Eine Hacker-Autobahn ins Gesundheitsamt?

"Die #LucaApp soll Gesundheitsämtern Arbeit abnehmen. Behördenleiter bezweifeln, dass sie das kann. Manche befürchten gar, die Anwendung öffne eine Tür für Cyberattacken"

von @evawolfangel mit Interview von mir /1
zeit.de/digital/datens…
"Der Dezernent für Soziales und Gesundheit der Städteregion Aachen integrierte die Luca-Anwendung in das dortige Gesundheitsamt. Er habe das Gefühl gehabt, gar nicht anders zu können, sagt er im Nachhinein: "Der Druck seitens der Gastronomie war massiv."" /2
"Nexenio, das Unternehmen hinter der #LucaApp...habe den Restaurants eine sechsmonatige kostenlose Probephase angeboten und offenbar große Hoffnungen auf eine baldige Wiedereröffnung gemacht."

Anfix-Modell der Drogenhändler auf dem Schulhof abgeschaut? 🤔 /3
"Auch dem Gesundheitsamt sei eine solche kostenlose Probephase angeboten worden – doch Ziemons habe zunächst abgelehnt. Dann aber wuchs der Druck"

Jepp, Anfix-Modell der Drogenhändler auf dem Schulhof abgeschaut! ☝️ /4
"Also sagte er schließlich Ja. Aus seiner Sicht ist die sechsmonatige Probephase von Nexenio kein Geschenk, sondern Kalkül: "Dieses Geschäftsmodell ist so perfide."" /5
"Das Gesundheitsamt Aachen gehört nicht mehr dazu. 6 Wochen nach Beginn beendete Dezernent Ziemons den Versuch vergangene Woche. Er will die Luca-Anwendung nicht weiter nutzen. "Nach all den Sicherheitsproblemen ist mir das schlicht zu gefährlich"" /6
"Wer es schaffe, über Sicherheitslücken in der #LucaApp-Software ins Gesundheitsamt einzudringen, findet dort jede Menge sensible Daten. "Wir haben dort jeden Masernfall, jede Einstellungsuntersuchung von Beamten, jeden Todesfall." Und natürlich alle Covid-Fälle." /7
"Der größte Risikofaktor aber sei erst noch geplant gewesen: "Mit dem nächsten Update hätte #LucaApp direkt auf unsere Server geschrieben"" /8
"Das bedeutet, dass jede Schwachstelle im #LucaApp-System direkt auch eine Schwachstelle im System des Gesundheitsamts werden könnte. "Und es klingt nicht so, als könnte man denen vertrauen", sagt Ziemons." /9
"Können über diese Autobahn tatsächlich auch Angreifer ins Gesundheitsamt eindringen, wie Ziemons befürchtet?" /10
"Unrealistisch ist das laut dem IT-Sicherheitsexperten @HonkHase nicht: #LucaApp übermittelt CSV-Dateien. Wenn diese bereits manipulierte Einträge enthalten und diese ungeprüft in Datenbanken des Gesundheitssystems übernommen werden, kann man damit beispielsweise..." /11
"die ganze Datenbank löschen – oder sogar andere Datensätze auslesen", sagt er. Solche Angriffe seien keine Seltenheit. "Deshalb gehört es zum Einmaleins der IT-Sicherheit, es nicht zuzulassen, dass ungeprüfte Daten übernommen werden."" /12
$_magische_Dinge Geschwurbel von Luca, daraufhin so:

"Der IT-Sicherheitsexperte @mame82, der sich viel mit dem #LucaApp-System beschäftigt hat, bezweifelt allerdings, dass sich auf diese Weise Angriffe verhindern lassen." /13
""Wenn die Ende-zu-Ende-Verschlüsselung sichergestellt ist, können beliebige Nutzereingaben bis zum Gesundheitsamt durchlaufen", sagt @mame82. Denn schließlich könne ein Betreiber keine Einsicht nehmen in verschlüsselte Daten" /14
"Sicherheitsexperte @HonkHase ergänzt, dass das Verbot von Sonderzeichen bei der Eingabe des Benutzernamens das Problem zwar nicht endgültig lösen würde, da versierte Angreifer den entsprechenden Client manipulieren können." /15
"Dass Nexenio das nicht tut, findet er erschreckend: "Dass Nexenio nicht einmal an diese Grundlagen der Sicherheit zum Schutz der Gesundheitsämter denkt, disqualifiziert das Unternehmen. Die #LucaApp-Macher nehmen offenbar alles ungeprüft entgegen..." /16
"reichen es ungefiltert weiter und haben sich kein bisschen Gedanken darum gemacht." Er warnt Gesundheitsämter davor, #LucaApp zu nutzen, solange nicht klar sei, wie diese Daten der Nutzer technisch validiert und gefiltert würden." /17
"Nexenio selbst verspricht den Ämtern verifizierte Kontaktdaten und wirbt damit auf seiner Website. Tatsächlich wird aber nur die Telefonnummer verifiziert – und auch das lässt sich mit wenig Aufwand umgehen, wie immer wieder nachgewiesen wurde" /18
""Allein mehrere Tausend Datensätze mit sehr langen Nutzernamen können ein älteres Serversystem im Gesundheitsamt lahmlegen", sagt @HonkHase" /19
$_unqualifiziertes Geschwurbel von #Luca, daraufhin so:

"Darüber kann Michael Ziemons nur den Kopf schütteln. Er hält nicht nur das Ausspionieren sensibler persönlicher Daten aus den Ämtern für ein realistisches Angriffsszenario, sondern auch schlicht Sabotage." /20
Landratsamts Bodenseekreis:
"Es ist eigentlich nicht unsere Rolle, Entwicklungshilfe für private Betreiber zu leisten." /21
"Eine andere Frage ist freilich, welches Problem die #LucaApp für die Gesundheitsämter genau löst." /22
"Die #LucaApp-Anbieter werben damit...den Gesundheitsämtern viel Zeit" einzusparen. Angeblich 4 Tage.

"Auf Nachfrage von @zeitonline, wie diese Zahlen zustande kommen, reagiert Nexenio lediglich mit dem Hinweis auf allgemeine Studien" aha, ja ne ist klar, na dann... /23
"Am Bodensee mussten seine Kolleginnen bisher im Infektionsfall bei den Gaststätten vorbeifahren und die Listen abholen. Diese Arbeit bleibt ihnen durch #LucaApp erspart – das dürfte aber wohl kaum 4Tage Unterschied bedeuten" /24
"Keine App könne dem Gesundheitsamt diese Arbeit abnehmen: "Fragen wie: Wie eng war der Kontakt, wie nah, wie lange, wie war die Belüftung, haben die Betreffenden Masken getragen und was für welche? Das ist entscheidend, um zu beurteilen, ob da das Virus überspringen konnte"" /25
"Im Gesundheitsamt Bodenseekreis sei in der Pandemie bisher dreimal auf Listen aus Restaurants zurückgegriffen worden, sagt Schwarz. "In der Praxis spielte das keine große Rolle."" /26
"Dreimal in der gesamten Pandemie – braucht es dafür eine App?" /27

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Manuel Atug

Manuel Atug Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @HonkHase

5 May
Dieses IT-Desaster hinterlässt die Große Koalition

"Probleme beim #TKG, #ITSIG20, Quellen-TKÜ und anderen Vorhaben. Große netzpolitische Erblast. Experte nennt Gesetzesvorhaben "Katastrophe"."

Ja, beim BMI bekomme ich schlechte Laune im Ehrenamt 😒 /1
heise.de/tp/features/Di…
Von @mfeilner via @heise_de_tp u.a. mit Interview von mir zum #ITSIG20 und wegen #KRITIS /2
"@HonkHase, Sprecher der Arbeitsgemeinschaft Kritische Infrastrukturen @AG_KRITIS und Sachverständiger im Bundestag für das #ITSIG20, erklärt gegenüber @heise_de_tp /3
ag.kritis.info
Read 31 tweets
5 May
Im internationalen Spielfeld wird das "#Cyberspionage Eldorado" immer umfangreicher, statt eingedämmt zu werden.

#KRITIS-Betreiber werden darunter leiden, weil sie im Zweifel mehrere östliche wie westliche Regierungen in ihren Systemen haben werden. /1
APT-Gruppen werden immer "staatlich nahe Gruppen" genannt. Genau genommen ist das allerdings Augenwischerei. Es sind #Nachrichtendienste, #Geheimdienste oder die #Militär-Bereiche der Regierungen aller Nationen, die da mitspielen wollen, ohne damit assoziiert zu werden. /2
#KRITIS leiden daher als Primärziel und damit haben wir am Ende ein hohes Risiko für die #Versorgungssicherheit der #Zivilbevölkerung. /3
Read 4 tweets
4 May
@coronawarnapp ist die smartere Lösung“

#LucaApp in Regensburg: Stadtrat kritisiert Beschlussvorlage

„Kommunen werden mehr oder weniger zu Luca genötigt.“ /1
regensburg-digital.de/luca-app-in-re…
"Mit #LucaApp bevorzugen viele Bundesländer eine Lösung, die erstens die Aufgabe ineffizienter erfüllt als andere Apps, und auch noch riskant ist. Als würde man nukleare Braunkohlekraftwerke bauen – es gibt keinen Grund, das zu machen“, sagt...#CCC... @Linuzifer" /2
"Mittlerweile gebe es bei der @coronawarnapp die Möglichkeit, Veranstaltungen zu erstellen, sich einzuloggen und so Infektionscluster zu erkennen. „Die Corona-Warn-App ist einfach sowohl beim Infektionsschutz als auch beim Datenschutz die smartere Lösung.“" /3
Read 10 tweets
3 May
#Geheimdienste sollen mitlesen dürfen

"im Grundsatz nun auch..Fraktionen darauf geeinigt, dass..Geheimdienste #Trojaner nutzen dürfen. Damit sollen die Spione an Informationen gelangen, die verschlüsselt über Messenger wie WhatsApp verschickt werden" /1
welt.de/politik/deutsc…
"Gesetzentwurf noch in dieser Woche in den @Bundestag eingebracht und dann zügig beschlossen werden" /2
"Das Paket beinhaltet auch: Der Militärische Abschirmdienst soll seine Informationen künftig zudem ins #NADIS eintragen dürfen, damit der Austausch zwischen den Behörden besser gelingt. In Sicherheitskreisen hält man das Vorhaben für eines der wichtigsten dieser Legislatur." /3
Read 4 tweets
3 May
Deutsche Druck- und Verlagsgesellschaft

"...zu 100 % im Eigentum der SPD. Die DDVG kommt als Verlagsgruppe mit den ihr zuzurechnenden Tageszeitungen auf eine anteilige Gesamtauflage von rund 435.000 Exemplaren und..." /1
de.m.wikipedia.org/wiki/Deutsche_…
"einen Marktanteil am bundesdeutschen Tageszeitungsmarkt in Höhe von 1,9 %. Sie nimmt damit Rang 11 der führenden Verlagsgruppen im deutschen Zeitungsmarkt nach Gesamtauflagen ein." /2
"2008 veröffentlichten die Wissenschaftlichen Dienste des Deutschen Bundestages ein Gutachten über das Ausmaß der Beteiligung bestimmter Parteien an Medienunternehmen." /3
bundestag.de/blob/414760/a7…
Read 5 tweets
2 May
Gesundheitsämter nutzen Pandemie-Software kaum

"Nur 15 von 53 Gesundheitssämtern in #NRW nutzen die Software #Sormas. Eigentlich sollte das Programm die Kontaktverfolgung nach einer Coronainfektion beschleunigen." /1
www1.wdr.de/nachrichten/la…
"...erst 15 Gesundheitsämter im Land mit #Sormas arbeiten. "In einem laufenden Betrieb, wo Sie zwischen 150 und 250 positive Meldungen am Tag haben, können Sie keine Systemumstellung durchführen", sagt Juliane Böttcher, Leiterin des Essener Gesundheitsamtes." /2
"Mitten in der dritten Welle sei es nicht machbar #Sormas zu installieren, heißt es auch aus Bielefeld. Mitarbeiter müssten dafür geschult werden." /3
Read 4 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!