Stand heute kann zB eine nexenio eine #LucaApp offenbar ohne Software-Entwicklungsprozesse, ohne Testprozesse und Seniorentwickler als auch ohnr SW-Architekten entwickeln und dem Staat im Abo vermieten.

Merkt ihr, wie kaputt die IT-Gesetzgebung ist? 🤔

Gucken wir mal genauer /1
Datenschutz allein als die "rettende Instanz" langt einfach nicht! Das ist ein anderes Ziel als das Ziel IT-Sicherheit.

Sieht man zB auch am #ITSIG20, welches von Erhöhung der IT-Sicherheit spricht, aber zu einem Compliance Bürokratiemonster zerfallen ist. /2
Oder der Cybersecuritystrategie 2016, die schlicht keine Strategie enthält, sondern einen gewürfelten Haufen Massnahmen ohne KPIs usw. entspricht.

Und ja, die #CSS2016 wird als #CSS2021 aufgrund der komischen Methode des aktualisierens genauso wie das #ITSIG20 enden. /3
Deutschland ist im Cyberraum leider unfähig. #LucaApp ist einer der Beweise dafür. *s0ifz* /4

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Manuel Atug

Manuel Atug Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @HonkHase

1 Jun
Schon wieder desaströse #Sicherheitslücke in #LucaApp

"Die Kette von Sicherheitslücken bei der Luca App hört nicht auf. Ein Hacker hat nun gezeigt, wie er als Luca-Nutzer die Daten anderer Nutzer:innen der App stehlen kann." /1
netzpolitik.org/2021/it-sicher…
"Auch möglich sind weitere Angriffe wie zum Beispiel ganze Rechner beim Gesundheitsamt mit Ransomware zu verschlüsseln, weil Angreifer Code ausführen können." /2
"Schon vor drei Wochen hatte @evawolfangel auf @zeitonline auf die Möglichkeit einer Code Injection hingewiesen." /3
zeit.de/digital/datens…
Read 11 tweets
28 May
*s0ifz*

Das #ITSIG20 tritt ab heute in Kraft.

Und dass mir keiner sagt, ich hätte euch nicht gewarnt, dass es mit dem Schutz von #KRITIS abwärts geht. 😒 /1
bundesrat.de/DE/plenum/bund…
Hier die finale Version des #ITSIG20 /2
bgbl.de/xaver/bgbl/sta…
Hier meine Stellungnahme als Sachverständiger der @AG_KRITIS im Ausschuss für Inneres und Heimat zur erfolgten Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0. /3
ag.kritis.info/2021/03/01/ste…
Read 5 tweets
26 May
"#Hackback statt #Cyberresilienz"

Mein Editorial in der aktuellen @iXmagazin Ausgabe
heise.de/select/ix/2021…
"Wie schützt der Staat unsere kritische Infrastruktur? Sicherheitsbehörden und @BMI_Bund fordern weiterhin Staatstrojaner und mehr Befugnisse, um im Hackback - also mit invasiven Eingriffen in fremde Computersysteme - das offensive Heilsversprechen der Gefahrenabwehr zu finden."
"Mein Vorratskeller jedenfalls ist gemäß der Checkliste für Notfälle des @BBK_Bund gefüllt und ich richte mich auf Eigenvorsorge ein. Denn „Cyberwinter is coming“ und wir sind auf uns allein gestellt ..."
Read 4 tweets
26 May
Hacker können Gesundheitsämter über Luca angreifen

"Die #LucaApp liefert Daten ans Gesundheitsamt. Sicherheitsexperten zeigen nun: Darin lässt sich Quellcode verstecken, der potenziell ganze Behörden lahmlegen könnte"

Von @evawolfangel via @zeitonline /1
zeit.de/digital/2021-0…
"All das ist auch deshalb bemerkenswert, weil Patrick Hennig, der CEO von Nexenio, der Firma, die #LucaApp entwickelt hatte, vor einigen Wochen auf Nachfrage sagte, eine solche Attacke sei nicht möglich" /2
zeit.de/digital/datens…
"Die getroffenen Vorkehrungen sind allerdings lückenhaft. "Das zeigt, dass sie das Problem nicht verstanden haben", sagt @mame82." /3
Read 10 tweets
26 May
Leere Behauptungen von #LucaApp
Luca-CEO Patrick Hennig:

"Gefährlich sei das nicht: "Eine Code Injection über den Namen ist bei Luca im Gesundheitsamt nicht möglich." /1
"Sollte...Schadcode enthalten sein, werde dieser von React – der dahinterliegenden Software-Bibliothek, die #LucaApp nutze – entsprechend behandelt und "sichergestellt, dass hier kein Schaden entsteht"."

Äh kurz mal überlegen: nöpps! Ist nicht so. 🤷‍♂️ /2
zeit.de/digital/datens…
Beweisvideo von @mame82 /3
Read 4 tweets
26 May
Videobeweis:
How to #Ransomware via CSV-Export in deutschen Gesundheitsämtern durch #LucaApp Nutzer als Angreifer 😳

"LucaApp Sicherheitslücke (Video):
Luca-Nutzer greift Gesundheitsamt mittels manipulierter Kontakdaten..."

Kudos @mame82 👌 /1
* Diebstahl der Daten weiterer Nutzer möglich
* Remote Code Execution machbar

Also einmal alles. uFF.

Was sagen die Macher hinter #LucaApp dazu? Well... /2
Nexenio weiss seit über 3 Wochen(!) davon!

#LucaApp-CEO Patrick Hennig hatte in diesem Interview mit @evawolfangel in der @zeitonline am 3.5.2021 dargelegt "diese Lücke gebe es nicht". /3
zeit.de/digital/datens…
Read 7 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Too expensive? Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal Become our Patreon

Thank you for your support!

Follow Us on Twitter!

:(