Digital-Health-Podcast: Dauerthema Datenlecks aus Sicht eines mehrfach Betroffenen

Shownotes

In dieser Folge spricht Marie-Claire Koch mit dem Softwareentwickler Manuel Dimmler über Cyberangriffe und Datenschutzvorfälle im Gesundheitswesen. Es geht unter anderem um Fälle wie die Angriffe auf Unimed und Zuther+Hautmann sowie Sicherheitslücken bei Rehakliniken. Gemeinsam beleuchten sie, welche Risiken solche Vorfälle für Patientinnen und Patienten mit sich bringen, welche strukturellen Schwachstellen Dimmler in seinen Recherchen identifiziert hat und wie Hersteller und Einrichtungen darauf reagieren.

Transkript anzeigen

00:00:01: Willkommen beim Digital Health Podcast von Heiser Online.

00:00:05: Hier geht es um die Digitalisierung im Gesundheitswesen, von Apps und Medizintechnik bis hin zur Gesundheitspolitik.

00:00:13: Für alle, die wissen wollen wie sich das Gesundheitswesend digital verändert.

00:00:27: Cyberangriffen und Datenlex im Gesundheitswesten sorgen regelmäßig für Schlagzeilen.

00:00:31: Zuletzt traf es unter anderem den Abrechnungsdienstleister Unimet – dem Medizintechnekehrsteller Zuta und Hautmann sowie weitere Unternehmen, die täglich besonders sensible Gesundheits- und Patientendaten verarbeiten.

00:00:43: Im Fall von Zuta & Hautmann haben Cyberkriminelle bereits mehr als zweihundert Gigabyte Daten veröffentlicht?

00:00:51: Welche Informationen sich darunter konkret befinden lässt sich derzeit noch nicht abschließend beurteilen.

00:00:56: für Patienten stellen sich danach immer dieselben Fragen welche Daten sind betroffen Und was bedeutet so ein Vorfall konkret für mich?

00:01:03: Anfang twenty-fünfundzwanzig sorgte ein anderer Fall bundesweit vor Aufsehen.

00:01:07: Bei den Zarreakliniken führten gravierende Sicherheitslücken dazu, dass potenziell die Daten von hunderttausenden Patientinnen und Patienten abrufbar waren – darunter medizinische Befunde und auch psychologische Gutachten.

00:01:18: Entdeckt wurde die Schwachstelle von meinem heutigen Gast Manuel Dimmler.

00:01:21: Hallo!

00:01:22: Schön, dass das geklappt hat.

00:01:23: Manuel ist Softwareentwickler, beschäftigt sich intensiv mit IT-Sicherheit... und war mit seiner Familie selbst von mehreren Datenschutz- und Sicherheitsvorfällen im Gesundheitswesen betroffen.

00:01:33: Immer wieder stößt er auf grundlegende IT-Sicherheitsprobleme und teilweise veraltete Softwarekomponenten.

00:01:39: Er fragte sich deshalb, ob aus den Vorfällen der vergangenen Jahre überall die notwendigen Konsequenzen gezogen wurden?

00:01:45: Jetzt hat er erneut Mängel beim Softwareanbieter Meditec gefunden.

00:01:49: Zum Zeitpunkt der Aufzeichnung lag uns dazu jetzt noch keine Stellungnahme vor.

00:01:53: Die erreichte uns dann einen Tag später.

00:01:56: Mediteck erklärt darin alle Kundenumgebungen überprüft und Aktualisierungen eingeleitet zu haben.

00:02:02: Deshalb läuft außerdem ein Penetrationstest, der demnächst abgeschlossen sein soll.

00:02:06: Außerdem betont Meditek dass man alle Kunden offen informiert habe und im engen Austausch stehe um den Schutz der Systeme gemeinsam zu verbessern.

00:02:15: wie und warum Sicherheitsvorfälle das Vertrauen in die Digitalisierung erschüttern können und welche Lehren sich daraus ziehen lassen darüber sprechen wir jetzt.

00:02:22: Manuel, wenn man auf die vergangenen anderthalb Jahre schaut dann wart ihr mehrfach von Sicherheitslücken betroffen.

00:02:29: Erst bei den Zareha-Kliniken später auch bei Unimet jetzt auch bei Zutah und Hautmann.

00:02:34: wie ist das eigentlich für euch?

00:02:36: Bei uns ist es vor allem die Summe an Vorfällen die sich jetzt in kurzer Zeit aufgetürmt hat, die uns ein bisschen schockiert hat.

00:02:47: wir waren im Januar, bei den ZDR-Kliniken mitbetroffen.

00:02:55: Wir waren jetzt bei Zutorn-Hautmann betroffen.

00:02:59: da haben wir erst vor wenigen Wochen die Informationen bekommen das dort Informationen abgegriffen wurden und dann auch später durch Recherchen herausgefunden dass sie angeblich im Darknet veröffentlicht wurden.

00:03:16: Und bei Unimed, da war es lange Zeit so oder eigentlich wissen wir das immer noch nicht hundertprozentig ob wir betroffen sind oder nicht.

00:03:25: Da kam ja ganz lange keine oder wenig Information von dem Dienstleister.

00:03:31: erst Wochen nach dem Vorfall hat man herausgefunden Ja die Universitätskliniken sind betroffen aber vielleicht doch nicht alle und dann hat sich das nach und nach immer weiter vergrößert.

00:03:41: der Radius oder den Personenkreis der Betroffen wurde war, wurde immer größer und es ist für uns als Familie natürlich ärgerlich wenn man gar keine Informationen bekommt.

00:03:53: Wenn man verspätet Information bekommt, wenn man keine Informationen bekommen welche Daten waren eigentlich konkret betroffen?

00:04:01: weil dann kann man sich auch schlecht verteidigen oder darauf einstellen.

00:04:05: Und bei uns war es jetzt innerhalb von eineinhalb Jahren die Summe an Vorfällen wo wir betroffen oder eventuell betroffen sind wo sonst die Information gefehlt hat, was uns vor allem dann ärgert und wir das Gefühl haben auch die bestehenden Gesetze, die eigentlich existieren, die eine Informationspflicht den Betroffenen bieten sollen.

00:04:28: Dass sie proaktiv informiert werden – da ist irgendetwas passiert -, dass die halt nicht so richtig gelebt wird.

00:04:34: Bei Unimet waren es Rechnungsdaten und gerade Privatversicherte, vielleicht auch chronisch erkrankt sind oder gerade in einer guten Krankheitsphase sind und da sehr viele Rechnungen bekommen, einen Tag aus.

00:04:48: Es ist natürlich dann schwer herauszubekommen vor allem wenn sie auch keine Informationen im Vorfeld bekommen haben dass der Daten abgeflossen sind.

00:04:55: es eine Rechnung jetzt die hier reinkommt vielleicht auch gefaked weil es in Rechnungsdaten abgeflossen.

00:04:59: es sind teilweise Diagnosen abgeflossing zumindest die groben Sachen.

00:05:04: also hat jetzt ein CT stattgefunden hat ein MRT stattgefundet Rechnung ins Haus flattert, die einfach nur mit falschen Rechnungsdaten gefüttert ist und man ist nicht informiert.

00:05:15: Dann schaut man vielleicht nicht so schnell hin und bezahlt dann mehrere Tausend Euro an jemanden der gar nicht der Empfänger eigentlich sein soll.

00:05:22: Ja jetzt ist ja schon so dass man ziemlich viele Fishingmails im Postfach hat.

00:05:27: Ist ja die eine Seite.

00:05:28: welche Risiken gibt es da noch?

00:05:31: Was ich jetzt benannt hatte, waren natürlich nur die kurzfristigen Effekte, die davor herrschen können.

00:05:36: Aber es gibt bei vielen Krankheitsbildern auch Diagnosen, wo's ärgerlich wäre wenn langfristig das Publik wird nicht umsonst in Gesundheitsdaten besonders schützenswerde Daten, die eigentlich nicht in die öffentlichen Hände geraten sollen und wenn aber öffentlich downloadbar irgendwo Diagnosen oder Diagnose und Prognosen vorhanden sind, dann kann das für spätere Verläufe Lebensläufer natürlich deutliche Auswirkungen haben.

00:06:10: Es gab vor ein paar Wochen auch deinen Podcast über das Recht auf Vergessenwerden.

00:06:18: da ging es darum dass Krebs erkrankte nach fünf Jahren an für sich keine erhöhte oder kaum erhöhte Rückfallquoten haben im Vergleich zu Normalbevölkerung, aber trotzdem sind die langfristig ausgeschlossen zur Ausübung von bestimmten Berufen.

00:06:41: Also sie können nicht Beamte werden oder sie können bestimmte Versicherungen nicht abschließen oder nur zu erhöhten Prämien und da kämpfen die auf das rechte Fall vergessen werden.

00:06:53: es gibt es.

00:06:53: in anderen Ländern gibt es das schon.

00:06:59: Die ganze Initiative ist natürlich irgendwie in Anführungsweisen sinnlos, wenn durch Datenlex diese Informationen öffentlich abrufbar sind.

00:07:09: Dann gibt es zwar ein Recht auf vergessen werden und dann kann man sich das vielleicht diese Sachen löschen lassen oder die Versicherungen greifen dann vielleicht doch offenen Datenbestand zu, der einfach im Internet verfügbar ist weil durch Sicherheitslex eben das geliegt wurde.

00:07:26: Eine verlorene Kreditkarte kann man sperren, Passwörter kann man ändern.

00:07:30: Aber Gesundheitsdaten ganz persönliche Krankengeschichten die kann man nicht einfach so aus dem Internet löschen.

00:07:35: Müsste inzwischen jedem bekannt sein eigentlich?

00:07:37: Kann sein dass das jeden bekannt ist aber es auch die Frage wie weit sich der Einzelne halt schützen kann.

00:07:44: Es kann zwar bekannt sein aber wenn ja die Software nicht den Stand hat wir eigentlich sein sollte dass sie datensicher sind.

00:07:53: Das ist halt auch die Frage, was kann der Einzelne überhaupt machen?

00:07:58: Und das hat meine Familie leider auch gerade mit dem Vorfall im Januar erleben müssen.

00:08:05: Dass die Information teilweise gar nicht erfolgt oder die Überprüfung ist natürlich schon schwierig!

00:08:13: Wie sicher ist die Software?

00:08:14: Man kann ja nicht hingehen zu einer Reha-Klinik und ich würde gerne hier eine Reha machen, wie sicher ihre Software.

00:08:21: Da würden die einen erst mal komisch anschauen und würden wahrscheinlich selbst keine Auskunft geben

00:08:25: oder vielleicht auch nicht geben können.

00:08:29: Und da verlässt man sich erstmal darauf dass das Software sicher ist und ärgert sich natürlich dann umso mehr wenn man sich später herausstellt seine Daten auch wieder frei im Internet verfügbar sind.

00:08:43: Ansprechpartner klar ist, es sind die medizinischen Einrichtungen.

00:08:47: Klar, sie verlassen sich in gewisser Weise auch darauf bzw haben auch häufig halt lose Formulierungen, dass das nachher juristisch nicht richtig greift weil dies sind die Fachmänner und Frauen im Bereich Medizin jetzt nicht unbedingt im Bereich der IT kaufen sich dann die Software ein.

00:09:05: achten da vielleicht dann nicht richtig auf die Verträge dass die Patch-Stände von Software regelmäßig überprüft werden müssen oder eine Informationspflicht von Zeiten des Anbieters dann erfolgen muss.

00:09:19: Oder Vertragsstrafen vielleicht vereinbart werden.

00:09:26: und das Beispiel, was ich jetzt gerade schon mal erwähnt hatte mit den CDR-Kliniken da hat ja halt die ganze Geschichte bei uns angefangen.

00:09:37: Ich war zu dem Zeitpunkt selbst dort auf Reha.

00:09:42: Und auch ich habe nicht groß nachgefragt, wie sicher ist die Software?

00:09:46: Weil mir war es dann einfach so dass sich gleich bei den ersten Tagen saß ich in der Mittagspause in der Mensa und wir hatten oder die ZDR Kliniken hatten zu dem Zeitpunkt eine App jedem empfohlen über die man die Termine abfragen konnte.

00:10:06: Also seine eigenen Termine einsehen konnte und es verschiebt sich auch immer wieder etwas, dass man nicht jedes Mal zum Dresen gehen muss und sagen dann was hat sich denn heute eventuell verschoben?

00:10:15: Ist das ja an für sich ganz praktisch wenn man da eine App auf dem Handy hatte und dann gleich informiert wird?

00:10:19: Ja heute geh mal bitte zur anderen Uhrzeit zum Sport!

00:10:26: Und ich hatte auf meinem Telefon, weil ich ein Softwareentwickler bin, auch eine andere App mit der die Kommunikation zwischen Apps, die auf dem Telefon sind und im jeweiligen Server sich anschauen kann, mitschneiden kann.

00:10:45: Was bei der Softwareentwicklung natürlich ganz sinnvoll sein kann wenn man gerade auch etwas entwickelt und testet auf dem Handy.

00:10:51: Und da hatte mir dann auch diese App natürlich angezeigt.

00:10:54: Die war ja auf meinem Handy installiert und ich habe gleich gesehen dort findet die gesamte Kommunikations im Klartext statt.

00:11:02: Also alle meine Abfragen, die ich hatte und meinen Terminplan.

00:11:07: Der wurde über das dort lokale WLAN frei übertragen und die von den anderen Patienten dementsprechend auch und rein theoretisch hätte dort jemand sich hinsetzen können und mitschneiden können wer eigentlich welche Reha macht schon mal weil jeder hat ja einen anderen Termin planen und darüber lässt sich dann schonmal sagen okay derjenige Ist bei einer orthopädischen Reha und der ist eher eine psychologische Reha.

00:11:34: Das

00:11:34: heißt, es gab dort nicht mal Transportverschlüsselung?

00:11:37: Genau!

00:11:37: Es gab keinerlei Transportverschlüsselungen.

00:11:40: Jetzt könnte man natürlich argumentieren ja das betraf nur die Terminkalender da steht jetzt nicht so viel drin und da steht ja sogar nur die Patienten-ID drin.

00:11:50: Da steht ja nicht mehr der Name von dem weil er denn drin.

00:11:52: Das heisst man könnte vielleicht rausbekommen dann dass der daneben jetzt gerade hat diese oder jeder Reha macht, aber im großen Stile ist es nicht möglich.

00:12:01: Aber wenn man dann einfach mal die Seite aufgerufen hat von dem Server mit einem WRAP Browser, die die URL eingegeben hat, mit der sich die Termin-App verbunden hat, hat man dort gesehen dass auch da unautorisiert... also war ein Olog-Informular wurde zwar angezeigt, aber das war ungeschützt,

00:12:23: d.h.,

00:12:23: jeder Medizinischen Personal, seine Login-Daten über WLAN hätte eingegeben.

00:12:29: Wäre das auch dort öffentlich gewesen?

00:12:33: Aber die Log in Daten braucht man eigentlich gar nicht.

00:12:38: Da wurden Daten gleich mit übertragen, die Schnittstellen kundgetan haben wiederum auf dem Server wo Patientenlisten zu finden waren und dann auch die Terminen Einträge, die über die App dann auch angezeigt wurden und auch die Befunde.

00:12:56: Und all diese Schnittstellen waren komplett ungeschützt.

00:13:01: Das heißt da wurde kein Passwort abgefragt, da wurde keinen Sicherheitstoken abgefragt.

00:13:08: Man musste einfach nur die URL in die Webadresse in Browser eingeben und hat alle Patientendaten einsehen können von der Reaklinik.

00:13:22: Und das war nicht nur in dem internen Netz, auch das wäre ja wieder ein Schutz gewesen als man sagt es hätte ja nur abgefragt werden können von den Patienten die dort im WLAN verbunden sind.

00:13:37: nein diese Schnittstelle weil er auch die Termin App nach außen hin funktionieren sollte war komplett frei übers Internet verfügbar.

00:13:45: Wann ist dir dann klar geworden, dass es nicht nur um die Termin-App geht sondern noch um viel mehr Daten?

00:13:50: Zuerst hatte ich nur bei der Reaklinik wo ich vor Ort war eben diese Sicherheitslücke entdeckt und hatte.

00:13:56: dann aber also zuerst waren sogar nur die Auflistungen von den Personendaten, von den Stammdaten, die ich entdeckte.

00:14:06: Bei der Reakerlinik, wo ich gerade die Reak gemacht habe da standen dann mehrere tausend Patienten-Daten, da sie stammt Daten.

00:14:16: Was die, was eben Vornamen, Nachname, Geburtsdatum geschlecht und die Patienteneid betraf.

00:14:24: Das wurde mit einem Rutsch da übermittelt.

00:14:27: Worauf ich dann natürlich geachtet hatte war nicht auf die Terminkalender und Befunde von den einzelnen Personen zuzugreifen.

00:14:37: Das habe ich nur bei mir einmal komplett durchexzessiert.

00:14:40: auch da wie gesagt ohne ohne Zugriffsschutz, konnte ich da halt auf meine Daten zugreifen übers Internet.

00:14:49: Und bevor ich herausgefunden hatte dass eben die Termin- und Befunddaten auch abrufbar waren, hat sich die Klinikleitung damals informiert das eben die Stammdaten abruftbar sind.

00:15:01: Ich hatte zuerst gedacht sehr vorbildlich eigentlich.

00:15:06: Die Reaklinik hatte die Terminepp sofort abgeschalten wenige Zeit wirklich nur nachdem ich das gemeldet hatte.

00:15:14: Hatte dann aber am Abend die App wieder online genommen, den Server wieder onlinegenommen und ich habe dann sogar erst danach herausgefunden dass eben Termine und Befunde auch verfügbar wären.

00:15:29: also sprich hätte die Klinik gleich adäquat gehandelt und hätte dauerhaft es erstmal runtergenommen und analysiert wäre hätte ich gar nicht drauf gestoßen, dass da noch die anderen Daten auch verfügbar waren.

00:15:48: Ich hatte dann auch geschaut bei anderen Standorten ob da eben die gleichen Sicherheitslücken vorhanden sind und auch da waren die Zugriffe genauso möglich.

00:16:01: In einem anderen Standorts habe ich dann nochmal mit Zustimmung meine Mutter Ja, Ewigkeiten vorher.

00:16:12: Ich glaube es waren irgendwas um die fünfzehn, sechzehn Jahre vorher war sie bei einer anderen Reha-Klinik, beim anderen Standort und auch da konnte ich auf ihre Daten zugreifen und auch dort komplett auf alles also auch auf die Befunde von damals was natürlich dann auch über uns die Frage aufgeworfen hat wie lange werden eigentlich diese Daten überhaupt gespeichert?

00:16:30: Und warum haben wir das?

00:16:32: Was haben die eigentlich im Internet zu suchen?

00:16:34: Zuerst hatte sich die Klinik ja über die Personenstammendaten informiert gehabt.

00:16:38: Die wurden irgendwann geschlossen.

00:16:41: Ich hatte aber, weil es dann um die Befunde auch ging, hat ich dann ein bisschen größer ausgerollt und hatte auch Heiße mit ins Boot geholt einfach auch als Backup, weil ich wusste das Handel ließ dabei um relativ großen Konzernen.

00:16:57: Und ich hatte ja schon bei der ersten Meldung, hatte ich das BSI mit ins Brot geholt und hatte ins BSI auch darüber informiert dass sich noch weitere Schnittstellen gefunden befundene abrufbar sind.

00:17:11: Konntest dann ja sogar im Code des Systems nachvollziehen, dass deine eigene Warnung intern dokumentiert wurde?

00:17:17: Genau!

00:17:18: Da stand in meiner Patientenaktion drin, dass ich eben mich gemeldet hätte bei der Leitung und da eine Sicherheitslücke gemeldete habe Auf jeden Fall diese Erstesicherheitslücke mit den Personenstammdaten, die war dann auch irgendwann gefixt.

00:17:31: Gab dann leider ein Kommunikationsproblem zwischen dem BSI und der Klinikleitung oder beziehungsweise das BSI.

00:17:38: da ging die Nachmeldungen von mir irgendwie erst unter so dass dann des BSI sich dann irgendwann gemeldet hatte und gesagt hat ja die Klinik hätte jetzt das alles gefixtures und die Daten wären jetzt wieder sicher.

00:17:52: Und da habe ich nochmal nachgeschaut und hab halt festgestellt, nee, meine Daten sind immer noch abrufbar.

00:17:57: Zumindest die von Terminkalender unbefunden und andere Schnittstellen.

00:18:02: Es waren quasi dann nur diese eine Schnittstelle Die explizit der Klinikleitung mitgeteilt wurde, die wurde geschlossen.

00:18:10: Da wurde das Zugriff aus dem Internet unterbunden Aber das andere war alles noch online.

00:18:14: Habe ich also beim EESI nochmal nachgefragt hier mir bestätigt sie es die Tickets untergegangen sind.

00:18:18: Dann habe ich mich nochmal direkt an die Klinikleitung gewandt Und daraufhin wurde dann komplett erst der Server dann offline genommen und war dann auch dauerhaft nicht mehr aus dem Internet verfügbar.

00:18:32: Hat mich in dem Zusammenhang natürlich ein bisschen geärgert, weil man meldet dass es eine eklagte Sicherheitslücke gibt und das wird dann nicht gleich überprüft betrifft das eigentlich alle Endpunkte sondern wird nur das gefixt was gerade gemeldet wurde und alles andere bleibt einfach offen.

00:18:51: Hattest du nach dieser ersten Reaktion das Gefühl, okay jetzt sind alle Lücken sicher?

00:18:55: Ich hatte das Gefühl ehrlich gesagt nicht.

00:18:58: Wie gesagt es war erst nur die eine Endpunkt geschlossen.

00:19:02: dann wurde ganz Anwendung offline genommen.

00:19:05: aber ich hatte der Klinikleitung auch schon so im Nebensatz mal mitgeteilt dass die ganze Software an für sich komplett veraltet war.

00:19:12: da hat man gesehen über Mieterdaten, die dort mitgeschickt wurden beziehungsweise die Bibliotheken, die auch in Frontend benutzt wurden.

00:19:20: Die waren ja auch schon gut in die Jahre gekommen und gealtert.

00:19:24: Weißt du noch von wann die älteste Sicherheitslücke stammte?

00:19:29: Also da hatte ich glaube ich nur einen Anführungszeichen eines Sicherheitslückers von im Jahr zwei Tausend Achtzehn entdeckt gehabt bei dem Fall.

00:19:36: was sich dann sehr interessant fand war dass kurze Zeit später ein anderer Fall bei Heise zu lesen war.

00:19:45: Da ging es dann um die Rehabita und da war der gleiche Software-Anbieter wieder im Fokus, das heißt der gleiches Software-Ambieter, der die Software für die ZR-Kliniken hergestellt hat wurde darin im Kontext von der Rehabiata benannt dass dort auch eine Sicherheitslücke war auf die auch wieder auf Patientendaten zugegriffen werden konnte wo man sich einlocken konnte.

00:20:10: anscheinend Ja, einfach sich freien System bewegen.

00:20:15: Und in dem Artikel steht auch drin das auch da die Software komplett veraltet war.

00:20:21: Das heißt geht es nicht nur um die Software selber sondern auch die Server die da eingesetzt waren.

00:20:25: Die basierten dann auf Linux mit einem Uraltkörnel wo auch keine Sicherheitsupdates mehr verfügbar waren und da waren sehr viele Metadaten wurden da eben auch veröffentlicht die als auch sagen dass das Framework auf dem die ganze Anwendung basierte, veraltet war.

00:20:42: Dass die Python-Bibliothek auch veraltet waren.

00:20:48: dabei.

00:20:48: im Endeffekt schrie es Richtung Himmel.

00:20:51: bitte patcht mich mal!

00:20:53: Bitte macht mich sicher.

00:20:55: und ein Jahr später jetzt hatte ich einfach mal bei einem Vortrag bei einer Veranstaltung vom Chaos Computer Club wurde gefragt ob ich einen Vortragen machen wollen würde könnte.

00:21:10: Da dachte ich, ich arbeite mal die ganze Geschichte einfach auf von ZAR und zeige sie.

00:21:16: Und bin dann drüber gestolbert über einfache Suchernfragen im Netz.

00:21:21: das über ein Jahr nach den zwei Vorfällen bei zarr und weil Reha Vita weiterhin der Anbieter Software betreibt sowohl auf eigenen Servern wie auch auf Servern bei Kunden Die alten Patchstände immer noch haben also zumindest was das Framework mit Bibliotheken direkt von der Anwendung angehen.

00:21:44: Und da macht mich dann schon ein bisschen sprachlos, weil angefangen haben wir das Gespräch mit dem Aufzählung wie häufig jetzt meine Familie schon betroffen war.

00:21:53: und dann sieht man dass ein Anbieter der selbst auf seiner Webseite sagt er ist der führende Anbieder im Bereich von Reha-Kliniken es anscheinend nicht hinbekommt eine Software bereit zu stellen ohne bekannte Sicherheitslücken.

00:22:11: Also die Web-Recherche hatte mir gezeigt, es war wirklich fünf Minuten mal gesucht und schon den ersten Anbieter gefunden gehabt oder ersten SREA Klinik gefunden gehabt wo auch der Debackmodus an war.

00:22:29: Das heißt, man hat nicht nur einfach das Frontend gesehen was man sehen sollte.

00:22:33: Sondern wenn irgendwo ein Fehler aufgetaucht ist dann hat er erst mal gezeigt okay welche Ordner gibt es denn eigentlich?

00:22:38: Du rufst gerade einen falschen Pfad auf ja ruft doch mal bitte einen von den x-tausend richtigen Pfaden auf.

00:22:47: und Man hat an teilweise auch Informationen bekommen über Schnittstellen über Welche für den Login bei der Datenbank verwendet werden soll oder auch Pins für SMS-Versand und eben aber auch eine Liste von dem Software Stack, also welche Komponenten eingesetzt waren.

00:23:12: Und wenn man dann mal geschaut hat gibt es bei diesem Software Stack Sicherheitslücken, dann hat nicht eine Hand, da haben nicht zwei Hände ausgereicht zum Zählen, sondern ja also ich habe dann irgendwann aufgehört auch wieder zu zählen.

00:23:28: Also bis knapp unter hunderts auf jeden Fall je nach Zählung sogar überhundert weil der Softwaresteck teilweise so veraltet war dass die Bibliotheken dann für die alten Versionsstände gar nicht mehr dieses CVIs ausgeben.

00:23:44: also sprich wenn eine Sicherheitslücke gemeldet wird dann wird bewertet Wie gravierend ist diese Sicherheitslücke und wird öffentlich dann dieser Score eingetragen, kriegt eine eigene CVI-Nummer.

00:23:57: Und für alte Bibliotheken gehen die gar nicht mehr aus, dass sie noch verwendet werden und deswegen werden selbst wenn die Sicherheitslücke in den alten Bibliotägen vorhanden wäre, wird es überhaupt nicht mehr überprüft und es wird nicht so ein CV ausgegeben.

00:24:12: Das ist ja echt ne Menge was du da gemacht hast!

00:24:15: Dein Ziel is ja jetzt nicht rumeckern sondern... Du bist darauf angewiesen, dass die Software sicher ist und du dir darüber keine Gedanken machen musst.

00:24:25: Du machst diese Analysen ja in deiner Freizeit und kriegst da jetzt auch nicht irgendwie was für.

00:24:31: Hat sich eigentlich jemals ein Unternehmen bei dir gemeldet?

00:24:33: Und sich irgendwie erkenntlich gezeigt?

00:24:36: Nee, eher entgegen Teil.

00:24:38: es scheint einfach kein zu interessieren!

00:24:41: Das ist so... Man stolpert über ein Problem.

00:24:46: also Ich muss sagen, ein Dankeschön habe ich bekommen.

00:24:49: Nicht finanzieller Natur, das will ich aber auch gar nicht.

00:24:52: Die ZDR-Kliniken hatten sich damals dann bedankt, dass ich die Sicherheitslöte gemeldet habe und sie es schließen konnten.

00:25:00: Aber jetzt im Nachgang als ich dann auch Rehrkliniken angeschrieben habe und gesagt hab bitte frag doch mal nach bei eurem Dienstleister was für Komponenten eigentlich in der Software verwendet werden, welche Patch-Stände die haben was eigentlich deren Update-Strategie ist hat sich keine Reha-Klinik zurückgemeldet.

00:25:26: Zumindest nicht bei mir, ich weiß nicht was sie im Hintergrund gemacht haben oder nicht aber das ist jetzt... Ich glaube es ist jetzt fünf oder sechs Wochen her dass ich die angeschrieben habe und auch die Reha Klinike wo da den Backmotor selbst an war.

00:25:42: Die hab' ich dann auch angeschrien, seit ihr sicher seid Anwendung mit diesen Sicherheitslücken live im Internet betreiben wollt.

00:25:51: Da erfolgte dann sehr schnell die Reaktion und die Anwendungen werde offline genommen, also dass sie nicht mehr aus dem Internet erreichbar ist.

00:25:57: zumindest aber auch die hat sich nie zurückgemeldet.

00:26:01: Also es kam ein kleiner... kurz kurz mal einen Besuch bei mir auf dem LinkedIn Profil so nach dem Motto ja wir gucken mal wer das eigentlich ist, wer da sich gemeldet hat bei uns richtig Kontakt aufgenommen, hat auch diese Reha-Klinik nicht.

00:26:21: Und nachdem ich dann halt durch weitere Webrecherchen gesehen habe.

00:26:26: es sind einfach wieder X Reha Kliniken betroffen die sowohl wie gesagt das auf eigenen Servern haben wie dann auf Servern von Meditech direkt.

00:26:36: Das ist der Anbieter von der Software.

00:26:39: Ja hab' ich dann auch wieder gesagt okay das is jetzt ärgerlich einfach Über ein Jahr lang nichts passiert ist.

00:26:46: Die Reha-Kliniken sich anscheinend dann sicher auch nicht dahinter klemmen und dann habe ich eben wieder Kontakt zu Heise aufgenommen, hab dann halt gesagt okay so sieht es aus und ja erst aufgrund dessen kam jetzt wieder ein bisschen Bewegung zumindest rein.

00:27:05: Sie sind auf jeden Fall bemüht?

00:27:08: Ja sie verschwinden jetzt Ein, nacheinander.

00:27:12: ein paar der Installationen sind jetzt nicht mehr aus dem Internet abrufbar.

00:27:16: Weitere sind es aber immer noch.

00:27:21: und ja... Es ist halt die Frage einfach warum nicht vor einem Jahr schon das begonnen hat diese Aktivität, dieses Aufräumaktivität?

00:27:34: Warum wurden damals anscheinend auch wieder nur die Sicherheitslücke Die bei Reavita relevant war, warum wurde die geschlossen?

00:27:43: Warum wurde da nicht systematisch das durchgegangen und alle Installationen gepatcht.

00:27:51: Und es lässt mich halt so ein bisschen hilflos stehen.

00:27:55: wie gesagt als Betroffene sowohl frag ich mich natürlich wo kann man eigentlich seine Informationen dann noch sicher hingeben wenn sich auch danach selbst werden also aus Sicht von denenjenigen dieses dann ja melden?

00:28:09: zum einen ist es ein sehr heikler Pfad, den man da beschreitet.

00:28:17: Man... ...ist immer so mit halben Fuß eigentlich schon nicht im Gefängnis aber eine Strafgeldzahlung zumindest weil's ja in Deutschland diesen Heckerparagrafen gibt.

00:28:28: Den Strafgesetz bucht einen Paragraph zweihundertzwei.

00:28:33: Da gibts zwar immer wieder Bestrebungen den abzuschaffen bzw.

00:28:37: jede Legislaturperiode steht es dann irgendwie auf der Tutuliste, dass der abgeschafft oder reformiert werden soll.

00:28:46: Aber unter der Ampelkoalition hat er sich aufgelöst bevor ich da etwas tun konnte und auch jetzt steht's zwar wieder auf einem Koalitionsvertrag aber bislang hat sich da auch noch nichts bewegt.

00:29:00: Da gibt es jetzt zivilgesellschaftliche Kampagnen die sich dafür einsetzen das der reformiert wird.

00:29:06: Aber man selber überlegt sich dann sehr genau, was melde ich eigentlich an Sicherheitslücken oder was nicht.

00:29:15: Wie weit will ich überhaupt nachschauen?

00:29:16: Es

00:29:17: ist ja auch der Grund, warum so viele Sicherheitsforscher oder Hinweisgeber solche Lücken an uns oder auch den Chaos Computer Club melden, weil sie Schutz suchen.

00:29:26: Das Schutz ist halt momentan leider notwendig und ich sehe es eher so dass dieser Paar-Kraft-Zwei-Straf-Gesetzbuch er hilft eher böswilligen Angreifern, als sonst irgendjemanden.

00:29:39: Weil die, die so drüber stolpern über Sicherheitslücken oder teilweise auch es gibt ja auch Sicherheitsforschenden, die ganz explizit zwar danach suchen aber Gutes im Schilde führen und sagen ich möchte das eigentlich nur melden und möchte dass sie software sicher sind Die werden kriminalisiert.

00:29:56: Und dann gibt's natürlich welche, die überlegen sich mach ich das überhaupt publik melde Ich überhaupt das an den Dienstleister?

00:30:05: nehme ich da Kontakt auf, weil im Zweifel droht dann eine Anzeige.

00:30:11: Und das hilft natürlich diejenigen, die sich freuen, die Sicherheitslücke später zu finden und ausnutzen zu können und vielleicht dann wieder die Daten öffentliche machen.

00:30:24: Ich weiß es nicht genau, wäre erst an meiner Familie auch erspart geblieben wenn ein anderer Sicherheitsforscher sich schon mal damals bei ZDR sich das angeschaut hätte.

00:30:35: Vielleicht dann bei Rehabita, da war ich nicht selbst betroffen.

00:30:38: aber zu der Outman.

00:30:40: jetzt zwar meine Familie wieder betroffen vielleicht bei Unimet wer weiß es.

00:30:47: Aber all das sind Fälle die vielleicht hätten vermieden werden können wenn sich Leute da dann nichts zurückgehalten hätten und gesagt hätten okay Es ist legal dass ich andere Software teste Wenn ich eben das den guten Willentour und es dann halt über zu definierende Kanäle, entweder direkt beim Hersteller melde oder dann über das BSI.

00:31:13: Hier gibt es ganz verschiedene Ansätze.

00:31:14: Wir sehen ja aktuell dass immer mehr Datensätze im Darknet landen.

00:31:18: Angreifer können die Informationen verknüpfen und umfassende Profile erstellen Und in Zukunft soll auch von offizieller Seite sollen mehr Daten noch hinzukommen europaweit verfügbar sind, also Stichwort europäischer Gesundheitsdatenraum?

00:31:37: Bei dem Gesundheitsdaternraum wird immer davon gesprochen dass die Daten pseudonymisiert sind und dadurch ein gewisserweise irgendwie geschützt.

00:31:46: Was aber natürlich auch nicht so ein bisschen in den Feigenblatt ist weil selbst wenn man es nicht verknüpft mit anderen Daten schon alleine ist das ja einfach nur stetsistische Auswertung wie häufig taucht eine Krankheit auf dann kann ich schon mal sagen, okay wenn eine Krankheit nur zwanzigmal im Jahr auftaucht und jemand ist betroffen.

00:32:03: Dann ist er relativ schnell zu identifizieren vor allem wenn da noch das Alter dann mit dabei steht.

00:32:08: Dann es bei Krankheitsfällen jemand der mit dieser Krankheit betroffen ist und vielleicht keine Ahnung, dass man sich Jahre alt ist.

00:32:18: Den gibt's vielleicht in dem Jahr nur einmal wo die Erhebung stattgefunden hat.

00:32:22: Und selbst wenn jetzt das medizinische Fälle sind die vielleicht häufiger auftreten also den Mal die sehr häufig auftreten, Herzinfarkt- und Schlaganfall durch solche Informationen.

00:32:33: Wenn es um eine Pseudonymisierung geht dann muss ich natürlich auch wieder nur mit Datenquellen aus anderen Quellen kombinieren und kann das natürlich aufheben.

00:32:41: Wobei

00:32:42: es dabei ja auch stark auf die Daten abkommt.

00:32:44: also Abrechnungsdaten sind da bereits pseudonymisiert aber die Forschung zu weiteren Daten ist ja noch im Gange wie man sie sicher zur Verfügung stellen kann.

00:32:53: Aber es ist natürlich ein riskantes Thema bei dem wir darauf hoffen müssen, dass verantwortungsbewusst umgesetzt wird.

00:33:00: Ja, da kann man halt auch wieder nur hoffen und dann ist man aber auch drauf angewiesen das für Informationen natürlich dann auch zurückbekommt.

00:33:07: ich hatte vorhin ja auch schon erwähnt, dass sich mit Zustimmung von meiner Mutter darauf zugegriffen habe auf ihre Daten bei ZR im Januar twenty-fünfundzwanzig und da haben wir danach eine Anfrage gestellt an zr ob einen Zugriff auf diesen Datensatz stattgefunden hat.

00:33:28: Und die Antwort war, dass das Forensik-Team keinen Zug feststellen konnte.

00:33:33: Jetzt ist natürlich die Frage was bedeutet das?

00:33:35: Der Zugrff hat ja definitiv stattgefundet.

00:33:37: Das weiß ich ja.

00:33:39: Ich hab hier gemacht.

00:33:40: heißt es jetzt aber, dass da gar kein Locking vorhanden war?

00:33:44: also in welchem Zeitraum?

00:33:46: wie lange war diese Sicherheitslücke offen?

00:33:49: Wie lange wurden die Lockdateien aufgehoben?

00:33:53: in bestimmte URL aufgerufen wurde, beziehungsweise kann man daraus ja dann auch nicht unbedingt sehen wer drauf zugegriffen hat.

00:33:59: Das heißt gute Software im kritischen Bereich sollte eigentlich so ein Audit-System haben dass ich ganz genau nachvollziehen kann wer hat eigentlich wann darauf zu gegriffen und solche Systeme bräuchten eigentlich dann auch ein System nicht nur Berechtigungssystem sondern halt auch dann nachträglich das man schauen kann.

00:34:16: hat vielleicht auch jemand offene Datensatz zugegriff dessen Patient ja gar nicht zuständig ist.

00:34:21: Also eine bestimmte Nachvollziehbarkeit sollte...

00:34:24: Berechtigungssystem?

00:34:25: Genau, also berechtigungssystem könnte ja dann sagen der Physiotherapeut darf nur auf die Informationen zugreifen.

00:34:31: Die jetzt wirklich für die Therapie notwendig sind.

00:34:34: aber dann könnte es sein dass das Berechtigungskonzept nur so weit greift Dass er rein theoretisch auch die Patienten Daten sehen könnte von den Patienten die er gerade gar nicht betreut.

00:34:44: und auch das sollte vielleicht nachvollziehbar sein wenn da plötzlich eine anfängt intern im System Datensätze im großen stil abzufragen wofür er gar kein berechtigtes Interesse hat.

00:34:54: Und

00:34:54: genau das war bei den Zareha-Kliniken oder auch bei anderen Kunden von Meditek offenbar nicht der Fall?

00:35:01: Naja, formulieren wir es mal so wenn sowas da gewesen wäre dann hätte man ja sagen können, da hättet Forensiktiner ganz einfach sagen können Ja es hat einen Zugriff stattgefunden.

00:35:11: und wenn jetzt meine Mutter natürlich diese Information bekommt dass da kein Zugriffs festgestellt werden konnte Was kann sie jetzt mit dieser Information anfangen?

00:35:21: Wenn das die Datenqualität ist, die man da zurückbekommt dann kann man sich natürlich auch schlecht zur Wehr setzen.

00:35:27: Wenn man nicht noch die weitere Informationen hat, dass eben definitiv einen Zug stattgefunden

00:35:31: hat.

00:35:31: Man braucht also handfeste Beweise weil man wahrscheinlich Aussagen im Zweifelsfall ja nicht einfach vertrauen kann.

00:35:37: Genau!

00:35:37: Und wenn man dann so schwammige Informationen bekommt oder gar keine Informationen vielleicht auch bekommt, oder jetzt bei Zutorn Hautmann die hatten sich ja sehr vorbildlich in der ersten Linie verhalten und haben gleich informiert.

00:35:49: Bei uns hat ein Zugriff stattgefunden aber es hat dann keine Information eben mehr stattgefundet.

00:35:55: Jetzt wurden die Daten veröffentlicht und um diesen und jenen Datensatz handelt er sich konkret.

00:36:02: Das heißt, wir wissen zwar durch die erste Information das wir betroffen sind.

00:36:07: Wir wissen aber nicht welche Daten genau abgeflossen sind und wir wissen nur durch Eigenrecherche dass sie eben im Darknet veröffentlicht wurden.

00:36:14: Es muss ja auch irgendwie ein richtig merkwürdiges Gefühl sein.

00:36:18: man weiß dass die eigenen Daten irgendwo im Netz kursieren kennt aber gar nicht den genauen Umfang.

00:36:24: um das herauszufinden müsste man selbst in diesem Daten League im Darknets suchen.

00:36:28: es ist ja auch rechtlich heikel ja und auch nicht so ohne weiteres umzusetzen.

00:36:34: Und es wirkt ja auch weitere Risiken.

00:36:36: Ja, unabhängig davon braucht man ja auch ein bestimmtes Verständnis überhaupt wie IT funktioniert?

00:36:43: Wie die Systeme funktionieren.

00:36:45: das heißt wir sprechen jetzt gerade von einem Personenkreis die sich vielleicht irgendwie wehren könnten.

00:36:50: aber wenn von der sagen wir die Mehrheit der Bevölkerung hat ja gar nicht die Möglichkeiten Die sind die Fachmänner und Frauen in anderen Bereichen, nicht unbedingt in der IT.

00:37:03: Und wenn sie dann ... ja es konnte kein Zugriff statt festgestellt werden zurückbekommen oder gar nicht die Informationen das Daten veröffentlicht wurden.

00:37:12: was für Daten veröffentlich wurde?

00:37:15: wie sollen die sich wehren?

00:37:17: Wie sollen die sie schützen?

00:37:18: Ja das ist ein sehr guter Punkt!

00:37:20: Die meisten Menschen haben im Alltag weder die Zeit noch das technische Wissen um sich detailliert mit solchen Leaks auseinanderzusetzen.

00:37:26: Aber sie müssen bestimmte Dinge erlauben, damit Sie Dienste im Gesundheitswesen in Anspruch nehmen können.

00:37:32: Braucht es da aus deiner Sicht nicht viel mehr Problembewusstsein bei den Verantwortlichen?

00:37:37: Dass die Menschen potenziell in große Gefahr bringen?

00:37:40: Es

00:37:40: gibt ja für den Bereich der kritischen Infrastrukturen jetzt relativ neue Gesetze, die sind zwei.

00:37:49: Gesetze, dass die Geschäftsführer jetzt haftbar werden wenn eben das System kompromittiert wird.

00:37:56: Aber das betrifft vor allem kritische Infrastrukturen.

00:38:00: da würden jetzt die kompletten ambulanten Reha-Kliniken rausfallen.

00:38:03: Die sind ja nicht betroffen.

00:38:05: Da geht es dann quasi nur um die Notfallambulanzen der großen Kliniken, dass sie halt im kritischen Falle auch noch weiter funktionstüchtig wären.

00:38:15: Das heißt darum geht es.

00:38:17: Also da wird eher darauf geschaut, dass es im Katastrophenfall eben noch die Institution einsatzfähig wären.

00:38:28: Da geht es aber nicht darum um wie schützenswert sind eigentlich die Daten?

00:38:33: und wenn man jetzt darauf abzielt, wie schützenwärts sind die Daten?

00:38:37: Da werden eher die Datenschutzbehörden dann die Ansprechpartner momentan.

00:38:43: Aber da kann man nur eine Beschwerde einreichen, wenn man selber betroffen ist.

00:38:48: Das heißt ich selber kann jetzt zwar bezüglich des Vorfalls im Januar zu einem ZR bei ZHR kann ich eine Beschwärde einreichen aber alles darüber hinaus.

00:39:00: also der Sicherheitsforscher der das bei Rehabiter aufgedeckt hat oder jetzt danach als sich feststellte dass immer noch die Patchstände veraltet sind bei vielen Installationen.

00:39:12: da kann ich es melden.

00:39:14: Da muss aber die Datenschutzbehörde nicht tätig werden.

00:39:18: Und man sieht es ja auch ein bisschen, die Informationen hatten wahrscheinlich auch die Datenschutzbehörden schon vor einem Jahr.

00:39:28: Aber das ist halt nicht deren primäre Aufgabenbereich.

00:39:31: Das heißt sie können wenn Sie wollen dem nachgehen, sie müssen es aber laut Gesetz nicht.

00:39:36: und dann ist die Frage gibt es da eine Regulierungslücke?

00:39:40: Und wie kann man die eventuell schließen

00:39:41: dass die Sicherheitslücken, die du da gefunden hast, immer verantwortungsvoll gemeldet und direkt Kontakt zu den Verantwortlichen gesucht.

00:39:49: Wie lief das konkret ab?

00:39:50: Also wie können wir uns das

00:39:51: vorstellen?".

00:39:52: Ich hatte mich ja direkt an die Reaklinik gewandt wo der Debaktmodus offenbar war und die hat es dann relativ schnell eigenständig gemacht habe ich es dort außen vorgelassen.

00:40:05: Ich habe aber dann, weil es noch eine andere Installation gab, wo zwar neuere Software von Meditec eingesetzt wurde.

00:40:12: Aber die auch schon wieder veraltet waren und auch schon wider bekannte Sicherheitslücken waren.

00:40:17: Da hatte ich das SERT auch angeschrieben.

00:40:20: Und da ist dann erst mal relativ lange Zeit gar nichts passiert.

00:40:24: Dann habe ich eine Rückfrage bekommen.

00:40:28: Also explizit die URL mitgeschickt.

00:40:32: Dort sind die Backinformation abrufbar, da kann man auch wieder sehen was für Software eingesetzt wird und diese Software ist veraltet.

00:40:41: Und dann kam nach Wochen, kamen dann die Rückfragen, welche Sicherheitslücken sind denn da drin?

00:40:46: Kann man da ein Exploit raus basteln oder sowas?

00:40:50: Die haben jetzt relativ aktuell die Anfrage, da habe ich ja nicht mehr darauf geantwortet.

00:40:55: irgendwann weil aufgrund dessen das heiße mit dem Boot war von Heise dann an den Meditech herangetreten worden, ist diese Instanz jetzt auch schon wieder offline.

00:41:08: Das heißt es hat einfach so lange gedauert und dann das Engagement vom Seiten des Serts sehr begrenzt waren.

00:41:18: statt zu sagen ja ich sehe da die Komponenten... Ich schaue jetzt mal bei zwei drei Komponenten was es auf öffentliche Sicherheitslücken gibt Institutionen anscheinend vorhanden, die proaktiv handeln.

00:41:34: Sondern wo dann einer der drüber stolpert, der das eigentlich in seiner Freizeit macht, der eigentlich nur sagt ich bin dazufällig über was gestolpert.

00:41:43: kann sich bitte irgendjemand darum kümmern?

00:41:46: und irgendjemen gibt es nicht.

00:41:47: Das

00:41:47: ist diesem Zusammenhang ja auch eine Behörde in Österreich kontaktiert.

00:41:52: lief das dort besser?

00:41:53: Also ich war nicht richtig in Kontakt.

00:41:55: Ich hatte nur, als ich die Reha-Klinik informiert habe, habe ich die gleiche E-Mail einfach ins CC an auch eine Datenschutzbehörde gesandt und an die Behörde, die auch für NIS II zuständig ist.

00:42:06: von der Behörd von NISII hab' ich gar nichts gehört wahrscheinlich weil sie sich beschlossen haben es ja keine kritische Infrastruktur.

00:42:14: da sind wir nicht verzuständig.

00:42:16: und die Datenschutzbehörden hat mir Ja, mit einem Standardschreiben geantwortet, dass sie nicht für Rechtsberatung zuständig sind.

00:42:24: Wo ich dachte, rechtsberatungen habe ich nie angefragt.

00:42:26: Also

00:42:26: ist das nicht nur hierzulande ein Thema?

00:42:31: Anscheinend nicht!

00:42:32: Was müssten Verantwortliche im Gesundheitswesen und in der Politik verstehen?

00:42:36: also was müsste sich auf seiner Sicht ändern?

00:42:38: Erstmal, dass es die Kritisverordnung nicht nur für die kritischen Infrastrukturen im Sinne von im Notfall muss noch weiterlaufen zu trifft, sondern eben auch für alle Bereiche die eben sensible Daten haben.

00:42:55: Dass da auch die Geschäftsführer direkt in die Pflicht genommen werden weil so könnte man von Seiten der Reha-Kliniken den Druck auf die Anbieter erhöhen, weil dann die Reha Klinik, die Betreiber, die Geschäftspführer sagen ich möchte mich selber juristisch nicht in Schwierigkeiten bringen.

00:43:11: das heißt dass da der Druck stärker drauf lastet.

00:43:15: Beziehungsweise könnte man dann auch darüber nachdenken, ob man jährliche verpflichtende Security Audits verpflichtend macht wirklich.

00:43:26: Dass dann der Dienstleister öffentlich kundtun muss.

00:43:31: was wurde durch wen wann getestet und wie war das Ergebnis?

00:43:38: Weil man hat ja Von außen stehender hat man ja sowieso immer schlechtes Recht, irgendwas anfragen zu können.

00:43:45: Aber das würde zumindest mein Gefühl der Sicherheit er deutlich erhöhen wenn ich dann zur Reha-Klinik gehen würde und da würde dann stehen okay die und die in sich Software wird benutzt und ich kann zum Anbieter gehen und würde.

00:43:58: dann steht ok Ich habe die letzten Jahre habe ich immer ein Fenettration Test durchführen lassen.

00:44:05: Idealerweise steht er dann noch gleich dazu, was für einer war das?

00:44:09: Weil es gibt da verschiedene Typen.

00:44:10: Das ist ein Blackbox-Test also einer der von außen angreift oder den Code nicht kennt.

00:44:17: Oder ist es jemand, der den Code komplett kennt und auch einsehen kann?

00:44:23: Da findet man natürlich durch Analysen viel schneller irgendwelche Schwachstellen.

00:44:27: Was wurde wirklich gefunden, was wurde gefixt, wann wurde es gefixt?

00:44:31: Dann weiß man dass das wirklich Prozess einfach ist, der durch die Software unternehmen.

00:44:37: Der durch die Reha-Kliniken auf verschiedener Ebene als wichtig erachtet wird und wahrgenommen wird.

00:44:43: Und es ist auch die Transparenz da, dass sich jeder wirklich informieren kann.

00:44:46: Das klingt doch gut!

00:44:48: Ja Manuel vielen Dank, dass du deine Erfahrung heute mit uns geteilt hast.

00:44:51: und ja an alle anderen vielen Dank fürs Zuhören und bis zum nächsten

00:44:55: Mal.

00:44:56: Tschüss.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.