Zum Inhalt springen

Sicherheit

Schutzschild

“Ände­re-Dein-Pass­wort-Tag” — Und jähr­lich grüßt das Mur­mel­tier. Dann doch lie­ber 2FA

Alle Jah­re wie­der, so auch heu­te zum 01.02.2022 hallt es aus diver­sen Nach­rich­ten­ka­nä­len “Leu­te, ändert regel­mä­ßig euer Pass­wort. Bei­spiels­wei­se heu­te, am sog. Ände­re-Dein-Pass­wort-Tag.” Nun, kann man machen, ist aber nicht unbe­dingt sinn­voll. In Blog­bei­trä­gen 2016 (aktua­li­siert 2018: “Über Bord mit ver­al­te­ten star­ren Pass­wort-Richt­li­ni­en”), 2017 (“Ände­re-Dein-Pass­wort-Tag: Über Sinn und Unsinn des regel­mä­ßi­gen Pass­wort­wech­sels”) und 2018 (Update 2020: “„Ich bereue den Pass­wort-Wahn­sinn“ – weg mit den Pass­wort Mythen”) haben wir uns mit die­ser For­de­rung zum regel­mä­ßi­gen Pass­wort­wech­sel aus­ein­an­der­ge­setzt und sind dabei — wie seit 2017 die NIST (Natio­nal Insti­tu­te of Stan­dards and Tech­no­lo­gy) als eigent­li­cher Ver­ur­sa­cher die­ser “Ange­wohn­heit” — zu einem ande­ren Schluss gekom­men: Fin­ger weg vom regel­mä­ßi­gen Pass­wort­wech­sel. Lie­ber Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) ein­rich­ten. War­um und wie­so? Lesen Sie hier.

War­um bzw. wann soll­te ich ein Pass­wort über­haupt ändern bzw. wechseln?

“Na, das ist doch sicher!” — “Und das haben wir ja schon immer so gemacht!” — Und im Zwei­fel ver­langt es auch noch die Pass­wort-Richt­li­nie des einen oder ande­ren Unter­neh­mens oder auch der Behör­de. Doch sind das wirk­lich gute und belast­ba­re Grün­de für einen Pass­wort­wech­sel? Mög­lichst noch in Inter­val­len von 30–90 Tagen? Und für jedes Log­in noch ein ande­res Pass­wort? Ende vom Lied: Pass­wör­ter wer­den alpha­be­tisch oder nume­risch hoch­ge­zählt oder schlimms­ten­falls auf­ge­schrie­ben, abge­legt unter dem Schreib­tisch­scho­ner. Das ist natür­lich rich­tig sicher 🙂

Doch es gibt in der Tat wirk­lich 3 gute Grün­de, das Pass­wort zu ändern:

  1. Das Pass­wort wur­de aus­ge­späht, zumin­dest besteht der Verdacht.
  2. Das Pass­wort wur­de unnö­ti­ger­wei­se einer Kol­le­gin oder einem Kol­le­gen bekannt­ge­ge­ben, obwohl dazu tech­nisch nor­ma­ler­wei­se gar kein Grund besteht.
  3. Es han­delt sich um ein Initia­li­sie­rungs­pass­wort, das nach der Nut­zung durch das eigent­li­che Pass­wort ersetzt wer­den muss.

Und Ende der Aufzählung.

Bes­ser: Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) akti­vie­ren, statt Pass­wort zu ändern

Es ist kei­ne all­zu neue Erkennt­nis, dass die Absi­che­rung von Log­ins aus­schließ­lich mit Benut­zer­na­me und Pass­wort in den meis­ten Anwen­dungs­fäl­len kei­nen aus­rei­chen­den Schutz bie­tet. Aus die­sem Grund ist es mitt­ler­wei­le üblich, wo es nur geht und vor­ge­se­hen ist, einen zusätz­li­chen Schutz­fak­tor ein­zu­bau­en bzw. zu nut­zen. Ein bewähr­tes Mit­tel ist die sog. Zwei-Fak­tor-Authen­ti­fi­zie­rung, kurz 2FA.

Die Zwei-Fak­tor-Authen­ti­sie­rung (2FA), häu­fig auch Zwei-Fak­tor-Authen­ti­fi­zie­rung genannt, bezeich­net den Iden­ti­täts­nach­weis eines Nut­zers mit­tels der Kom­bi­na­ti­on zwei­er unter­schied­li­cher und ins­be­son­de­re unab­hän­gi­ger Kom­po­nen­ten (Fak­to­ren). Typi­sche Bei­spie­le sind Bank­kar­te plus PIN beim Geld­au­to­ma­ten, Fin­ger­ab­druck plus Zugangs­code in Gebäu­den, oder Pass­phra­se und Trans­ak­ti­ons­num­mer (TAN) beim Online-Ban­king. Die Zwei-Fak­tor-Authen­ti­sie­rung ist ein Spe­zi­al­fall der Multi-Faktor-Authentisierung.

Für kri­ti­sche Anwen­dungs­be­rei­che wird die Zwei-Fak­tor-Authen­ti­sie­rung emp­foh­len, so bei­spiels­wei­se vom deut­schen Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) in sei­nen IT-Grund­schutz- Kata­lo­gen. Im Bank­we­sen wur­de mit der EU-Zah­lungs­diens­te-Richt­li­nie die Zwei-Fak­tor- Authen­ti­sie­rung für den Euro­päi­schen Wirt­schafts­raum 2018 sogar ver­pflich­tend ein­ge­führt. Mitt­ler­wei­le gibt es sehr vie­le Anbie­ter, die für Ihre Web­sei­ten /​ Log­in-Berei­che, aber auch ande­re Anmel­de-Vor­gän­ge eine 2FA nicht nur anbie­ten, son­dern ver­bind­lich machen.

Die Zwei-Fak­tor-Authen­ti­sie­rung ist nur dann erfolg­reich, wenn bei­de fest­ge­leg­ten Fak­to­ren zusam­men ein­ge­setzt wer­den und kor­rekt sind. Fehlt eine Kom­po­nen­te oder wird sie falsch ver­wen­det, lässt sich die Zugriffs­be­rech­ti­gung nicht zwei­fels­frei fest­stel­len und der Zugriff wird ver­wei­gert. Jetzt könn­te man ja sagen, Benut­zer­na­me und Pass­wort sind doch schon zwei Kom­po­nen­ten. Das ist so aber nicht ganz rich­tig. Denn auf­grund der meist vor­ge­ge­be­nen Benut­zer­na­men wie die eige­ne Email-Adres­se oder Vorname.Nachname ist die­ser ers­te Fak­tor „ver­brannt“. Es muss daher neben dem Pass­wort ein wei­te­rer siche­rer Fak­tor her. Kor­rek­ter­wei­se wür­de man die Kom­bi­na­ti­on Benut­zer­na­me + Pass­wort + wei­te­rer Fak­tor als Mul­ti­fak­tor- Authen­ti­fi­zie­rung bezeich­nen. In der Pra­xis ist es dann doch nur eine 2FA aus dem zuvor genann­ten Grund.

In der Pra­xis greift man oft auf die­se Kom­bi­na­ti­on zurück:

  1. Benut­zer­na­me
  2. Pass­wort
  3. Authen­ti­ca­tor /​ Authen­ti­fi­ca­tor (z.B. App auf dem Han­dy oder Pro­gramm auf dem Desktop)

Das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik hat das The­ma in sei­ner Rei­he “BSI für Bür­ger” das The­ma anschau­lich und mit einem kur­zen Video auf­be­rei­tet, wer es noch mal genau­er und anschau­li­cher wis­sen will (exter­ner Link zum Bei­trag des BSI).

2FA ist kei­ne Raketenwissenschaft

Gele­gent­lich könn­te man mei­nen, 2FA ist “rocket sci­ence” bzw. Rake­ten­wis­sen­schaft. Und da noch nicht aus­rei­chend erforscht und man­gels Erfah­run­gen damit, soll­te man doch eher Abstand davon neh­men. Zumin­dest trifft man sol­che Ten­den­zen durch­aus immer wie­der bei IT-Ver­ant­wort­li­chen und /​ oder Anwen­dern. Fragt man jedoch genau­er nach, resul­tiert die Abnei­gung doch eher daher, sich (als Mensch) oder etwas (die Tech­nik) ändern bzw. den Erfor­der­nis­sen der Zeit anpas­sen zu müs­sen. Und wir wis­sen bekannt­lich alle, der Mensch ist ein Gewohn­heits­tier. Das wis­sen auch Angrei­fer und machen sich die­se Schwach­stel­le ger­ne zunutze.

Vor vie­len Jah­ren war 2FA nicht weit ver­brei­tet, das ist wahr. Mitt­ler­wei­le ist dem aber nicht mehr so. Die meis­ten täg­lich bzw. regel­mä­ßig genutz­ten Log­ins las­sen sich mit­tels 2FA zusätz­lich absi­chern. Daher stuft das BSI 2FA auch nicht mehr als Kür ein, son­dern emp­fiehlt die Nut­zung von 2FA mitt­ler­wei­le als Basis­tipp zur IT-Sicher­heit. Gut, auch das hat vie­le Jah­re gedau­ert, aber das BSI hat sei­ne frü­he­re nicht opti­ma­le Hal­tung zum The­ma Pass­wort­wech­sel kor­ri­giert und den BSI IT-Grund­schutz eben­falls dahin­ge­hend angepasst.

Es gibt daher kei­nen Grund, sich nicht mit dem The­ma 2FA zu befas­sen und die­se, sofern vor­han­den, für die eige­nen Log­ins zu akti­vie­ren, wo mög­lich. Es schläft sich wirk­lich ruhi­ger. Das kann der Autor aus eige­ner Erfah­rung berichten 🙂

“Ja, aber ..”

  • “Dann muss ich ja immer mein Smart­pho­ne mit mir rum­tra­gen?” — “Ja und? Machen Sie doch eh!” 🙂
  • “Wenn ich das pri­vat gar nicht nut­ze und kein Dienst­han­dy habe, dann muss ich die 2FA-App den­noch auf mei­nem Pri­vat­ge­rät instal­lie­ren!” — “Ja, und? Die Abnut­zung dadurch hält sich in Gren­zen und es wird nie­mand bei Sinn und Ver­stand auf die Idee kom­men, das nun als BYOD (bring your own device) ein­zu­stu­fen und zu regeln. Und Sie haben dop­pel­ten Nut­zen: Ein mal instal­liert, kön­nen Sie nun auch gleich ihre pri­va­ten Log­ins damit absichern!”
  • “Unse­re IT will das nicht!” — “Salopp: https://​de​.wiki​pe​dia​.org/​w​i​k​i​/​E​i​n​l​a​u​f​_​(​M​e​d​i​zin)” oder “Ver­wei­sen Sie auf gän­gi­ge Stan­dards für Infor­ma­ti­ons­si­cher­heit sowie das BSI. Die­se erklä­ren und for­dern 2FA. Es muss schon sehr trif­ti­ge Grün­de geben, davon Abstand zu neh­men. Die­se müs­sen doku­men­tiert sein, wie­so und durch wen es zu der Ableh­nung gekom­men ist. Für den Fall, dass dann doch etwas pas­siert, weiß man ja, wen man anspre­chen muss :-)”
  • “Isch abe gar kein Han­dy!” — “Ja, und? Es gibt die Soft­ware-Lösun­gen auch für den Desk­top der gän­gi­gen Betriebs­sys­te­me. Unprak­ti­scher, wenn das Gerät gera­de nicht an ist, aber bes­ser als nichts.”
  • Bit­te ergän­zen Sie die Auf­zäh­lung mit zahl­rei­chen wei­te­ren Argu­men­ten, war­um 2FA nicht genutzt wer­den kann und ver­wer­fen Sie die­se augen­blick­lich wieder 🙂

2FA: Back­up-Codes nicht vergessen

Selbst gestan­de­ne IT-Kory­phä­en tun sich mit 2FA gele­gent­lich schwer. Die Instal­la­ti­on und Ein­rich­tung geht noch locker von der Hand, aber dann wird eins schnell ver­ges­sen: Das Abspei­chern der oder des sog. Back­up-Codes. Die­se sind not­wen­dig, wenn man den Zugriff auf das Gerät ver­liert, auf dem der Gene­ra­tor (Authen­ti­ca­tor) für 2FA instal­liert ist z.B. bei Defekt oder Ver­lust des Smart­pho­nes oder Aus­fall der Fest­plat­te (bei Desk­top-Instal­la­tio­nen). Denn ohne gül­ti­gen 2FA-Code kommt man nicht an /​ in den Account. Sprich man kann dann auch kein neu­es Gerät für die 2FA hin­ter­le­gen. Das ist ver­gleich­bar mit das Haus ver­las­sen, Tür hin­ter sich zuzie­hen und dann mer­ken, der Haus­tür­schlüs­sel liegt noch drin­nen auf der Kom­mo­de. Der Pro­zess, um jetzt den Account wie­der zugäng­lich zu machen ist auf­wen­dig und zeit­rau­bend z.B. durch Iden­ti­täts­nach­wei­se etc. Und das liegt in der Natur der Din­ge. Soll­te sich 2FA näm­lich durch eine ein­fa­che Email oder einen Anruf beim Sup­port deak­ti­vie­ren las­sen, wäre der Schutz­wert von 2FA ver­lo­ren. Es könn­te sich ja jeder als Sie aus­ge­ben und den Schutz­me­cha­nis­mus deaktivieren.

Von daher die Bit­te: Immer nach Ein­rich­tung eines 2FA für einen Log­in den ange­bo­te­nen Back­up-Code kopie­ren /​ her­un­ter­la­den und sicher ver­wah­ren. Dazu eig­nen sich bes­tens sog. Pass­wort-Tre­so­re (sie­he Ende des Beitrags).

“Ich bereue den Passwort-Wahnsinn”

In einem Inter­view hat sich der für die Emp­feh­lung Pass­wör­ter regel­mä­ßig zu wech­seln ver­ant­wort­li­che Mit­ar­bei­ter der NIST nun in Ren­te ste­hen­de Burr gegen­über der Washing­ton Post geäu­ßert. „Die Wahr­heit ist: Ich war auf dem fal­schen Damp­fer.“ Das NIST hat im Som­mer 2017 die­se damals 14 Jah­ren alten Emp­feh­lun­gen und Rege­lun­gen zur Pass­wort­si­cher­heit kom­plett über­ar­bei­tet. Und die­sen Wahn­sinn damit eigent­lich gestoppt. Der “Ände­re-Dein-Pass­wort-Tag” ist lei­der nicht totzukriegen.

Abschlie­ßen­der Tipp: Pass­wort-Tre­so­re nutzen

Bei der Viel­zahl an Pass­wör­tern, die sich im Lau­fe eines akti­ven Nutzer­le­bens so ansam­meln, darf man ruhig auf Hel­fer­lein zurück­grei­fen, die das Leben etwas leich­ter machen. Dazu gehö­ren u.a. die sog. Pass­wort-Tre­so­re. Hier­bei soll­te man jedoch nicht unbe­dingt auf Anbie­ter aus der Cloud (“Bei uns sind Ihre Pass­wör­ter zen­tral gespei­chert und sicher”) set­zen. Wer mal etwas nach Sicher­heits­vor­fäl­len bei den ein­schlä­gig bekann­ten Online-Anbie­tern sol­cher Lösun­gen sucht, wird schnell fün­dig. Es gibt kos­ten­freie Alter­na­ti­ven, die auch für weni­ger tech­nisch ver­sier­te Nut­zer leicht zu instal­lie­ren und zu bedie­nen sind. Und der Tre­sor mit den eige­nen wich­ti­gen Pass­wör­tern ver­bleibt bei einem selbst. Eine Lösung dafür ist bei­spiels­wei­se Kee­pass. Mehr zu die­sem Tool inkl. einer bebil­der­ten Anlei­tung zur Ein­rich­tung und Nut­zung fin­den Sie in unse­rem Blog­bei­trag “Siche­re und kom­for­ta­ble Pass­wort-Ver­wal­tung mit Kee­pass”.

Moder­ne Platt­form zu Ein­füh­rung und Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts (Basis Arbeits­hil­fe) für klei­ne Orga­ni­sa­tio­nen gestartet

Soft­ware-Unter­stüt­zung für die Arbeitshilfe

End­lich nun auch für einen der klei­nen Stan­dards für Infor­ma­ti­ons­si­cher­heit ver­füg­bar: Soft­ware-Unter­stüt­zung für die Arbeits­hil­fe 4.0

Doch der Rei­he nach.

Wie­so ein Informationssicherheitskonzept?

Vie­le Orga­ni­sa­tio­nen ste­hen vor der Her­aus­for­de­rung, ent­we­der auf­grund gesetz­li­cher Vor­schrif­ten ein Infor­ma­ti­ons­si­cher­heits­kon­zept zu benö­ti­gen, damit den Nach­weis zur Wirk­sam­keit der eige­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men im Sin­ne der Beleg­pflicht der DSGVO erbrin­gen zu wol­len, weil es der eine oder ande­re Auf­trag­ge­ber für die Teil­nah­me an Aus­schrei­bun­gen for­dert oder schlicht, weil sie fest­ge­stellt haben, dass nur ein gesamt­heit­li­cher Ansatz schüt­zens­wer­te Infor­ma­tio­nen und per­so­nen­be­zo­ge­ne Daten in der eige­nen Orga­ni­sa­ti­on absi­chern kann. Grün­de gibt es also vie­le, sich um die Ein­füh­rung und den Betrieb eines Infor­ma­ti­ons­si­cher­heits­kon­zepts zu kümmern.

Wel­chen Stan­dard zur Infor­ma­ti­ons­si­cher­heit wählen?

Infor­ma­ti­ons­si­cher­heits­ma­nage­ment­sys­te­me (kurz ISMS) nach den Stan­dards wie die ISO 27001 oder der BSI IT-Grund­schutz sind bewähr­te Umset­zungs­mög­lich­kei­ten. Sagt man der ISO 27001 ein etwas erhöh­tes Maß an Abs­trakt­heit nach, lei­det der IT-Grund­schutz durch­aus an sei­ner Aus­führ­lich­keit (zumin­dest in 100‑x Stan­dards). Hin­zu kommt, dass der Auf­wand an Zeit und Kos­ten gera­de für klei­ne und mitt­le­re Unter­neh­men (KMU) und Kom­mu­nen weit über die gege­be­nen Mög­lich­kei­ten hinausgeht.

Einen Teil die­ser Lücke nach unten hat vor eini­gen Jah­ren der Stan­dard Infor­ma­ti­ons­si­cher­heit in 12 Schrit­ten (kurz ISIS12) schlie­ßen kön­nen. Die­ser kommt seit­her in vie­len deut­schen Unter­neh­men und Kom­mu­nen zum Ein­satz, teil­wei­se inklu­si­ve der mög­li­chen Zer­ti­fi­zie­rung durch die DQS GmbH (Und hier reden wir von einer voll­wer­ti­gen, unab­hän­gi­gen Zer­ti­fi­zie­rung, nicht von den durch die bera­ten­de Gesell­schaft als Zer­ti­fi­kat ange­prie­se­nen Testa­te.) ISIS12 lei­tet sich aus dem IT-Grund­schutz ab und wird der­zeit in Rich­tung der Vor­ge­hens­wei­se der ISO 27001 weiterentwickelt.

Für die drei bis­her genann­ten Stan­dards ste­hen bewähr­te Soft­ware­lö­sun­gen zur Ver­fü­gung. Gene­rell sind die­se Stan­dards auch nach unten ska­lier­bar, stel­len den­noch gera­de klei­ne­re Ein­rich­tun­gen nach wie vor vor ein Zeit- und Kos­ten­pro­blem. Die­se immer noch bestehen­de Lücke für klei­ne­re und kleins­te Ein­rich­tun­gen lässt sich mit zwei wei­te­ren Stan­dards in ange­mes­se­nem Kos­ten- und Auf­wands­rah­men schlie­ßen. Die Rede ist vom Stan­dard VdS 10000 (frü­her 3473) sowie der unter dem Pro­jekt­na­men “Arbeits­hil­fe” bekannt gewor­de­nen Sys­te­ma­tik der Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne aus Mün­chen.

Gera­de klei­ne und kleins­te Orga­ni­sa­tio­nen fin­den hier einen Werk­zeug­kas­ten, um sich dem The­ma sys­te­ma­tisch zu nähern, vor­han­de­ne tech­ni­sche und orga­ni­sa­to­ri­sche Schwach­stel­len zu iden­ti­fi­zie­ren und danach kon­ti­nu­ier­lich abzu­stel­len und ein Sicher­heits­kon­zept zu betrei­ben. Die Mög­lich­keit besteht jeder­zeit, in die höhe­ren Sys­te­ma­ti­ken upzugraden.

Die “Arbeits­hil­fe” wur­de im Auf­trag der Baye­ri­schen Kom­mu­na­len Spit­zen­ver­bän­de durch a.s.k. Daten­schutz für die Inno­va­ti­ons­stif­tung Baye­ri­sche Kom­mu­ne ent­wi­ckelt und ist mitt­ler­wei­le in Ver­si­on 4.0 erschie­nen. Trotz die­ses Ursprungs rich­tet sich die Arbeits­hil­fe nicht aus­schließ­lich an kom­mu­na­le Ein­rich­tun­gen. Infor­ma­ti­ons­si­cher­heit ist uni­ver­sell. Von daher sind ledig­lich eini­ge Begriff­lich­kei­ten für den Ein­satz in Unter­neh­men anzu­pas­sen (Geschäfts­füh­rer statt Bür­ger­meis­ter), das war es schon. Und jetzt mit auch Soft­ware-Unter­stüt­zung für die Arbeitshilfe.

Infor­ma­ti­ons­si­cher­heits­kon­zep­te bes­ser mit Software-Unterstützung

Selbst­ver­ständ­lich las­sen sich Infor­ma­ti­ons­si­cher­heits­kon­zep­te auch mit Papier und Stift oder etwas moder­ner mit­tels Word-For­mu­la­ren und Excel-Tabel­len abbil­den. Bei der Ein­füh­rung mag das auch noch aus­rei­chend sein. Doch im spä­te­ren Betrieb des Infor­ma­ti­ons­si­cher­heits­kon­zepts wird es schnell a) unüber­schau­bar und b) nicht mehr hand­hab­bar, z.B. um Wie­der­vor­la­ge­fris­ten ein­zu­hal­ten. Auch in Bezug auf das jeder­zei­ti­ge Repor­ting /​ Berichts­we­sen ist eine geeig­ne­te Soft­ware­un­ter­stüt­zung unschlagbar.

Die drei gro­ßen Stan­dards ISO 27001, BSI IT-Grund­schutz und ISIS12 kön­nen aus einem gro­ßen Ange­bot geeig­ne­ter Soft­ware­lö­sun­gen wäh­len. Bei den klei­ne­ren Stan­dards wird die Luft sehr schnell dünn bis hin zu feh­len­der Software-Unterstützung.

Soft­ware-Unter­stüt­zung für die Arbeits­hil­fe von a.s.k. Datenschutz

Gera­de für klei­ne Orga­ni­sa­tio­nen sind leicht ver­ständ­li­che und bedien­ba­re Soft­ware-Lösun­gen ein Muß. Zeit für lang­wie­ri­ge Soft­ware-Schu­lun­gen und Ein­ar­bei­tun­gen ist im Zwei­fel Man­gel­wa­re. Oft­mals wer­den klei­ne Ein­rich­tun­gen bei der Ein­füh­rung von exter­nen Dienst­leis­tern unter­stützt, nut­zen mög­li­cher­wei­se auch die Mög­lich­keit eines exter­nen Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (sofern sinn­voll umsetzbar).

Hier setzt die Soft­ware-Lösung für unse­re (poten­ti­el­len) Kun­den kon­kret an:

  • Ver­schlüs­se­lung bei Über­tra­gung und Speicherung
  • Mehr­fak­tor-Authen­ti­fi­zie­rung
  • Brow­ser­ba­siert, Apps für Desk­top und mobi­le Geräte
  • Bear­bei­tung und gleich­zei­tig fort­lau­fen­de Doku­men­ta­ti­on aller Prüf­fra­gen der Arbeits­hil­fe und deren Umsetzung
  • Erstel­len von not­wen­di­gen Unteraufgaben
  • Zuwei­sen von Auf­ga­ben und Unter­auf­ga­ben an zustän­di­ge Per­so­nen in der Organisation
  • Dis­kus­si­ons­mög­lich­keit zwi­schen den Betei­lig­ten direkt in einem Prüf­punkt und damit nach­voll­zieh­ba­re Doku­men­ta­ti­on der Ent­schei­dungs­fin­dung und des Umset­zungs­sta­tus sowie des­sen Weiterentwicklung
  • Email-Benach­rich­tun­gen über Ände­run­gen und Auf­ga­ben­zu­wei­sun­gen (Hin­wei­se, kei­ne Über­mitt­lung der kon­kre­ten Inhal­te, die sol­len ja ver­schlüs­selt auf der Platt­form bleiben 🙂 )
  • Ter­min-Erin­ne­run­gen
  • Doku­men­ten­ver­sio­nie­rung
  • Jeder­zeit um wei­te­re Auf­ga­ben zu ergän­zen (z.B. wei­te­re iden­ti­fi­zier­te Schwach­stel­len außer­halb der Fra­gen der Arbeits­hil­fe, Doku­men­ta­ti­on der Bear­bei­tung von Daten­pan­nen etc.)
  • Aus­führ­li­ches Berichts­we­sen nach Kapi­teln, über das gesam­te Infor­ma­ti­ons­si­cher­heits­kon­zept oder nach Zuständigkeiten
  • Über­sich­ten über erle­dig­te /​ offe­ne Auf­ga­ben bzw. besei­tig­te /​ noch vor­han­de­ne Schwachstellen
  • Dis­kus­si­ons­platt­form zur Klä­rung von offe­nen Fragen
  • Betrieb in deut­schen Rechen­zen­tren (Ehren­sa­che)
  • uvm.

 

 

Inter­es­se geweckt an der Arbeits­hil­fe oder der Soft­ware-Lösung? Oder Fra­gen zum The­ma Infor­ma­ti­ons­si­cher­heits­kon­zept oder Infor­ma­ti­ons­si­cher­heits­be­auf­trag­te? Spre­chen Sie uns an.

 

 

 

Coro­na App — hof­fent­lich sicher zur nächs­ten Pandemie

In unse­rem Bei­trag vom 23.03.2020 zum Ein­satz von mobil­ge­rä­te­ba­sier­ter Gesund­heits­prä­ven­ti­on haben wir berich­tet, dass eine Coro­na App auch hier­zu­lan­de geplant ist, sowie über Aspek­te, die aus Daten­schutz­sicht sorg­fäl­tig zu prü­fen und zu pla­nen sind. 

Mitt­ler­wei­le wur­de kurz vor der geplan­ten Ver­öf­fent­li­chung eine lauf­fä­hi­ge Ver­si­on der Coro­na App von TÜVit geprüft und es gibt Nach­hol­be­darf.  Gegen­über hei​se​.de äußern die Prü­fer u.a. Kri­tik an dem kurz­fris­ti­gen Start­ter­min. Ins­ge­samt habe man laut TÜVit wie­der­holt die (sogar kos­ten­freie) Prü­fung ange­bo­ten und letzt­lich unter Zeit­druck durch­füh­ren müssen. 

Ange­sichts des­sen, dass inzwi­schen eine Locke­rung und Anti-„Maulkorb“-Demo die ande­re jagt und seit mehr als 7 Jah­ren die dro­hen­de SARS-Pan­de­mie und deren Bekämp­fungs­me­tho­dik bekannt ist (Bun­des­tags­druck­sa­che 17/​12051 aus 2012 /​ 2013, Sei­ten 5, 55 ff. ), kann man hier nicht unbe­dingt von einem agi­len Kri­sen­ma­nage­ment sprechen.

Sicher­heitsaspek­te der neu­en Coro­na App 

Die Prü­fung der Coro­na App erfolg­te im Auf­trag des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) in Bezug auf Sicher­heits­maß­ga­ben und Ein­hal­tung der ange­kün­dig­ten Pri­vat­sphä­re­stan­dards wie z.B. der Standortermittlung. 

Eine Schwach­stel­le bestün­de laut TÜVit dar­in, dass Pati­en­ten zwar ver­schlüs­selt abspei­chern kön­nen, posi­tiv auf Coro­na getes­tet wor­den zu sein, um etwai­ge Kon­tak­te mit Infi­zier­ten zu prü­fen, die genutz­te Ver­schlüs­se­lungs­lo­gik jedoch feh­ler­haft ist. So bestehe die Mög­lich­keit, einen Teil der Logik ohne grö­ße­re Schwie­rig­kei­ten aus­zu­le­sen, um belie­big Falsch­mel­dun­gen infi­zier­ter Per­so­nen zu generieren. 

Damit könn­te die gesam­te Daten­hal­tung und somit auch der ange­dach­te Nut­zen der App ad absur­dum geführt wer­den und bewusst pro­vo­zier­te Fehl­alar­me noch grö­ße­re Ver­un­si­che­rung bei den Bür­gern ver­ur­sa­chen. Die­ser Angriffs­punkt ist in Fach­krei­sen seit gerau­mer Zeit bekannt. 

Dass man bei der­lei Umset­zun­gen gegen destruk­tiv moti­vier­te IT-Exper­ti­se nicht hin­rei­chend auf­rüs­tet, son­dern IT-Exper­ten wie etwa Daten­schutz­auf­sichts­be­hör­den als Brem­ser hin­stellt, wenn die­se begrün­de­te Sicher­heits­be­den­ken anmel­den, ist schwer nachvollziehbar. 

Bereits vor der TÜVit Prü­fung wur­de der Quell­code ver­öf­fent­licht. Hier besteht insb. bei einem Mul­ti­mil­lio­nen-Pro­jekt kei­ne Not­wen­dig­keit. Dafür kann sich die Hacker­sze­ne schon ein­mal im Vor­feld ein­le­sen. Ande­rer­seits woll­te man gera­de in Bezug auf die herr­schen­den Daten­schutz­be­den­ken mit größt­mög­li­cher Trans­pa­renz reagieren. 

Daten­schutz und Pri­vat­sphä­re 

In Bezug auf die Pri­vat­sphä­re lässt TÜVit Posi­ti­ves ver­lau­ten. Bei dem geprüf­ten Ent­wick­lungs­stand der Coro­na App sei von Leaks nicht aus­zu­ge­hen und uner­war­te­te Tracking­lo­gik habe man in der Ver­si­on nicht fest­stel­len können.

Die Ent­wick­lung und Sicher­heits­do­ku­men­ta­ti­on der Coro­na App wur­de vom BSI u.a. durch Pene­tra­ti­ons­tests (Pen­tests) und Über­prü­fun­gen von Pro­gramm­code beglei­tet. Dabei konn­ten Schwach­stel­len gesich­tet und sei­tens der Ent­wick­lung beho­ben wer­den. Die Sicher­heits­do­ku­men­ta­ti­on kommt zu dem Schluss, dass die Coro­na App “alle für die­se App zutref­fen­den Anfor­de­run­gen aus der tech­ni­schen Richt­li­nie TR 03161 – Sicher­heits­an­for­de­run­gen an Digi­ta­le Gesund­heits­an­wen­dun­gen” des BSI erfüllt. Und auch zukünf­tig wird die Wei­ter­ent­wick­lung der App vom BSI beglei­tet. Die zuge­hö­ri­ge Pres­se­mit­tei­lung fin­den Sie hier.

Wei­te­re Infor­ma­tio­nen zu Daten­schutz- /​ tech­ni­schen Aspek­ten lie­fert eine Stu­die aus die­ser Woche (09.06.2020) der Unis Darm­stadt, Mar­burg und Würzburg. 

Prüf­auf­trag der Coro­na App war limi­tiert 

Laut TÜVit wur­de der Auf­trag zur Durch­leuch­tung der Ent­wick­lung auf bestimm­te Berei­che begrenzt. Aus­ge­nom­men von der Prü­fung waren Sys­tem­fea­tures von Apple /​ Goog­le und das Backend des eigent­li­chen Daten­ser­vers. Fer­ner sei die Ver­schlüs­se­lungs­lo­gik für die auf dem Mobil­ge­rät gespei­cher­ten Daten nicht Gegen­stand der Prü­fung gewesen. 

Fazit zum aktu­el­len Stand der Coro­na App 

Das Vor­ge­hen bei der Sicher­heit der Coro­na App steht in Wider­spruch zu dem Bestre­ben, Ver­trau­en in die­sen Lösungs­an­satz zu stär­ken. Es stellt sich die Fra­ge, ob nicht die­je­ni­gen, wel­che die Coro­na App ger­ne instal­lie­ren, um sich und Mit­bür­ger zu schüt­zen, ohne­hin mit gesun­dem Men­schen­ver­stand an Prä­ven­ti­ons­maß­nah­men her­an­ge­hen, wäh­rend ande­ren Anwen­dern ein wei­te­rer Schritt in die Unmün­dig­keit vor­ge­legt wird, sich dann ggf. nur noch auf die App zu verlassen. 

Intrans­pa­ren­te tech­ni­sche Umset­zung in Kom­bi­na­ti­on mit dem Aspekt der Frei­wil­lig­keit und mäßi­gem Mar­ke­ting las­sen an einem posi­ti­ven Effekt auf Ver­ant­wor­tungs­ge­fühl und Infek­ti­ons­ra­te nach der­zei­ti­gem Kennt­nis­stand zur Zeit lei­der noch zweifeln. 

Intrans­pa­ren­te tech­ni­sche Umset­zung in Kom­bi­na­ti­on mit dem Aspekt der Frei­wil­lig­keit en Effekt auf Ver­ant­wor­tungs­ge­fühl und Infek­ti­ons­ra­te nach der­zei­ti­gem Kennt­nis­stand zur Zeit lei­der noch zweifeln. 

Infor­ma­ti­ons­si­cher­heit — IT-Sicher­heits­lü­cken und Daten­pan­nen 2019 und 2020 — Teil 2

Nach­fol­gend die Fort­set­zung des Bei­trags vom 18.04.2020 zu Cyber-Angrif­fen und Pan­nen in der Infor­ma­ti­ons­si­cher­heit /​ im Daten­schutz der letz­ten 12 Monate. 

Ober­lan­des­ge­richt Ber­lin wird gehackt - Infor­ma­ti­ons­si­cher­heit frag­lich 

Wer im Begriff war, ein Anlie­gen vor dem Ober­lan­des­ge­richt von Ber­lin (=Kam­mer­ge­richt Ber­lin) ver­han­deln zu las­sen, hat hof­fent­lich recht­zei­tig davon Abstand neh­men kön­nen. Denn damit konn­te er ver­hin­dern, dass sen­si­bels­te per­so­nen­be­zo­ge­ne und juris­ti­sche Infor­ma­tio­nen bei die­ser his­to­ri­schen Daten­pan­ne kom­pro­mit­tiert wur­den. Hier­mit wird nicht gesagt, dass es in ande­ren Berei­chen der Ber­li­ner Ver­wal­tung  bes­ser um die Infor­ma­ti­ons­si­cher­heit bestellt ist. Gene­rell ist in man­gel­haft gesi­cher­ten Berei­chen meis­tens nur die Stär­ke des Ver­mark­tungs- /​ Sabo­tag­ein­ter­es­ses poten­zi­el­ler Hacker das maß­geb­li­che Kri­te­ri­um der tat­säch­li­chen Informationssicherheit. 

Im Sep­tem­ber 2019 wur­de fest­ge­stellt, dass von Sys­te­men des Kam­mer­ge­richts mit Ser­vern ver­bun­den war, die für die Fern­steue­rung schäd­li­cher Soft­ware typisch sind. 7 Tage spä­ter erfolg­te eine Vor­ort­prü­fung durch den IT-Dienst­leis­ter T‑Systems, der Emo­tet-Infek­tio­nen in diver­sen Sys­tem­be­rei­chen fest­stell­te und wei­te­re 14 Tage spä­ter wur­de der mut­maß­li­che Erst­in­fek­ti­ons-PC unter­sucht. Ursprung des Angriffs, wie vie­le Daten abge­flos­sen sind und seit wann, konn­te nicht fest­ge­stellt wer­den. Lücken in der Ermitt­lung wur­den mit Zeit- und finan­zi­el­len Aspek­ten begrün­det. Die Schad­soft­ware könn­te über einen USB-Stick auf die Sys­te­me gelangt sein. Die Sicher­heits­rou­ti­nen des Kam­mer­ge­richts erkann­ten die Emo­tet-Infil­trie­rung nicht. Eine Seg­men­tie­rung des Netz­werks hat­te man nicht vor­ge­nom­men, sodass sich die Schad­soft­ware unge­hin­dert aus­brei­ten und über eine Fern­steue­rung Daten expor­tie­ren konn­te. Fer­ner hat­te man die Datei­grö­ße des Event­logs der­ge­stalt limi­tiert, dass die rele­van­ten Pha­sen der Ereig­nis­do­ku­men­ta­ti­on bereits über­schrie­ben waren, als mit den Unter­su­chun­gen begon­nen wur­de. Wie­der­holt wur­de auf die beson­de­re Raf­fi­nes­se des Hackings hin­ge­wie­sen und „Sicher­heits­krei­se“ ver­mu­ten hin­ter dem Angriff orga­ni­sier­te Kri­mi­na­li­tät unter Feder­füh­rung des Nach­rich­ten­diens­tes der rus­si­schen Regie­rung. Wenn James Bond das wüsste … 

Der Bericht über den Vor­fall und die Unter­su­chun­gen vom Sep­tem­ber 2019 wur­de auf den 23.12.2019 datiert und Ende Janu­ar 2020 der Ber­li­ner Daten­schutz­be­auf­trag­ten zeit­gleich mit der Ver­öf­fent­li­chung vor­ge­legt. Die­se war hier­über „not amu­sed“ und for­der­te, dass „aus­schließ­lich mit dienst­li­chen Gerä­ten über eine zen­tral zur Ver­fü­gung gestell­te und aus­rei­chend abge­si­cher­te Infra­struk­tur“ Daten­ver­ar­bei­tun­gen zu erfol­gen haben. 

Es ist abzu­war­ten, ob Kon­se­quen­zen aus dem Vor­fall gezo­gen und die Stan­dards der Infor­ma­ti­ons­si­cher­heit in den Ver­wal­tungs­ein­rich­tun­gen der Haupt­stadt einer pro­fes­sio­nel­len Prü­fung unter­zo­gen wer­den oder ob wei­ter­hin Sicher­heits­vor­fäl­le fest­ge­stellt /​ öffent­lich gemacht werden. 

Bereits 2017/​2018 waren Sys­te­me des Bun­des­tags gehackt wor­den, wodurch die per­sön­li­chen Twit­ter­da­ten hun­der­ter Poli­ti­ker, Schau­spie­ler und Fern­seh­mo­de­ra­to­ren erbeu­tet wurden. 

2019-11 — Sicher­heits­lü­cke bei chi­ne­si­schem Smart­pho­ne-Her­stel­ler 

Bereits zum zwei­ten Mal inner­halb von 2 Jah­ren kam es zu einer Daten­pan­ne bei dem chi­ne­si­schen Smart­pho­ne-Her­stel­ler OnePlus. Über einen nicht bekann­ten Zeit­raum hin­weg war der Zugriff auf Kun­den­da­ten für Unbe­fug­te mög­lich. Betrof­fen sei­en Stamm- und Kon­takt­da­ten der Käu­fer gewe­sen. Eine Benach­rich­ti­gung der betrof­fe­nen Per­so­nen sei erfolgt. 

2019-12 — Daten­pan­ne bei der Luft­hansa

Für Kun­den der Miles & More GmbH, Toch­ter der Luft­han­sa, war es auf Grund eines mut­maß­li­chen tech­ni­schen Pro­blems für 40 Minu­ten mög­lich, auf per­so­nen­be­zo­ge­nen Daten ande­rer ein­ge­logg­ter Nut­zer der Online-Platt­form zuzu­grei­fen. Laut Luft­han­sa sei­en höchs­tens die Daten von 9.885 Miles & More-Kun­den betrof­fen. Betrof­fe­ne Daten waren: Stamm‑, Kon­takt- Kun­den- und Transaktionsdaten. 

2020-02 — Vor­fall in der Infor­ma­ti­ons­si­cher­heit bei Sam­sung 

Über den Dienst „Find My Mobi­le“, womit Smart­pho­nes über eine Platt­form des Her­stel­lers geor­tet wer­den, ver­sand­te Sam­sung an „einen klei­nen Kreis“ von Nut­zern eine unver­ständ­li­che Nach­richt. Als sich die Betrof­fe­nen in ihrem Online-Kon­to bei Sam­sung ein­logg­ten, um Ihre Log­in-Daten zu ändern, erhiel­ten sie auf Grund eines Ser­ver­pro­blems Zugriff auf Daten ande­rer Nut­zer. Dies umfass­te Stamm- und Kon­takt­da­ten sowie die letz­ten 4 Zif­fern der Kre­dit­kar­ten waren sicht­bar. Bei Fest­stel­lung des Pro­blems wur­de der Log­in vor­über­ge­hend gesperrt. 

Fra­gen wirft aller­dings der Umstand auf, dass die Nach­richt auch von Nut­zern emp­fan­gen wur­de, die das Ortungs-Fea­ture deak­ti­viert hatten. 

Die­sen Monat wur­de fer­ner bekannt, dass eine Kon­takt­ver­fol­gungs-Funk­tio­na­li­tät bereits Mit­te Mai als ver­bind­li­ches Update von iPho­nes, iPads ab iOS 13 und Android-Gerä­ten ab Ver­si­on 6 instal­liert wird. Im Fall von Apple vor­aus­sicht­lich als gän­gi­ges Firm­ware-Update, bei Android vor­aus­sicht­lich als Update der Goog­le Play Services. 

Mit Instal­la­ti­on die­ser Funk­ti­on und Erlaub­nis von Apple /​ Goog­le wird es Behör­den künf­tig mög­lich sein, Daten aus den Kon­takt­pro­fi­len der Tablet- und Han­dy­nut­zer auszuwerten. 

2020-03 — Mas­si­ve Pan­ne in der Infor­ma­ti­ons­si­cher­heit bei der Inves­ti­ti­ons­bank Ber­lin 

Durch Mit­tei­lung der Ber­li­ner Daten­schutz­be­auf­trag­ten wur­de Ende März 2020 eine gra­vie­ren­de Daten­pan­ne der IBB bekannt. Bei der Ver­ar­bei­tung der 150.000 ein­ge­gan­ge­nen Anträ­ge auf Coro­na-Unter­stüt­zung trat ein Pro­gram­mier­feh­ler auf, durch den Antrag­stel­lern per­so­nen­be­zo­ge­ne /​ Ergeb­nis­da­ten ande­rer Antrag­stel­ler ange­zeigt wur­den. Betrof­fen waren Ausweis‑, Bank‑, Steu­er- und Unternehmensdaten. 

Bei Fest­stel­lung der Daten­pan­ne wur­de das Antrags­ver­fah­ren bis zur Besei­ti­gung des Pro­gram­mier­feh­lers pausiert. 

Hacking, Sicher­heits­lü­cken und pro­mi­nen­te Daten­pan­nen aus 2019 und 2020 — Teil 1

Im vori­gen Post haben wir über das Image von und den Umgang mit Daten­pan­nen berich­tet. Dabei haben wir ver­sucht, dem durch­schnitt­li­chen Daten­pan­nen-Ver­ur­sa­cher ein Stück weit die Angst davor zu neh­men, sol­che Ereig­nis­se pro­fes­sio­nell fest­zu­stel­len und an die Auf­sichts­be­hör­den zu mel­den. Aller­dings tra­ten und tre­ten Sicher­heits­lü­cken, Hacking und Daten­pan­nen welt­weit und hier­zu­lan­de auf, die kei­nes­wegs amü­sant oder hin­nehm­bar sind. Betrach­tet wer­den hier­bei die letz­ten zwölf Monate. 

2019-04 - 540 Mil­lio­nen Face­book-Kun­den­da­ten auf öffent­lich zugäng­li­chen Ser­vern 

Zwei Koope­ra­ti­ons­part­ner des bekann­tes­ten Online Social Media Netz­werks haben Daten von Face­book auf offen zugäng­li­chen Ama­zon-Ser­vern gespei­chert. Dabei han­delt es sich um 

  • das Unter­neh­men Cul­tu­ra Colec­ti­va, das Account­na­men, Kom­men­ta­re und Likes frei zugäng­lich im AWS Cloud Dienst speicherte 
  • die Ent­wick­ler­fir­ma der Face­book App «At the Pool», die Pass­wör­ter im Klar­text von 22 000 Face­book Nut­zern auf öffent­lich zugäng­li­chen Ser­ver­be­rei­chen speicherte. 

Im Lich­te des Cam­bridge Ana­ly­ti­ca Skan­dals, bei dem Infor­ma­tio­nen über Mil­lio­nen Face­book-Nut­zer an das gleich­na­mi­ge Unter­neh­men zwecks Ana­ly­sen wei­ter­ge­ge­ben wur­den, war Face­book bereits unter Daten­schutz-Druck gera­ten. Die Zukunft wird zei­gen, ob aus den Ereig­nis­sen Lern­er­fol­ge gezo­gen wer­den konn­ten. Ein gewis­ser Trost dürf­te mög­li­cher­wei­se dar­in bestehen, dass Face­book Pro­fi­le ohne­hin über­wie­gend zur Ver­öf­fent­li­chung geschön­ter und damit allen­falls bedingt rea­ler per­so­nen­be­zo­ge­ner Infor­ma­tio­nen genutzt wer­den 🙂 Das schmä­lert jedoch nicht die Bri­sanz die­ser Datenpanne. 

2019-05 — Hacking und Daten­pan­nen im Arztbereich 

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Würt­tem­berg (LfDI) beklagt die hohe Anzahl von daten­schutz­be­zo­ge­nen Sicher­heits­vor­fäl­len in Arzt­pra­xen. Hacking wie Ver­schlüs­se­lungs­tro­ja­ner und Fehl­ver­sand von Pati­en­ten­be­rich­ten, Rezep­ten und Rönt­gen­bil­dern bil­de­ten dabei die Spit­ze des Eis­bergs. Ins­be­son­de­re bei der Ver­ar­bei­tung solch sen­si­bler Pati­en­ten­da­ten sei­en star­ke tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men (TOM) „wie Daten­si­che­rung, Ver­schlüs­se­lung, Schu­lung und Sen­si­bi­li­sie­rung“ unabdingbar. 

2019-08 — Hacking — Daten von 106 Mil­lio­nen Bank­kun­den der Capi­tal One erbeu­tet 

Einer Hacke­rin, die in der Ent­wick­lungs­ab­tei­lung des genutz­ten Ama­zon Cloud Ser­vices AWS der US-Bank Capi­tal One gear­bei­tet hat­te, gelang es, von den Sys­te­men der Bank per­so­nen­be­zo­ge­ne Daten zu Kre­dit­kar­ten und ‑anträ­gen zu erbeu­ten. Betrof­fen waren nebst Stamm- und Kon­takt­da­ten die ange­ge­be­nen Ein­kom­men, Infor­ma­tio­nen zur Kre­dit­wür­dig­keit und Ver­fü­gungs­rah­men. Laut Aus­sa­ge der Bank soll nicht an einer Schwach­stel­le des Cloud Ser­vices, son­dern die man­gel­haf­te Kon­fi­gu­ra­ti­on eine Fire­wall gehan­delt haben. 

2019-08 — Daten­pan­ne im Hau­se Twit­ter 

Twit­ter teil­te mit, dass mehr als zwölf Mona­te lang Daten von ca 300 Mil­lio­nen Twit­ter Usern mit Wer­be­kun­den ohne ent­spre­chen­de Ein­wil­li­gung geteilt wur­den. Ver­bots­wid­rig wur­den somit Daten an exter­ne Emp­fän­ger wei­ter­ge­ge­ben. Betrof­fen gewe­sen sei­en laut Twit­ter Daten über Kon­sum­dau­er von Wer­be­an­zei­gen. Mail­kon­ten und Pass­wör­ter waren lt. Twit­ter nicht betroffen. 

2019-09 — Hacking nicht not­wen­dig — Fahr­läs­sig­keit bei Mil­lio­nen von Pati­en­ten­da­ten 

Hoch­sen­si­ble Daten­sät­ze von welt­weit meh­re­ren Mil­lio­nen Pati­en­ten, davon mehr als 13.000 Daten­sät­ze aus Deutsch­land, online unver­schlüs­selt und frei ver­füg­bar auf hun­der­ten von unge­si­cher­ten Ser­vern. Der Bun­des­da­ten­schutz­be­auf­trag­te Ulrich Kel­ber hat­te einen “ver­hee­ren­den ers­ten Ein­druck” von dem Skan­dal. Eine Kol­la­bo­ra­ti­on des Baye­ri­schen Rund­funks und Pro­Pu­bli­ca deck­ten die­sen inter­na­tio­nal bestehen­den, und bis heu­te nicht besei­tig­ten bei­na­he nicht fass­ba­ren Miss­stand auf. Laut BR sei­en u.a. Daten wie Brust­krebsscree­nings, Wir­bel­säu­len­bil­der, Rönt­gen­auf­nah­men eines Brust­korbs etc., ein­schließ­lich zuge­hö­ri­ger Behand­lungs­in­for­ma­tio­nen betrof­fen. Eine 2016 ver­öf­fent­lich­te Stu­die des Har­vard-Pro­fes­sors Oleg Pia­nykh wur­de in Fach­krei­sen zu Kennt­nis genom­men, führ­ten jedoch zu kei­ner Ver­bes­se­rung der Zustän­de. Für die­je­ni­gen Daten­sät­ze, die trotz des bis heu­te akut bestehen Pro­blems nicht in die Hän­de von Unbe­fug­ten /​ Hackern gelangt sind, gilt, dass sich dies dem rela­ti­ven Des­in­ter­es­se von Hackern auf Grund der nur sehr beding­ten Ver­wert­bar­keit pri­va­ter Gesund­heits­da­ten verdankt. 

Die mobile Version verlassen