Kategorie: News

Die elektronische Patientenakte (ePA) soll Anfang 2025 in Deutschland flächendeckend eingeführt werden. Damit erhalten alle gesetzlich Versicherten automatisch eine ePA, sofern sie nicht widersprechen.

Martin Tschirsich und Bianca Kastl zeigten auf dem 38C3 jedoch auf, dass u. a. durch Fehlverhalten von Versicherern und/oder Ärzten bzw. deren Mitarbeitenden unberechtigte Dritte vollen Zugriff auf die Patientenakten einzelner Versicherter erhalten können. Dazu gehörten der Weiterverkauf von Konnektoren/Lesegeräten mit noch gestecktem elektronischen Heilberufsausweis (eHBA) oder Institutionsausweis (SMC-B) sowie der Versand eines eHBA durch Dienstleister oder einer eGK durch Versicherungen an eine fremde Adresse.

Solange solche Angriffsvektoren nicht ausreichend adressiert werden, werden die Stimmen, die vor einer Einführung warnen, laut bleiben.

https://aerzteblatt.de/nachrichten/156770/Aerzte-sorgen-sich-um-Datenschutz-bei-elektronischer-Patientenakte

https://bvkj.de/politik-und-presse/pressemitteilung/schwachstellen-in-der-epa-bvkj-fordert-datensicherheit-fuer-kinder-und-jugendliche/

https://heise.de/news/Kurz-vor-Start-Immer-mehr-Experten-warnen-vor-elektronischer-Patientenakte-10235091.html

Ein anderer großer Player im mobilen Spyware-Markt ist NSO Group Technologies mit ihrer Software Pegasus. Nachdem die Firma 2019 von WhatsApp bzw. Meta verklagt wurde, gab das Gericht nun der Klage statt [1]. Auch wenn die Schadenssumme noch ausgehandelt wird, wird dies in der Branche als ein großer Schlag gegen Firmen wie NSO gedeutet. Einerseits stellte NSO ihre Malware unzureichend zur Verfügung. Andererseits wurde NSO auf Basis des Computer Fraud and Abuse Act (CFAA) und des California Comprehensive Computer Data Access and Fraud Act (CDAFA) verurteilt. Die Übertragbarkeit auf andere Rechtssysteme ist daher nicht zwingend gegeben.

Das Thema ist und bleibt spannend – insbesondere im Kontext der US-Sanktionen gegen die NSO Group [2].

[1] https://storage.courtlistener.com/recap/gov.uscourts.cand.350613/gov.uscourts.cand.350613.494.0.pdf

[2] https://www.commerce.gov/news/press-releases/2021/11/commerce-adds-nso-group-and-other-foreign-companies-entity-list

Wenn wir von IT-Sicherheit reden, dann meinen wir oft die Welt der Bits und Bytes. Aber auch der Layer 1 – der Physical Layer – ist Teil dieser Welt. So wurden zunächst im November zwei Unterseekabel in der Ostsee beschädigt und Anfang Dezember ein weiteres zwischen Finnland und Schweden. Ursächlich war wohl ein Schaden durch Bauarbeiten, wobei einige Beobachter auch von Sabotage ausgehen. Die Untersuchungen dauern aktuell noch an.

Kritische Abhängigkeiten kennen wir viele, aber einige sind uns auch unbekannt. Mein Kollege Manuel Atug (@HonkHase) skizziert in einem Interview die Vulnerabilität dieser für die Kommunikation kritischen Unterseekabel.
Kennen Sie Ihre Abhängigkeiten und deren Vulnerabilität?

https://www.hs.fi/suomi/art-2000010875402.html

Apple hat mit iOS 18.1 ein spannendes Sicherheitsfeature hinzugefügt: inactivity reboot. Diese Funktion erzwingt einen Neustart des Geräts, wenn es länger als drei Tage lang nicht benutzt wurde. Jiska hat dazu einen wunderbaren Artikel geschrieben, der auch die technischen Details beleuchtet. Einige Nachrichten behaupteten, dass sich iPhones gegenseitig zu Neustarts veranlassen konnten. Dabei handelte es sich offensichtlich um Falschinformationen. Nichtsdestotrotz sorgt das neue Feature dafür, dass Dritte, die ein inaktives Gerät in die Hände bekommen, für einen Zugriff darauf die Sicherungen vom BFU (before first unlock) state überwinden müssen, was einen erheblichen Schutz gegen physische Angriffe bietet.

Nutzende von GrapheneOS haben das Feature bereits seit 2021.

Die Sicherheitsmaßnahmen auf Mobilgeräten entwickeln sich kontinuierlich weiter und bieten so weiterhin eine hohe Sicherheit, wenn es um technische Geräte geht.

https://naehrdine.blogspot.com/2024/11/reverse-engineering-ios-18-inactivity.html https://grapheneos.social/@GrapheneOS/113450097776800819

Wenn es um die Sicherheit technischer Geräte geht, dann stehen IoT und Home Devices eher unten auf der Liste. Immer wieder hört man von Geräten, die bereits ab Werk mit Schadsoftware ausgestattet sind. In Südkorea wurden sechs Personen verhaftet, die Satellitenreceiver hergestellt und mit DDoS-Funktionalität ausgestattet hatten. Teilweise wurde diese bereits bei der Herstellung eingebaut, bei wesentlich mehr Geräten jedoch im Nachhinein per Firmwareupgrade hinzugefügt.

Ein anderer Fernzugriff geschah mit Solar-Anlagen der Marke „Deye“ in den USA. Dort wurden, anscheinend aufgrund eines Lizenzproblems, alle Inverter dieser Art deaktiviert. Diese Geräte werden ausschließlich vom Unternehmen Sol-Ark in den USA vertrieben. Mit der Deaktivierung sollten Geräte stillgelegt werden, die an diesem Vertriebskanal vorbei in Umlauf geraten waren.

Solche Fernzugriffe werden häufig für Updates genutzt, sind jedoch auch ein mögliches Einfallstor für Angreifende – entweder für einen Einbruch in das verbundene Netzwerk oder als Ausgangsbasis für Botnetze. Daher empfiehlt sich ein genauer Blick auf die Funktionalität und besondere Vorsicht beim Einbauen in die lokale Umgebung.

https://www.golem.de/news/ceo-verhaftet-satellitenreceiver-jahrelang-mit-ddos-funktion-ausgeliefert-2412-191354.html

https://solarboi.com/2024/11/17/sol-ark-oem-disables-all-deye-inverters-in-the-us/

Anfang Oktober wurde das „Internet Archive“, ein Web-Angebot, das sich zum Ziel gesetzt hat, die flüchtigen Inhalte des World Wide Web durch Archivierung dauerhaft recherchierbar zu machen, durch mehrere Angreifergruppen kompromittiert und war Ziel einer DDoS-Aktion. Neben dem Datenabfluss der dort gespeicherten Zugangsdaten ist jedoch auch eine fehlende Verfügbarkeit sowohl beim Abruf als auch bei der Archivierung der Seiten problematisch. Alle Links in diesem Blog könnten irgendwann nicht mehr funktionieren, wenn die ursprünglichen Zielseiten offline genommen werden oder die Linkstruktur sich ändert (Stichwort: link rot). Mit dem Internet Archive besteht die Möglichkeit, Inhalte permanent zu speichern und das Wissen zu erhalten: ein wichtiger Grundbestandteil unserer Kultur, den wir schützen sollten.

https://infosec.exchange/@briankrebs/113279512399397674

Zu den Wahlen in den USA gab es in den letzten Wochen viele Nachrichten, aber Eine erstaunte Sicherheitsexperten weltweit: Im Bundesstaat Colorado wurde eine Liste mit Details zu den eingesetzten Wahlmaschinen veröffentlicht. Die Liste war jedoch nicht einfach eine Liste, sondern ein Excel-Dokument, das vermutlich initial für den internen Gebrauch gedacht war. Jedenfalls enthielt die Tabelle eine ausgeblendete Seite mit den Administrations-Passwörtern für den Großteil der Geräte. Das Passwort konnte man nur mit direktem Zugang zum Gerät nutzen, und es wurde vermutlich auch noch ein zweites Passwort für die Anmeldung gebraucht. Dennoch wurden nach dem Bekanntwerden die Passwörter aller Geräte geändert.

Welche Lektion kann man aus der Geschichte ziehen? Es fängt mit der Veröffentlichung der Tabelle an, die offensichtlich nicht ausreichend auf versteckte Informationen geprüft wurde. Wissen in Ihrer Organisation alle, worauf sie bei einer solchen Prüfung achten sollten?
Weiterhin sollten die Passwörter auch für den internen Gebrauch nicht in einer Excel-Tabelle gesammelt werden. Hier bieten sich Passwortmanager an. In diesem Fall vermutlich nur solche, die auch mehreren Personen den Zugriff auf die Passwörter gewähren und eine gewisse Verfügbarkeit garantieren, damit am Wahltag die berechtigten Personen auch die Geräte in Betrieb nehmen können.
Kennen in Ihrer Organisation auch die Personen außerhalb der IT die Möglichkeiten und Grenzen von Passwortmanagern? In unseren Tests finden wir auch heute noch regelmäßig Listen mit Zugangsdaten, über die meist nicht-technische Teams ihre Online-Zugänge verwalten.

https://www.coloradosos.gov/pubs/newsRoom/pressReleases/2024/PR20241101Passwords.html

https://www.sos.state.co.us/pubs/elections/FAQs/passwords.html

2007 wurde der sogenannte „Hackerparagraph“ (§ 202 c StGB) vom Gesetzgeber mit dem Ziel eingeführt, schwere Formen der Computerkriminalität unter Strafe zu stellen. Die Regelung war von Beginn an starker Kritik aus der Community ausgesetzt, weil sie auch Sicherheitsforscher zu kriminalisieren droht. Nun hat das Bundesministerium für Justiz einen Referentenentwurf zur Änderung des besagten Paragraphen vorgelegt, der von der Seite Netzpolitik veröffentlicht wurde. Die AG KRITIS veröffentlichte eine Stellungnahme und zeigt auf, welche Probleme vom Entwurf nicht gelöst werden.

https://dserver.bundestag.de/btd/16/054/1605449.pdf

https://www.heise.de/news/Modern-Solution-Berufungsgericht-bestaetigt-Schuld-des-Sicherheitsforschers-10007090.html

https://netzpolitik.org/2024/hacker-paragrafen-wir-veroeffentlichen-den-gesetzentwurf-zum-computerstrafrecht/

https://ag.kritis.info/2024/10/24/hackerparagraph-stellungnahme-referentenentwurf-computerstrafrecht/