Ek güvenlik önlemlerine rağmen, Salı gününden bu yana yasal olarak sigortalı tüm kişiler için mevcut olan elektronik hasta dosyası (EPA) zayıf puanlara sahip olmaya devam etmektedir. Çarşamba günü Gematik, “acil önlem” ile başka bir güvenlik boşluğunu kapattığını açıkladı.
Arka plan, Chaos Computer Club'ın (CCC) çevresinden güvenlik uzmanlarından yeni bilgiler. Münster Uygulamalı Bilimler Üniversitesi'nde BT güvenlik profesörü Christoph Saatjohann ile birlikte Bianca Kastl ve Martin Tschirsich, adresin ve sigortanın başlangıcının elektronik değiştirme sertifikası (EEB) üzerinde sorgulanabileceğini keşfetmişlerdir. Bu, sağlık kartlarını unutan hastalar için tasarlanmıştır. Bu, yetkisiz erişimi önlemesi gereken bir güvenlik önleminin önlenmesini sağladı.
Karma değeri için veriler çağrılabilir
Telematik altyapısına erişimin yanı sıra, bir hasta dosyasına erişmek için sağlık sigortası numarasına ve hastanın sağlık kartı numarasına ve karma değerine ihtiyacınız vardır. Bu “karma kontrol değeri” (HCV), sigortalı kişinin sigorta başlangıcından, yol ve ev numarasından hesaplanır. Fikir, bu verilere sadece çip üzerinden sağlık kartında erişilebilir olmasıdır. Ancak, bu açık bir şekilde böyle değildir: Veriler, diğer şeylerin yanı sıra Kim hizmeti aracılığıyla gönderilir.
Spiegel'in bir raporuna göre Saatjohann, bu verilerin teknisyen Krankenkasse ve The Barmer dahil olmak üzere çeşitli sağlık sigortası şirketlerinden elde edildiği bir program oluşturdu. Elektronik yedek sertifikalar arayüzü nispeten yeni ve şimdiye kadar isteğe bağlıdır, bu nedenle birçok pratik uygulama henüz onları desteklememiştir. Saatjohann bunun değişmesini bekliyor, bu da saldırganların çabayı azaltmak için bitmiş yazılımı kullanabileceği anlamına geliyor.
Tschirsich Haberler'e çevrimiçi olarak söyledi: “Özellikle büyük nakit kayıtları prosedürü sunuyor [die elektronische Ersatzbescheinigung, Anm. d. R.] Geçen yıldan beri. Temmuz 2025'ten itibaren elektronik değiştirme sertifikasının Temmuz 2025'ten itibaren zorunlu olmasına rağmen, sağlık sigortacılarının çoğu bunları zaten uygulamıştır. Diyerek şöyle devam etti: “Yedek sertifikalar için prosedür 2023'ten beri bilinmektedir, böylece saldırganlar yeterli liderliğe sahip olurdu. Adresi ve üçüncü taraflar tarafından bilinen etkilenen kişiler sadece hareket veya nakit değişimi olacaktır.” Tschirsich, olamaz.
Dijital Sağlığı Abone Olun
Dijital Sağlığı Abone Olun
Her 14 günde bir size sağlık sisteminin dijitalleşmesindeki en son gelişmelere genel bir bakış sunuyoruz ve etkilerini aydınlatıyoruz.
E-posta adresi
Veri Koruma Beyannamamızda gönderim prosedürü ve iptal seçenekleriniz hakkında ayrıntılı bilgileri bulabilirsiniz.
CCC patchwork'ten bahsediyor
Sağlık sisteminin dijitalleşmesinden ve dolayısıyla EPA'dan sorumlu olan gemiler, iddialar bilindikten hemen sonra hareket ettiğini söyledi. Gematik, “CCC'ye göre, sigortalı bir kişinin tedavi bağlamını elektronik yedek sertifikalar yoluyla taklit etmek mümkün oldu. Sigortalı sayı, bir kodlama anahtarı, hem yasadışı olarak tedarik edilen bir pratik kart (SMC-B) hem de telematik altyapısı (TI) ile bir bağlantı teorik olarak hasta dosyalarına erişilecekti.” Dedi. Sigortalı verilerin gerçekten bittiğini varsaymaz.
Önerilen editoryal içerik
Rızanızla, burada harici bir YouTube videosu (Google Ireland Limited) burada davet edilir.
YouTube Video Her Zaman Yükle
Youtube videosu şimdi yük
Aralık ayında, Bianca Kastl ve Martin Tschirsich, elektronik hasta dosyasında 3.0'da çeşitli yeni güvenlik boşlukları gösterdi.
Spiegel raporunda, güvenlik araştırmacıları merkezi yeni güvenlik mekanizmasını “kanıtlanmış etkisiz” olarak tanımlıyor. Tschirsich, “Kapıya ek bir asma kilit yaptınız, ancak anahtar hala şamandıranın altında.” CCC sözcüsü Linus Neumann, seçilen güvenlik yaklaşımını “yama yaprağı” olarak eleştiriyor ve bu da “korumayı iyileştirmeden karmaşıklığı artırıyor”.
Federal Sağlık Bakanı Karl Lauterbach, Gematik'in ifadesinde şunları söyledi: “EPA başlangıcının erken aşamasında bu tür saldırı senaryoları beklenecekti. Doğrudan ilk bilgilere tepki verdiği ve güvenlik açığı kapatıldığına minnettarım. Elektronik hasta dosyası çok iyi korunmalı.
Çok okuma
Daha Fazla Göster
Daha az belirti
(Mack)
Arka plan, Chaos Computer Club'ın (CCC) çevresinden güvenlik uzmanlarından yeni bilgiler. Münster Uygulamalı Bilimler Üniversitesi'nde BT güvenlik profesörü Christoph Saatjohann ile birlikte Bianca Kastl ve Martin Tschirsich, adresin ve sigortanın başlangıcının elektronik değiştirme sertifikası (EEB) üzerinde sorgulanabileceğini keşfetmişlerdir. Bu, sağlık kartlarını unutan hastalar için tasarlanmıştır. Bu, yetkisiz erişimi önlemesi gereken bir güvenlik önleminin önlenmesini sağladı.
Karma değeri için veriler çağrılabilir
Telematik altyapısına erişimin yanı sıra, bir hasta dosyasına erişmek için sağlık sigortası numarasına ve hastanın sağlık kartı numarasına ve karma değerine ihtiyacınız vardır. Bu “karma kontrol değeri” (HCV), sigortalı kişinin sigorta başlangıcından, yol ve ev numarasından hesaplanır. Fikir, bu verilere sadece çip üzerinden sağlık kartında erişilebilir olmasıdır. Ancak, bu açık bir şekilde böyle değildir: Veriler, diğer şeylerin yanı sıra Kim hizmeti aracılığıyla gönderilir.
Spiegel'in bir raporuna göre Saatjohann, bu verilerin teknisyen Krankenkasse ve The Barmer dahil olmak üzere çeşitli sağlık sigortası şirketlerinden elde edildiği bir program oluşturdu. Elektronik yedek sertifikalar arayüzü nispeten yeni ve şimdiye kadar isteğe bağlıdır, bu nedenle birçok pratik uygulama henüz onları desteklememiştir. Saatjohann bunun değişmesini bekliyor, bu da saldırganların çabayı azaltmak için bitmiş yazılımı kullanabileceği anlamına geliyor.
Tschirsich Haberler'e çevrimiçi olarak söyledi: “Özellikle büyük nakit kayıtları prosedürü sunuyor [die elektronische Ersatzbescheinigung, Anm. d. R.] Geçen yıldan beri. Temmuz 2025'ten itibaren elektronik değiştirme sertifikasının Temmuz 2025'ten itibaren zorunlu olmasına rağmen, sağlık sigortacılarının çoğu bunları zaten uygulamıştır. Diyerek şöyle devam etti: “Yedek sertifikalar için prosedür 2023'ten beri bilinmektedir, böylece saldırganlar yeterli liderliğe sahip olurdu. Adresi ve üçüncü taraflar tarafından bilinen etkilenen kişiler sadece hareket veya nakit değişimi olacaktır.” Tschirsich, olamaz.
Dijital Sağlığı Abone Olun
Dijital Sağlığı Abone Olun
Her 14 günde bir size sağlık sisteminin dijitalleşmesindeki en son gelişmelere genel bir bakış sunuyoruz ve etkilerini aydınlatıyoruz.
E-posta adresi
Veri Koruma Beyannamamızda gönderim prosedürü ve iptal seçenekleriniz hakkında ayrıntılı bilgileri bulabilirsiniz.
CCC patchwork'ten bahsediyor
Sağlık sisteminin dijitalleşmesinden ve dolayısıyla EPA'dan sorumlu olan gemiler, iddialar bilindikten hemen sonra hareket ettiğini söyledi. Gematik, “CCC'ye göre, sigortalı bir kişinin tedavi bağlamını elektronik yedek sertifikalar yoluyla taklit etmek mümkün oldu. Sigortalı sayı, bir kodlama anahtarı, hem yasadışı olarak tedarik edilen bir pratik kart (SMC-B) hem de telematik altyapısı (TI) ile bir bağlantı teorik olarak hasta dosyalarına erişilecekti.” Dedi. Sigortalı verilerin gerçekten bittiğini varsaymaz.
Önerilen editoryal içerik
Rızanızla, burada harici bir YouTube videosu (Google Ireland Limited) burada davet edilir.
YouTube Video Her Zaman Yükle
Youtube videosu şimdi yük
Aralık ayında, Bianca Kastl ve Martin Tschirsich, elektronik hasta dosyasında 3.0'da çeşitli yeni güvenlik boşlukları gösterdi.
Spiegel raporunda, güvenlik araştırmacıları merkezi yeni güvenlik mekanizmasını “kanıtlanmış etkisiz” olarak tanımlıyor. Tschirsich, “Kapıya ek bir asma kilit yaptınız, ancak anahtar hala şamandıranın altında.” CCC sözcüsü Linus Neumann, seçilen güvenlik yaklaşımını “yama yaprağı” olarak eleştiriyor ve bu da “korumayı iyileştirmeden karmaşıklığı artırıyor”.
Federal Sağlık Bakanı Karl Lauterbach, Gematik'in ifadesinde şunları söyledi: “EPA başlangıcının erken aşamasında bu tür saldırı senaryoları beklenecekti. Doğrudan ilk bilgilere tepki verdiği ve güvenlik açığı kapatıldığına minnettarım. Elektronik hasta dosyası çok iyi korunmalı.
Çok okuma
Daha Fazla Göster
Daha az belirti
(Mack)
