Eine Hacker-Autobahn ins Gesundheitsamt?
"Die #LucaApp soll Gesundheitsämtern Arbeit abnehmen. Behördenleiter bezweifeln, dass sie das kann. Manche befürchten gar, die Anwendung öffne eine Tür für Cyberattacken"
von @evawolfangel mit Interview von mir /1
zeit.de/digital/datens…
"Die #LucaApp soll Gesundheitsämtern Arbeit abnehmen. Behördenleiter bezweifeln, dass sie das kann. Manche befürchten gar, die Anwendung öffne eine Tür für Cyberattacken"
von @evawolfangel mit Interview von mir /1
zeit.de/digital/datens…
"Der Dezernent für Soziales und Gesundheit der Städteregion Aachen integrierte die Luca-Anwendung in das dortige Gesundheitsamt. Er habe das Gefühl gehabt, gar nicht anders zu können, sagt er im Nachhinein: "Der Druck seitens der Gastronomie war massiv."" /2
"Nexenio, das Unternehmen hinter der #LucaApp...habe den Restaurants eine sechsmonatige kostenlose Probephase angeboten und offenbar große Hoffnungen auf eine baldige Wiedereröffnung gemacht."
Anfix-Modell der Drogenhändler auf dem Schulhof abgeschaut? 🤔 /3
Anfix-Modell der Drogenhändler auf dem Schulhof abgeschaut? 🤔 /3
"Auch dem Gesundheitsamt sei eine solche kostenlose Probephase angeboten worden – doch Ziemons habe zunächst abgelehnt. Dann aber wuchs der Druck"
Jepp, Anfix-Modell der Drogenhändler auf dem Schulhof abgeschaut! ☝️ /4
Jepp, Anfix-Modell der Drogenhändler auf dem Schulhof abgeschaut! ☝️ /4
"Also sagte er schließlich Ja. Aus seiner Sicht ist die sechsmonatige Probephase von Nexenio kein Geschenk, sondern Kalkül: "Dieses Geschäftsmodell ist so perfide."" /5
"Das Gesundheitsamt Aachen gehört nicht mehr dazu. 6 Wochen nach Beginn beendete Dezernent Ziemons den Versuch vergangene Woche. Er will die Luca-Anwendung nicht weiter nutzen. "Nach all den Sicherheitsproblemen ist mir das schlicht zu gefährlich"" /6
"Wer es schaffe, über Sicherheitslücken in der #LucaApp-Software ins Gesundheitsamt einzudringen, findet dort jede Menge sensible Daten. "Wir haben dort jeden Masernfall, jede Einstellungsuntersuchung von Beamten, jeden Todesfall." Und natürlich alle Covid-Fälle." /7
"Der größte Risikofaktor aber sei erst noch geplant gewesen: "Mit dem nächsten Update hätte #LucaApp direkt auf unsere Server geschrieben"" /8
"Das bedeutet, dass jede Schwachstelle im #LucaApp-System direkt auch eine Schwachstelle im System des Gesundheitsamts werden könnte. "Und es klingt nicht so, als könnte man denen vertrauen", sagt Ziemons." /9
"Können über diese Autobahn tatsächlich auch Angreifer ins Gesundheitsamt eindringen, wie Ziemons befürchtet?" /10
"Unrealistisch ist das laut dem IT-Sicherheitsexperten @HonkHase nicht: #LucaApp übermittelt CSV-Dateien. Wenn diese bereits manipulierte Einträge enthalten und diese ungeprüft in Datenbanken des Gesundheitssystems übernommen werden, kann man damit beispielsweise..." /11
"die ganze Datenbank löschen – oder sogar andere Datensätze auslesen", sagt er. Solche Angriffe seien keine Seltenheit. "Deshalb gehört es zum Einmaleins der IT-Sicherheit, es nicht zuzulassen, dass ungeprüfte Daten übernommen werden."" /12
$_magische_Dinge Geschwurbel von Luca, daraufhin so:
"Der IT-Sicherheitsexperte @mame82, der sich viel mit dem #LucaApp-System beschäftigt hat, bezweifelt allerdings, dass sich auf diese Weise Angriffe verhindern lassen." /13
"Der IT-Sicherheitsexperte @mame82, der sich viel mit dem #LucaApp-System beschäftigt hat, bezweifelt allerdings, dass sich auf diese Weise Angriffe verhindern lassen." /13
""Wenn die Ende-zu-Ende-Verschlüsselung sichergestellt ist, können beliebige Nutzereingaben bis zum Gesundheitsamt durchlaufen", sagt @mame82. Denn schließlich könne ein Betreiber keine Einsicht nehmen in verschlüsselte Daten" /14
"Sicherheitsexperte @HonkHase ergänzt, dass das Verbot von Sonderzeichen bei der Eingabe des Benutzernamens das Problem zwar nicht endgültig lösen würde, da versierte Angreifer den entsprechenden Client manipulieren können." /15
"Dass Nexenio das nicht tut, findet er erschreckend: "Dass Nexenio nicht einmal an diese Grundlagen der Sicherheit zum Schutz der Gesundheitsämter denkt, disqualifiziert das Unternehmen. Die #LucaApp-Macher nehmen offenbar alles ungeprüft entgegen..." /16
"reichen es ungefiltert weiter und haben sich kein bisschen Gedanken darum gemacht." Er warnt Gesundheitsämter davor, #LucaApp zu nutzen, solange nicht klar sei, wie diese Daten der Nutzer technisch validiert und gefiltert würden." /17
"Nexenio selbst verspricht den Ämtern verifizierte Kontaktdaten und wirbt damit auf seiner Website. Tatsächlich wird aber nur die Telefonnummer verifiziert – und auch das lässt sich mit wenig Aufwand umgehen, wie immer wieder nachgewiesen wurde" /18
""Allein mehrere Tausend Datensätze mit sehr langen Nutzernamen können ein älteres Serversystem im Gesundheitsamt lahmlegen", sagt @HonkHase" /19
$_unqualifiziertes Geschwurbel von #Luca, daraufhin so:
"Darüber kann Michael Ziemons nur den Kopf schütteln. Er hält nicht nur das Ausspionieren sensibler persönlicher Daten aus den Ämtern für ein realistisches Angriffsszenario, sondern auch schlicht Sabotage." /20
"Darüber kann Michael Ziemons nur den Kopf schütteln. Er hält nicht nur das Ausspionieren sensibler persönlicher Daten aus den Ämtern für ein realistisches Angriffsszenario, sondern auch schlicht Sabotage." /20
Landratsamts Bodenseekreis:
"Es ist eigentlich nicht unsere Rolle, Entwicklungshilfe für private Betreiber zu leisten." /21
"Es ist eigentlich nicht unsere Rolle, Entwicklungshilfe für private Betreiber zu leisten." /21
"Eine andere Frage ist freilich, welches Problem die #LucaApp für die Gesundheitsämter genau löst." /22
"Die #LucaApp-Anbieter werben damit...den Gesundheitsämtern viel Zeit" einzusparen. Angeblich 4 Tage.
"Auf Nachfrage von @zeitonline, wie diese Zahlen zustande kommen, reagiert Nexenio lediglich mit dem Hinweis auf allgemeine Studien" aha, ja ne ist klar, na dann... /23
"Auf Nachfrage von @zeitonline, wie diese Zahlen zustande kommen, reagiert Nexenio lediglich mit dem Hinweis auf allgemeine Studien" aha, ja ne ist klar, na dann... /23
"Am Bodensee mussten seine Kolleginnen bisher im Infektionsfall bei den Gaststätten vorbeifahren und die Listen abholen. Diese Arbeit bleibt ihnen durch #LucaApp erspart – das dürfte aber wohl kaum 4Tage Unterschied bedeuten" /24
"Keine App könne dem Gesundheitsamt diese Arbeit abnehmen: "Fragen wie: Wie eng war der Kontakt, wie nah, wie lange, wie war die Belüftung, haben die Betreffenden Masken getragen und was für welche? Das ist entscheidend, um zu beurteilen, ob da das Virus überspringen konnte"" /25
"Im Gesundheitsamt Bodenseekreis sei in der Pandemie bisher dreimal auf Listen aus Restaurants zurückgegriffen worden, sagt Schwarz. "In der Praxis spielte das keine große Rolle."" /26
"Dreimal in der gesamten Pandemie – braucht es dafür eine App?" /27
• • •
Missing some Tweet in this thread? You can try to
force a refresh
