwachstelle ist bis heute nicht beseitigt.“

Schwache Sicherung der geheimen kryptographischen Schlüssel

Doch nicht nur bei „Vivy“ träten gravierende Sicherheits- und Datenschutzprobleme zutage: Tschirsich habe auch die Alternativen von großen und kleinen Anbietern analysiert und dabei ebenfalls eklatante Schwachstellen gefunden, die teilweise Zugriff auf sämtliche Daten des Systems ermöglichten.
Mit Abstand am besten schlage sich eine noch in der Beta-Phase befindliche App („TK Safe“); diese schütze die Gesundheitsdaten mit Hilfe einer clientseitigen Verschlüsselung. Bei ihr würden die Daten bereits in der App stark verschlüsselt und erst danach zum zentralen Service übertragen bzw. mit einem Empfänger (z.B. dem behandelnden Arzt) ausgetauscht. Dennoch seien auch dort „schwerwiegende Fehler bei der Sicherung der geheimen kryptographischen Schlüssel gemacht“ worden, berichtet Dr. Scheuer.

Clientseitige Verschlüsselung empfohlen

Die Probleme bei den Umsetzungen der digitalen Gesundheits- und Patientenakten zeigten sehr deutlich die Notwendigkeit, Sicherheitsgrundsätze von Anfang an bei der Entwicklung dieser kritischen Systeme zu berücksichtigen und tief in der Software-Architektur zu verankern – das nachträgliche Ergänzen von Sicherheitsmaßnahmen sei „oft sehr schwierig und fehleranfällig“.
Zudem könne einzig eine clientseitige Verschlüsselung wirklich verhindern, dass die gespeicherten Informationen bei einem Datenleck einem Angreifer in die Hände fallen, betont Dr. Scheuer.
Nach seinen Angaben ist DRACOON Anbieter einer Enterprise-Filesharing-Lösung zur Verwaltung sensibler Informationen mit einer Vielzahl an Sicherheitsmechanismen. Bereits heute werde diese Lösung im Healthcare-Bereich durch viele Kliniken „erfolgreich eingesetzt und schützt somit die sensiblen Informationen vieler Patienten in Deutschland“.

Weitere Informationen zum Thema:

datensicherheit.de, 16.10.2018
BSI-Lagebericht belegt weiterhin hohes Gefährdungspotential durch Ransomware

datensicherheit.de, 08.09.2018
Datensicherheit: Filesharing mit Virenschutz

datensicherheit.de, 20.06.2018
Filesharing: Schutz vor ungewolltem Datenzugriff



ein Kommentar

Sie können Kommentare zu diesem Eintrag über den RSS-2.0-Feed verfolgen. Sie können einen Kommentar hinterlassen oder einen Trackback von Ihrer Website hierher setzen.

Stefan Streit
Jan 2, 2019 18:25

ein Gruß aus Leipzig.

Ich wünsche Ihnen einen guten Jahreswechsel und ein gutes Jahr 2019.

Ganz herzliche Grüße

Stefan Streit

Neue Horizonte – Digitalisierung in der Medizin. So kann´s gehen!

Der Beitrag von Herrn Tschirsich, zur Digitalisierung in der Medizin, gehört zu den meistgeklickten Vorträgen des 35C3. Die Probleme rund um die geplanten, digitalen Patientenakten und die Telematikinfrastruktur sind ebenso vielfältig, wie unübersichtlich.

Deshalb empfehle ich hier einen Versuch mit reverse engineering. Schauen Sie sich zuerst einmal eine Lösung an, um sich gezielt darüber klar zu werden, worin denn die Probleme eigentlich bestehen. Dies gelingt mit meinem Lightning-Talk „Neue Horizonte“, vom 35C3, in fünf Minuten. Dazu benutzen Sie bitte den folgenden Link und starten das Abspielen der Aufzeichnung mit dem „>“.

https://media.ccc.de/v/35c3-9566-lightning_talks_day_2#t=6586

Das Geheimnis ist durch die Digitalisierung zu einem fragwürdigen Schutzkonzept geworden. Ausgerechnet die binäre Digitalisierung erzwingt nun den Abschied von liebgewonnenen schwarz-weißen Gewissheiten. Aktuell macht graue Datennutzung den weitaus größten Teil der Datenübertragungen in der Medizin aus. In diesem gigantischen, rechtsfreien Raum erfolgt die Datennutzung derzeit völlig unreguliert. Geregelt ist offensichtlich ausschließlich nur die weiße Datennutzung. Dies so gründlich, dass praktisch jeder ärztliche Datentransfer entweder illegal oder unangemessen aufwendig wird. Zur Verhinderung schwarzer Datennutzung existiert dagegen keine politische Idee. Das von mir vorgestellte Konzept basiert auf einem neuen bio-psycho-sozio-informationellen Gesundheitsbegriff, der Gesundheitsdaten als Teil der Persönlichkeit betrachtet. Diese scheinbar kleine Intervention, zusammen mit strikter Zweckbindung, wie von der DSGVO sowieso gefordert, justiert die Wechselwirkung bestehender Gesetze neu. Ohne jede Gesetzesänderungen kommt man jetzt zu Perspektiven für gegenwärtig unlösbare Probleme. Dieses Konzept wurde vom Institut für Sozialstrategie begutachtet und als Langversion veröffentlicht. Der angegebene Link führt direkt zur Veröffentlichung.

https://www.institut-fuer-sozialstrategie.de/2018/11/15/gesundheit-eigentum-und-digitalisierung-in-der-medizin-ueberlegungen-zu-einem-neuen-gesundheitsdateneigentumsbegriff/

Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung