Aktuelles, Branche - geschrieben von dp am Freitag, Juni 25, 2021 18:59 - noch keine Kommentare
Sicherheitslücken in Corona-Testzentren aufgedeckt
Schwache Passwörter und lückenhafte Verschlüsselung untergraben die Sicherheit
[datensicherheit.de, 25.06.2021] Das Hacker-Kollektiv „Zerforschung“ hat laut einer aktuellen Stellungnahme von Jörg Horn, „Chief Product Officer“ bei uniscon, „erneut eine gravierende Sicherheitslücke“ in „Corona“-Testzentren aufgedeckt. Die Spezialisten hatten demnach nach eigenen Angaben keine Mühe, sich Zugriff auf 174.000 Datensätze zu verschaffen, „darunter Buchungsbestätigungen sowie streng vertrauliche, personenbezogene Daten wie Name, Anschrift, Telefonnummer, E-Mail-Adresse und Geburtsdatum der Patienten“. Selbst Testergebnisse und in einigen Fällen sogar die Ausweisnummer hätten den Angreifern vorgelegen.
![uniscon-joerg-horn](https://www.datensicherheit.de/wp-content/uploads/uniscon-joerg-horn.jpg)
Foto: uniscon
Jörg Horn: Verschlüsselung bei Übertragung und Speicherung sensibler Daten u.a. nicht diskutierbare Grundlage der Sicherheit
Passwort-Sicherheit der Accounts geradezu schlampig…
Horn kommentiert: „Die Passwörter der Accounts wurden geradezu schlampig generiert und ungesichert übermittelt: In Aufsteigender Reihenfolge wurden von der im Einsatz befindlichen Software Passwörter aus den Zahlen null bis neun sowie aus den Buchstaben A bis F zusammengesetzt.“ Die Hacker hätten somit leichtes Spiel gehabt, massenhaft Patientendaten einsehen zu können.
Das BSI habe diesen Vorfall als „gravierendes IT-Sicherheits- und Datenschutzproblem“ bezeichnet. Betroffen seien 34 Testzentren des Betreibers PAS Solutions in vier Bundesländern. „Zerforschung“ vermute hinter der Sicherheitslücke einen Mangel an Personal in den für die Aufsicht zuständigen Behörden.
Einhaltung grundlegender Prinzipien der Datensicherheit hat gefehlt
„Die Bewertung eines Vorfalls im Nachgang ist eine vermeintlich einfache Disziplin.“ Mit Kenntnis der genauen Vorgangsweise der Hacker und der Schwachstellen in der betroffenen IT-Struktur könnten Sicherheitsexperten schnell eine Strategie mit Gegenmaßnahmen formulieren. Doch in diesem Fall, so Horn, sei es nicht dem Einfallsreichtum der Angreifer zuzurechnen, „dass die Patientendaten entwendet werden konnten“.
Hierbei habe es an der Einhaltung grundlegender Prinzipien der Datensicherheit gefehlt – „vor allem die unbedachte Generierung simpler Passwörter machten es den Angreifern leicht, die Passwörter mit Hilfe von ,Brute Force‘ zu ,erraten‘. Abgesehen davon sollten sensible digitale Informationen niemals im Klartext kommuniziert werden.“ Ansonsten seien sie Cyber-Kriminellen schutzlos ausgeliefert.
Lückenlose Verschlüsselung der Daten als eine Säule der Sicherheit
Geschäftsfelder wie das Gesundheitssystem, welche mit besonders sensiblen Daten operierten, sollten daher unter allen Umständen auf eine lückenlose Verschlüsselung ihrer Daten setzen.
Horn betont: „Ausnahmslos! Denn der damit verbundene zusätzliche Aufwand steht in keinem Verhältnis zu dem Risiko, das ohne sie eingegangen wird. Und das meist ohne Kenntnis der betroffenen Patienten oder Kunden.“ So seien laut „Zerforschung“ selbst eine Woche nach Bekanntwerden der Sicherheitslücke die Betroffenen nicht vom Betreiber informiert worden.
Verletzung der Datensicherheit untergräbt Akzeptanz der Nutzer
Um der Digitalisierung des öffentlichen Lebens – einschließlich Behördengängen, Arztbesuchen oder zukünftig auch Wahlen – zum Erfolg zu verhelfen, werde die Akzeptanz aller Nutzer benötigt. „Um auch die letzten Skeptiker von den Vorzügen digitaler Lösungen zu überzeugen, dürfen sich Vorfälle wie dieser nicht wiederholen“, unterstreicht Horn.
Gerade in Zeiten, da immer mehr Betriebe und sogar streng regulierte Branchen ihre Daten in die Cloud migrierten, seien vertrauensbildende Maßnahmen der IT-Sicherheit von größter Bedeutung. Die grundsätzliche Verschlüsselung bei der Übertragung und Speicherung sensibler Daten sei dabei genauso „als nicht diskutierbare Grundlage zu sehen wie der flächendeckende Einsatz starker Passwörter und der Zwei-Faktor-Authentifizierung“, so Horn abschließend.
Weitere Informationen zum Thema:
datensicherheit.de, 17.06.2021
TÜV Rheinland: Online-Seminar zur IT-Sicherheit im Gesundheitswesen / Gebührenfreies Angebot vom TÜV Rheinland am 12. Juli 2021
datensicherheit.de, 30.11.2020
IT-Sicherheit hinkt bei Digitalisierung im Gesundheitswesen hinterher / PSW GROUP gibt Tipps, wie sich die IT-Sicherheit im Gesundheitswesen verbessern lässt
datensicherheit.de, 16.08.2020
Gesundheitswesen: Digitalisierung-Datenschutz-Synergie / Haye Hösel erläutert „1×1 des Datenschutzes“ im Kontext der notwendigen Erhebung besonders sensibler Informationen im Gesundheitswesen
Aktuelles, Experten - Jul 25, 2024 16:32 - noch keine Kommentare
NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
weitere Beiträge in Experten
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
- Digitale Pandemie: Chris Dimitriadis kommentiert IT-Sicherheitsvorfälle vom 19. Juli 2024
Aktuelles, Branche - Jul 26, 2024 1:00 - noch keine Kommentare
Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
weitere Beiträge in Branche
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
- Vielfältige Cyber-Bedrohungen rund um die Olympischen Spiele 2024
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren