Search

[Textaris(txt*bot)]

[...] Es klingt immer so theoretisch. Was, wenn die Daten, die wir heute speichern, morgen in die Hände eines diktatorischen Regimes fallen? Wenn sie genutzt werden, um Menschen zu überwachen, zu verfolgen, zu unterdrücken? Vor solchen Szenarien warnen häufig Datenschutzaktivistinnen und -aktivisten, wenn es um die Sammlung personenbezogener Daten geht. Insbesondere dann, wenn diese Daten biometrisch sind, also körperbezogen: Fingerabdrücke, die Iris, ein Scan des ganzen Gesichts.

Solche Merkmale sind unveränderlich. Sind sie einmal erhoben und gespeichert, können sie ein Leben lang zur Identifikation eines Menschen genutzt werden. Das kann bei der vermeintlich harmlosen Kontrolle am Flughafen geschehen. Aber theoretisch eben auch, um diejenigen aus einer Gruppe herauszufiltern, die man einsperren oder gar töten will.

Vielen Menschen erscheinen Warnungen vor solch dystopischen Szenarien weit hergeholt – Medienberichten zufolge könnten sie in Afghanistan nun aber Realität werden. Laut dem US-Onlinemagazins The Intercept sollen die Taliban in Besitz biometrischer Geräte gelangt sein, die vorher von den dort stationierten US-Truppen verwendet wurden. Das hätten dem Magazin mehrere aktive und ehemalige Militärs bestätigt. Auch die Nachrichtenagentur Reuters berichtet, dass Taliban Zugang zu biometrischen Datenbanken und Gerätschaften erlangt haben könnten – und verweist zum Beleg dafür auf entsprechende Aussagen der US-Menschenrechtsorganisation Human Rights First.

https://theintercept.com/2021/08/17/afghanistan-taliban-military-biometrics/

https://www.reuters.com/article/afghanistan-tech-conflict/afghans-scramble-to-delete-digital-history-evade-biometrics-idUSL8N2PO1FH

https://twitter.com/humanrights1st/status/1427708063298035716

Konkret geht es um sogenannte HIIDE-Geräte (Handheld Interagency Identity Detection Equipment). Mit deren Hilfe können biometrische Scans von Fingerabdrücken und Iris angefertigt und gespeichert und kontrolliert werden. Möglicherweise können sie auch genutzt werden, um auf zentrale Datenbanken zuzugreifen, heißt es bei The Intercept.

Mit diesen Werkzeugen könnten die Taliban im schlimmsten Fall Personen identifizieren, die sie als Feinde sehen: Ortskräfte und andere Menschen, die mit westlichen Militärs oder Nichtregierungsorganisationen zusammengearbeitet haben, warnt Human Rights First. Die Sorge: Wenn an Checkpoints oder bei Tür-zu-Tür-Kontrollen Fingerabdrücke und Iris gescannt werden, könnte es quasi unmöglich werden unterzutauchen. 

Noch ist vieles unklar, zum Beispiel, welche Daten genau von diesen Geräten aus abgerufen werden können und welche Personen die darauf gespeicherten Daten betreffen. Auch, in welchem Umfang die Taliban die Technik nutzen können, ist fraglich. Ein ehemaliger Armeeangehöriger sagte The Intercept zwar, dass die Taliban wohl zusätzliche Werkzeuge bräuchten, um HIIDE-Daten verarbeiten zu können – zeigte sich aber besorgt, dass es dafür Unterstützung aus Pakistan geben könne.

Ohne nähere Informationen zu Fragen wie diesen ist es schwierig abzuschätzen, wie viel Schaden die Geräte in den Händen der Taliban anrichten können. Vergangene Vorfälle zeigen, dass sie zumindest bereit sind, solche Technologie zu nutzen: Schon 2016 berichteten lokale afghanische Medien von einem Vorfall, bei dem Taliban-Kämpfer Busse stoppten, Geiseln nahmen und Menschen töteten. Zuvor sollen sie nach Aussagen eines Armeekommandanten Fingerabdrücke aller Mitfahrenden mit einem Gerät gescannt haben, mit dem Sicherheitskräfte unter den Passagieren identifiziert werden konnten.

Sicher ist, dass es in Afghanistan verschiedene Bestrebungen gab, die biometrischen Daten von Menschen zu erfassen. Bereits vor mehr als zehn Jahren begannen die USA, eine Fingerabdruck-Datenbank von Verdächtigen anzulegen, um mutmaßliche "bad guys" zu identifizieren. Tatsächlich wurden laut The Intercept nicht nur die biometrischen Daten potentieller Terroristen erfasst, sondern auch von Afghanen, die mit den USA und anderen ISAF-Kräften kooperierten.

Auch Bundeswehrsoldaten waren offenbar im Rahmen eines sogenannten ISAF-Biometrics-Plans zur Verbesserung der Sicherheitslage im Einsatzgebiet an der biometrischen Erfassung von Afghaninnen und Afghanen beteiligt. Das zumindest legen Antworten der Bundesregierung auf eine Kleine Anfrage 2011 nahe. Es lägen bei der Bundesregierung "keine Bedenken gegen eine Beteiligung der Bundeswehr am ISAF-Biometrics-Plan vor", hieß es darin.

Auch biometrische Daten von unbescholtenen Bürgerinnen und Bürgern wurden in den vergangenen Jahren erfasst. So zum Beispiel von der Wahlkommission, die damit Fälschungen und Manipulationen vermeiden wollte. Hier kamen laut einem Reuters-Bericht Maschinen der deutschen Firma Dermalog Identifications Systems zum Einsatz. Auch das afghanische Ausweisdokument enthält biometrische Informationen. 

Laut der Investigativjournalistin Annie Jacobsen sei es langfristig das Ziel des US-Verteidigungsministerium gewesen, 80 Prozent der afghanischen Bevölkerung biometrisch zu erfassen. Ob es tatsächlich so viele Menschen waren, sei allerdings unklar, weil das US-Verteidigungsministerium die entsprechenden Statistiken unter Verschluss halte, sagte sie dem US-Radiosyndikat NPR im Januar dieses Jahres.

https://www.npr.org/2021/01/14/956705029/first-platoon-examines-how-war-on-terror-birthed-pentagons-biometrics-id-system?t=1629295289667

Viele Beobachter sind nun hoch besorgt, was diese Daten in den Händen der Taliban anrichten könnten. Man solle "das Schlimmste annehmen und dafür planen", rät Brian Dooley von Human Rights First in der britischen Ausgabe des Technikmagazins Wired in Bezug auf digitale Bedrohungen durch die Taliban. Die Organisation hat unter anderem eine Handreichung im Netz veröffentlicht, wie Menschen in Afghanistan biometrische Überprüfungen vermeiden können – weist jedoch schon darin darauf hin, dass dies im Einzelfall sehr schwierig sei.

Von einem "Albtraum-Szenario" spricht Ella Jakubowska, Policy Advisorin der europäischen digitalen Bürgerrechtsbewegung EDRi im Gespräch mit ZEIT ONLINE. EDRi warnt seit Jahren vor den Gefahren biometrischer Massenüberwachung, vor allem in Europa.

https://edri.org/our-work/new-edri-report-reveals-depths-of-biometric-mass-surveillance-in-germany-the-netherlands-and-poland/

Sie fügt aber hinzu: "Wir sollten die Falle vermeiden, zu denken, dass es bei biometrischer Massenüberwachung good guys und bad guys gebe." Egal, in wessen Händen sie sich befänden, seien diese Daten höchst sensibel. Und so müsse man sich eben auch die Frage stellen, ob es notwendig und angemessen gewesen sei, dass die USA diese Angaben überhaupt erhoben hätten – auch eingedenk des Machtungleichgewichts, das zwischen US-Militärs und afghanischer Zivilbevölkerung bestanden habe.

Bereits im Mai dieses Jahres kam Nina Toft Djanegara von der Universität Stanford in einem Bericht für die NGO Privacy International zum Ergebnis, dass das US-Verteidigungsministerium sein Biometrieprogramm, das auch im Irak zur Anwendung kommt, "ohne Bewertung der Auswirkung auf Menschenrechte und ohne notwendige Maßnahmen zur Verhinderung von Missbrauch" entwickelt und umgesetzt habe. 

In vielen Äußerungen von Kritikerinnen und Kritikern biometrischer Erfassungen, die sich nun zu Wort melden, schwingt mit, dass nun genau das Szenario eintreten könnte, vor dem immer gewarnt wird. Die Meldungen zeigten, "wie wichtig Technikfolgenabschätzung sei", twitterte Netzpolitikerin Anke Domscheit-Berg (Linke). Riesige biometrische Datenbanken seien immer und überall ein Risiko, weil man seine Iris nicht wechseln könne wie ein Passwort und auch ohne Taliban derartige Datenbanken angreifbar seien.

In Afghanistan gehe es "schlicht um Leben und Tod der betroffenen Ortskräfte und ihrer Angehörigen", schreibt der grüne Digital- und Innenpolitiker Konstantin von Notz auf Anfrage von ZEIT ONLINE. "Hier wird der ganz praktische Wert eines guten Daten- und Grundrechtsschutzes auf schreckliche Art und Weise mehr als deutlich, der eben keine Daten, sondern Menschen schützt." Einmal mehr bewahrheite sich, dass man sich nie sicher sein könne, in wessen Hände einmal gesammelte Daten zu einem späteren Zeitpunkt fallen. "Das gilt im Übrigenm auch für vermeintlich gefestigte Demokratien", so von Notz.

Tatsächlich wird Biometrie-Technik auch hierzulande eingesetzt, von Fingerabdrücken im Personalausweis bis zur Gesichtserkennung bei der Verbrechensbekämpfung. Datenschützerinnen und Netzpolitiker kritisieren das regelmäßig, oft mit wenig Erfolg. Die Bedrohung klang bisher für viele wohl zu theoretisch.

https://www.zeit.de/online/2008/30/elektronischer-ausweis

https://www.zeit.de/digital/datenschutz/2020-02/gesichtserkennung-bka-kriminalitaet-datenschutz-ueberwachung

Aus: "In Afghanistan könnte wahr werden, wovor Datenschützer immer warnen" Eine Analyse von Meike Laaff und Jakob von Lindern (21. August 2021)
Quelle: https://www.zeit.de/digital/datenschutz/2021-08/afghanistan-taliban-biometrische-daten-identitaetserkennung-usa-ortskraefte-gefahr/komplettansicht

MickyMesser #2

Genau deswegen ist das Argument "Wer nichts zu verbergen hat" auch so gefährlich und falsch. Gerade in Deutschland mit seiner wechselhaften Geschichte das so erst seit 30 Jahren existiert.. man weiß nie wie es in 25, 50 oder 75 Jahren aussehen wird.

exxkoelner #3

Deswegen sollte immer gelten, so wenig Daten, wie möglich und nur so viel, wie unbedingt nötig. Leider ist der Zeittrend genau anders rum. Eine perfekte Kontrolle von allem und jeden, mag so manchem "Sicherheit" suggerieren, ist aber auch ein perfektes Instrument, von Diktatoren genutzt, mit weit weniger Aufwand als bisher, Bevölkerungen zu unterdrücken.

EinTollerName #3.1

Digitalisierung first.
Bedenken second.

(FDP)

... [2018] ... Auf dem FDP-Bundesparteitag in Berlin sagte Lindner nun: ,,Das Plakat war wohl doch etwas im Überschwang gestaltet." Das Wahlplakat zeigte den FDP-Vorsitzenden mit einem Smartphone in der Hand und dem Slogan ,,Digital First - Bedenken second". ....

https://www.focus.de/politik/deutschland/bedenken-gegen-die-digitalisierung-etwas-im-ueberschwang-lindner-distanziert-sich-nach-datenskandal-von-wahlplakat_id_8917604.html

FestFesterLose #18

Das Thema ist durch. Wir müssen seit langem "biometrische" Fotos für unsere Ausweispapiere anfertigen lassen, damit sind wir per Gesichtserkennung jederzeit im öffentlichen Raum identifizierbar.

Die Fingerabdrücke erweitern dies um weitere Situationen, wo eine Videoüberwachung nicht zum Tragen kommt.

Das einzige, was politische Opposition, Andersgläubige, Andersorientierte, anderen Volksgruppen angehörige, etc. noch von der Gefahr trennt einkassiert und in (Vernichtungs-)Lager verbracht zu werden ist die romantische Hoffnung in diesem Lande würde nie wieder eine extremistische politische Strömung an die Macht kommen.

Wie man das angesichts der Geschichte nur glauben kann, ist der unglaublichen Naivität überführt.

...

[Textaris(txt*bot)]

[...] Das EU-Parlament hat sich am gestrigen Dienstag mit deutlicher Mehrheit gegen biometrische Massenüberwachung in der Europäischen Union ausgesprochen. Von den deutschen Abgeordneten stimmten die Abgeordneten von SPD, Grünen, FDP, Die Partei und Piraten gegen die biometrische Massenüberwachung, die AfD enthielt sich, die Abgeordneten der Union stimmten dafür. Die Resolution des Parlamentes ist rechtlich nicht bindend. Eine Symbolwirkung hat sie dennoch, denn das ungewöhnlich deutliche Abstimmungsergebnis zeigt, wie das Parlament in dieser Frage steht.

... Mittlerweile wird weltweit gegen Gesichtserkennung und biometrische Massenüberwachung protestiert. Unter dem Motto ,,Ban Biometric Surveillance" machen mehr als 200 Nichtregierungsorganisationen aus aller Welt auch außerhalb der Europäischen Union zum Thema mobil. 

...

Aus: "Europäisches Parlament stellt sich gegen biometrische Massenüberwachung" Markus Reuter (06.10.2021)
Quelle: https://netzpolitik.org/2021/gesichtserkennung-co-europaeisches-parlament-stellt-sich-gegen-biometrische-massenueberwachung/

[Textaris(txt*bot)]

[...] Was ist die elektronische Patientenakte?

Eine digitale Anwendung, in der Krankenversicherte und Ärzte Dokumente und Gesundheitsinformationen ablegen können. Der Sinn: Statt Arztbriefe spazieren zu tragen oder einfach nicht mehr zu wissen, was beim Belastungs-Ekg vergangenes Jahr herausgekommen ist, können Ärztinnen und Krankenhäuser digital auf entsprechende Informationen zugreifen. Voraussetzung dafür ist allerdings, dass der Patient oder die Patientin die entsprechenden Daten in die elektronische Patientenakte hochgeladen hat oder dem Upload in der Arztpraxis zugestimmt hat – und außerdem den Zugriff darauf gestattet. So soll die elektronische Patientenakte Abläufe straffen und den Patientinnen unnötige Laufwege ersparen.

Vom Befund über Diagnosen bis hin zu Laborberichten und Therapieplänen kann man in der elektronischen Patientenakte alles hinterlegen. Die Vorteile: Schnellen Zugriff auf einen Notfalldatensatz, eine Patientenverfügung oder elektronische Medikamentenpläne zu haben, kann für Patient wie behandelnde Ärztin äußerst praktisch, in manchen Fällen womöglich entscheidend sein. Gleichzeitig stellen sich bei derart sensiblen Angaben in großem Umfang Datenschutz- und IT-Sicherheitsfragen (siehe unten). Viele Ärzte, aber auch andere Beobachterinnen nervt zudem, wie die elektronische Patientenakte umgesetzt wird: schlecht kommuniziert, hastig eingeführt, von Versicherten nur zögerlich genutzt.

Die elektronische Patientenakte ist nicht zu verwechseln mit dem elektronischen Rezept. Auch das elektronische Rezept sollte Anfang Januar in kassenärztlichen Praxen verfügbar sein, kurz vor Weihnachten wurde das Vorhaben noch mal verschoben. Oder, wie es wohl versöhnlicher klingen soll: Die Testphase wird noch einmal verlängert. Der Grund: Erforderliche technische Systeme stünden noch nicht flächendeckend zur Verfügung.

Was ist nun neu bei der elektronischen Patientenakte?

Gestartet ist die elektronische Patientenakte eigentlich bereits 2021. Aus Sicht von Patientinnen und Patienten allerdings eher theoretisch: Zwar war es schon ab Januar möglich, eine Patientenakte zu erhalten, und ab Juli sollten auch alle Praxen die Technik angeschafft oder zumindest bestellt haben, um die elektronischen Akten pflegen zu können. Vielerorts fehlten zum Stichtag aber technische und andere Voraussetzungen. Sprich: Die Praxen hatten womöglich die Hard- und Software angeschafft, sie aber noch nicht unbedingt in Betrieb genommen.

Laut Bundesgesundheitsministerium sollte das bis Ende 2021 der Fall sein. Im Herbst deutete sich aber bereits an, dass viele Praxen noch nicht so weit waren, elektronische Patientenakten einzusehen oder zu befüllen. Spätestens ab Januar 2022 soll die digitale Akte auch in Krankenhäusern nutzbar sein.

Während an der Umsetzung noch gearbeitet wird, startet zum Jahreswechsel das, was man im Bundesgesundheitsministerium und in der Nationalen Agentur für Digitale Medizin, besser bekannt als gematik, die "zweite Ausbaustufe" für die elektronische Patientenakte nennt. Oder auf Neudeutsch: ePA 2.0.

Konkret bedeutet das: Ab dem 1. Januar 2022 dürfen Patientinnen bestimmen, welcher Arzt auf welches Dokument in ihrer elektronischen Patientenakte zugreifen darf. Dass zum Beispiel dieses Röntgenbild der Schulter nur für den Orthopäden sichtbar ist, das CT aber für die Kardiologin und den Hausarzt. Auch zeitliche Begrenzungen für diese Zugriffsrechte lassen sich definieren. Bislang konnten Patientinnen und Patienten nur pauschal die Erlaubnis erteilen, dass alle Medizinerinnen und Mediziner auf in der elektronischen Patientenakte gespeicherten Dokumente zugreifen dürfen – was angesichts der Sensibilität mancher Diagnosen und Befunde vielleicht nicht jede Patientin möchte.

Die feingranularen Einstellungen, wer auf was zugreifen kann, können Versicherte über die Patientenakten-Apps ihrer Krankenkassen einstellen. Das soll mit dem Update der Apps ab Januar funktionieren. Oder Versicherte können in der Arztpraxis, wenn ihre Befunde, Arztbriefe und so weiter in die elektronische Patientenakte eingepflegt werden, bestimmen, wer worauf Zugriff bekommen soll. Nötig ist dafür die Vorlage der elektronischen Gesundheitskarte und eine Pin. Diese Option dürfte vor allem für Menschen, die nicht über die nötigen Geräte oder die notwendige Technikkompetenz verfügen, attraktiv sein.   

Werden alle Neuerungen ab Januar 2022 verfügbar sein?

Direkt nach dem Jahreswechsel werden aller Wahrscheinlichkeit nach höchstens einige wenige Arztpraxen in der Lage sein, das granulare Zugriffsmanagement anzubieten. Denn es gibt ein dickes technisches Problem: Voraussetzung für die neue Funktion ist ein wichtiges Softwareupdate für sogenannte Konnektoren.

Konnektoren sind spezielle Router, die in Praxen und anderen medizinischen Betrieben stehen und diese auf einem separaten und besonders abgesicherten Weg mit der Telematikinfrastruktur (TI) verbinden. So heißt das System, das verschiedene Abläufe und Dienstleistungen im Gesundheitssystem digitalisieren soll – von der elektronischen Arbeitsunfähigkeitsbescheinigung über das elektronische Rezept bis eben zur elektronischen Patientenakte. Man könnte also sagen: Anschluss an die Telematikinfrastruktur ist für Praxen und Krankenhäuser die Grundvoraussetzung dafür, mit elektronischen Patientenakten etwas anfangen zu können.

Für diverse Neuerungen bei der elektronischen Patientenakte brauchen die Gesundheitseinrichtungen nun eigentlich das Versionsupdate PTV5. Erst damit wird es zum Beispiel möglich sein, von einer Arztpraxis aus genau einzustellen, wer Zugriff auf eine bestimmte Diagnose, Befund oder Behandlungsplan erhalten soll. Diese Updates werden von Privatfirmen entwickelt und von der gematik auf die Einhaltung vorgeschriebener Sicherheitsstandards überprüft. Erst danach können sie in den Praxen, Krankenhäusern und so weiter installiert werden.

Vor Weihnachten war noch kein einziges Update der drei Anbieter zugelassen. Das bestätigten das Bundesgesundheitsministerium und die gematik auf Anfrage. Erste PVT5-Updates wurden zwar zwischen den Jahren zugelassen. Doch das bedeutet auch: Ärzte und Krankenhäuser müssten das Update zwischen den Feiertagen eingespielt haben, um die Funktion anbieten zu können. Was wohl nicht besonders häufig der Fall sein dürfte.

Warten müssen Nutzerinnen und Nutzer der elektronischen Patientenakte auch auf weitere Funktionen: Ab Januar sollte es möglich sein, Gesundheitsdaten wie den Mutterpass, das gelbe Untersuchungsheft für Kinder, das Zahnbonusheft oder den Impfpass in der elektronischen Patientenakte abzulegen. Auch diese Funktionalität hängt am genannten Konnektorenupdate und wird eben dann verfügbar sein, wenn die Updates zugelassen und in den jeweiligen Einrichtungen installiert sind. Nötig sind auch entsprechende Updates in der jeweiligen Praxisverwaltungssoftware.

Man kann darüber streiten, wie gewichtig diese Funktionen für die elektronische Patientenakte sind. Doch ein fulminanter Start für die zweite Stufe des Projekts sieht anders aus. Die gematik spricht von einem "fließenden Roll-out", wie es ihn auch bereits bei der ersten Stufe der elektronischen Patientenakte gegeben habe. Auch damals hakte es laut dem Ärzteblatt bei den Konnektorenupdates.

Wo genau liegen meine Gesundheitsdaten dann?

Gesetzliche Krankenkassen müssen Versicherten seit Anfang 2021 die elektronische Patientenakte kostenlos als App zur Verfügung stellen. Das bedeutet: Wer sie nutzen möchte, kann bei seiner Krankenkasse einen Nutzungszugang beantragen, dann die entsprechende App herunterladen, sich registrieren und authentifizieren. Programmiert wurden diese Apps von Dienstleistern wie zum Beispiel IBM. Die Daten, so heißt es auf der Homepage der gematik, lägen "sicher und verschlüsselt" in den Aktensystemen der jeweiligen Betreiber, die in der Telematikinfrastruktur betrieben werden. Deren Server würden "im Zuge des Zulassungsverfahrens der gematik auf ihre sicherheitstechnische Eignung durch unabhängige Gutachter geprüft".

Diese Betreiber und die Krankenkassen als Anbieter dieser Apps haben jedoch keinen Zugriff auf die in der elektronischen Patientenakte abgelegten Daten. Sie liegen vielmehr verschlüsselt auf Servern in Deutschland, die europäischen Datenschutzbestimmungen unterliegen. Auch das erklärt die gematik auf ihrer Homepage. Und verweist als Ansprechpartner für Datenschutzfragen auf die entsprechenden Beauftragten der jeweiligen Krankenkassen.

Auch wer kein Tablet oder Smartphone besitzt, kann die elektronische Patientenakte nutzen: Er muss sich von der Krankenkasse eine Pin ausstellen lassen und kann sie beim nächsten Arztbesuch in Kombination mit seiner elektronischen Gesundheitskarte befüllen lassen (siehe oben). Über einen Browser lässt sich nicht auf die elektronische Patientenakte zugreifen. Es soll aber Programme für Desktop-PC geben, über die ein Zugriff auf die elektronische Patientenakte möglich wird – analog dazu, wie die Nutzung auf dem Smartphone funktioniert. Das erklärt die gematik auf Anfrage. Ein Großteil der Krankenkassen werde das bereits ab Anfang 2022 anbieten, andere im Laufe des Jahres.

Wie funktioniert das technisch?

Die Daten der elektronischen Patientenakte liegen verschlüsselt auf Servern, die im Dienst von Krankenkassen betrieben werden und von der gematik zertifiziert wurden. Damit Praxen elektronische Patientenakten befüllen und Daten dort abrufen können, müssen sie an die Telematikinfrastruktur angeschlossen sein. Das bedeutet, dass Praxen bestimmte Hardware- und Software-Komponenten anschaffen und in Betrieb nehmen müssen – etwa bestimmte Updates für ihre Praxisverwaltungssoftware und die Konnektoren (siehe oben).

Und damit nicht jede Person Befunde aus den digitalen Akten einsehen oder gar verändern kann, müssen Ärzte, Psychotherapeutinnen und andere in medizinischen Berufen tätige Personen mit einem Praxisausweis beziehungsweise einem elektronischen Heilberufsausweis belegen, dass sie tatsächlich Lese- und Schreibberechtigungen besitzen. Versicherte wiederum bekommen Zugriff auf die Daten ihrer elektronischen Patientenakte, indem sie sich mit Hilfe ihrer elektronischen Gesundheitskarte authentifizieren.

Gelingt es, sich über einen dieser Wege als zugriffsberechtigt zu authentifizieren, kann sowohl auf Schlüssel als auch auf Inhalte der elektronischen Patientenakte zugegriffen werden. Dies kritisierte zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Schreiben ans Gesundheitsministerium bereits 2019 und sprach von einem "neuralgischen Punkt für die gesamte nachfolgende Sicherheitskette". Denn: Natürlich ist die Idee von Authentifizierungsverfahren, berechtigten Nutzerinnen Zugriff auf bestimmte Daten zu gewähren. Aber: Gelingt es jemandem, das System an dieser Stelle zu überlisten, zum Beispiel, indem er sich fälschlicherweise als ein bestimmter Patient ausgibt und erfolgreich als solcher authentifiziert, taugen auch alle nachgeschalteten Schutzmaßnahmen nicht mehr viel.

Wie sicher ist das?

Ende 2019 gelang Hackern aus dem Umfeld des Chaos Computer Clubs, was ihnen nicht hätte gelingen dürfen: Ein Team um den IT-Sicherheitsforscher Martin Tschirsich demonstrierte, wie man sich unberechtigterweise Praxis-, Heilberufsausweise oder elektronische Gesundheitskarten ausstellen sowie Konnektoren liefern lassen kann. Und mogelte sich so die Hauptbestandteile zusammen, die es für den Authentifizierungsprozess der elektronischen Patientenakte braucht und deren Vorlage die hochsensiblen Daten in der elektronischen Patientenakte eigentlich vor unbefugten Zugriffen schützen soll.

Auch im Jahr danach fanden Tschirsich und seine Mitstreiter weitere Probleme: Sie stießen im Sommer 2020 online auf 29 Konnektoren, die ganz ohne Authentifizierung erreichbar waren. Was bedeutet: Wäre die elektronische Patientenakte bereits eingeführt gewesen, hätten sie sich darüber Zugriff verschaffen können.

Auf all diese Probleme habe man längst reagiert, heißt es von der gematik: Es gebe "starke Nachregelungen" bei den Prüfprozessen für Ärzte, sagt Produktchef Florian Hartge. Auch die Sicherheitsanforderungen und Prüfmechanismen in Bezug auf die Konnektoren seien erhöht worden. "Wir beheben die Probleme in der Regel, bevor sie publik werden", so Hartge.

War die elektronische Patientenakte von der schweren Sicherheitslücke Anfang Dezember betroffen?

Als die Sicherheitslücke Log4Shell bekannt wurde, wurden Teile der Telematikinfrastruktur vom Netz genommen. Die gematik sagt, das sei eine gebotene Vorsichtsmaßnahme gewesen, bis eine Verwundbarkeit der Systeme sicher ausgeschlossen werden konnte. Die Agentur hatte am Montag nach dem Bekanntwerden der Lücke erklärt, die Aktensysteme der Apps einiger Krankenkassen seien "in den Wartungsmodus" versetzt worden. Es seien Sicherheitspatches für die angreifbare Bibliothek Log4j eingespielt worden. Derzeit gebe es keine Hinweise, dass eine Kompromittierung der Systeme stattgefunden habe, sagt Hartge.

Muss ich bei der elektronischen Patientenakte mitmachen?

Nein. Die Nutzung der elektronischen Patientenakte ist freiwillig. Man bekommt sie nicht automatisch: Wer mitmachen will, muss bei seiner Krankenkasse aktiv einen Zugang beantragen. 

Genau an diesem Punkt will die neue Regierung in Berlin künftig schrauben: Im Koalitionsvertrag kündigen SPD, Grüne und FDP an, auf ein Opt-out-Verfahren umstellen zu wollen. Anders gesagt: Wer keine elektronische Patientenakte haben möchte, müsste dann aktiv widersprechen, ansonsten wird sie ihm automatisch zur Verfügung gestellt.

Manche Mediziner, zum Beispiel Ferdinand Gerlach vom Sachverständigenrat zur Begutachtung der Entwicklung im Gesundheitswesen, kritisieren, dass man die elektronische Patientenakte derzeit nicht nur umständlich beantragen müsse, sondern dass bei jedem Arztbesuch, im Krankenhaus, in der Apotheke oder beim Physiotherapeuten immer wieder aufs Neue zustimmen müsse, dass die Akte eingesehen werden könne und Daten gespeichert werden dürften. "Dieses mehrfache, immer zu wiederholende aktive Opt-in wird dazu führen, dass die Akte im Alltag nicht fliegt", sagte er der Ärzte Zeitung im Frühjahr: Versicherte würden den Schritt vergessen, Ärzte wenig auf die elektronische Patientenakte geben, wenn diese nur löchrige und nicht aktuelle Angaben umfasse. 

Wie viele Patientinnen und Patienten nutzen die elektronische Patientenakte schon?

Man könnte die Nutzung schon noch ein wenig ausbaufähig nennen: Nach Angaben des Bundesministeriums für Gesundheit wurden bislang etwa 312.000 elektronische Patientenakten angelegt.

Laut dem IT-Branchenverband Bitkom ist das Interesse bei Bürgerinnen und Bürgern sehr wohl vorhanden: In einer Befragung von etwas mehr als 1.000 Menschen äußerten mehr als drei Viertel Interesse an der Nutzung der elektronischen Patientenakte – nur 0,5 Prozent der Befragten hatten sie jedoch bereits in Gebrauch. Mehr als die Hälfte gab an, bisher weder von Krankenkassen noch von Ärztinnen Informationen dazu erhalten zu haben.

Und was ist mit den Arztpraxen?

Es klingt zunächst so, als sei die Verbreitung bei medizinischen Einrichtungen bereits geglückt: Im dritten Quartal 2021 seien 93 Prozent aller Arztpraxen und 88 Prozent aller Krankenhäuser an die Telematikinfrastruktur angeschlossen, meldete kürzlich die gematik.

Der hohe Wert bei den Arztpraxen lässt sich damit erklären, dass Praxen seit Juli 2021 verpflichtet sind, erforderliche Komponenten angeschafft oder zumindest bestellt zu haben (siehe oben). Wer das versäumt hat, dem drohen Honorarkürzungen für vertragsärztliche Tätigkeiten.

Im Detail zeigen die Zahlen aus der gematik-Befragung aber auch: Erst 30 Prozent aller Praxen und elf Prozent aller Krankenhäuser haben das Modul installiert, das notwendig ist, um die elektronische Patientenakte tatsächlich zu nutzen. Praktisch könnte das zum Beispiel bedeuten: Die notwendige Technik ist zwar angeschafft, aber die Installation noch nicht erfolgt. Und während zwölf Prozent der befragten Ärzte die Bereitschaft erklärten, die elektronische Patientenakte zu nutzen, taten es bislang nur drei Prozent.

Warum die geringe Verbreitung?

Wer Gründe dafür sucht, stößt schnell auf Kritikpunkte der Ärzteschaft. Ebenfalls in der gematik-Befragung sagen gerade einmal 43 Prozent der befragten Ärztinnen und Ärzte, dass sie Vertrauen in die Sicherheit von Daten in der Telematikinfrastruktur hätten. Bei der elektronischen Patientenakte galt dies sogar nur für 30 Prozent.

Und während die erste Stufe noch gar nicht überall reibungslos läuft und die Nachfrage der Patienten überschaubar ist, soll den Ärztinnen bald auch schon die nächste Stufe der Telematikinfrastruktur aufgedrückt werden: Auch das ärgert viele Mediziner. Nun heißt es, ab Ende 2025 sollen gar keine Konnektoren mehr nötig und die Telematikinfrastrukturdienste über das Internet verfügbar sein – was einem Vertreter der Kassenärztlichen Vereinigung zufolge aber auch wieder neue Anforderungen für Praxen beinhaltet. 

Kritik gibt es – nicht nur bei Medizinerinnen und Medizinern – auch häufig an dem schnellen Tempo, das der Gesetzgeber vorgibt: Die Fristen für die Umsetzung von Vorgaben setze zum Beispiel die Hersteller von Praxisverwaltungssoftware so unter Druck, dass eine sorgfältige Testung auf der Strecke bleiben könnte, kritisiert etwa die Computerzeitschrift c't. Die Folge von Fehlern bei Softwarelieferanten könnten Hunderte oder gar Tausende Praxen und Krankenhäuser betreffen. Auch der Ärztetag warnte in diesem Jahr davor, dass aufgrund der gesetzgeberischen Geschwindigkeit notwendige Testungen zur Praktikabilität und Patientensicherheit unterbleiben könnten.

Was ist mit Privatversicherten?

Die müssen sich weiter gedulden. Alles oben Beschriebene steht bislang nur gesetzlich Krankenversicherten offen. Auf der Internetseite der gematik ist die elektronische Patientenakten für Privatversicherte "ab 2022" angekündigt. Daran werde noch gearbeitet, sagte deren Chief Production Officer, Florian Hartge, ZEIT ONLINE auf Anfrage.

Aus: "Was die elektronische Patientenakte jetzt alles kann" Meike Laaff (01.01.2022)
Quelle: https://www.zeit.de/digital/2021-12/elektronische-patientenakte-digitalisierung-gesundheitswesen-faq#was-ist-die-elektronische-patientenakte

[Textaris(txt*bot)]

[...] Texas verklagt Meta auf tausende Milliarden US-Dollar, weil Meta mit automatischer Gesichtserkennung milliardenfach gegen texanisches Recht verstoßen haben soll. Die Vorwürfe richten sich gegen Facebook, das seit über einem Jahrzehnt hochgeladene Fotos automatisch biometrisch gerastert hat, sowie gegen Instagram: Die Foto-Plattform soll einerseits versprechen, vor Einführung von Gesichtserkennung zu warnen, tatsächlich aber heimlich alle hochgeladenen Bilder der konzerneigenen Gesichtserkennung unterziehen.

Dem nicht genug, Meta soll biometrische Daten auch noch mit Dritten teilen. Facebook hat automatische Gesichtserkennung 2010 eingeführt; erst im Herbst 2021 hat Meta damit begonnen, Facebooks Gesichtserkennungsprofile zu löschen. Dem war ein 650 Millionen Dollar teurer Vergleich vorausgegangen: Wegen Gesichtserkennung zahlt Meta 350 US-Dollar an jeden Nutzer in Illinois.

Worauf sich der Vorwurf der heimlichen Rasterung aller Instagram-Bilder gründet, ist der am Valentinstag veröffentlichten Klage des texanischen Justizministers nicht zu entnehmen. Meta stellt die Anschuldigungen der Klage in Abrede: "Diese Vorwürfe sind unbegründet, und wir werden uns energisch verteidigen", teilt der Konzern heise online mit. Die Klage heißt The State of Texas v. Meta Platforms und ist unter dem Az. 22-0121 am Bezirksgericht Harris County anhängig.

Texas' Justizminister Ken Paxton, ein Republikaner, stützt seine Klage auf zwei Gesetze des US-Staates: Ein Verbraucherschutzgesetz, das bestimmte irreführende Angaben verbietet, und ein Gesetz, das die Erfassung biometrischer Daten ohne Vorab-Information und wirksame Zustimmung Betroffener untersagt. Legal gesammelte Biometriedaten dürfen nicht weitergegeben werden und sind zeitnah zu löschen. Klage dürfen die Bürger nach dem Biometriegesetz aber nicht erheben, das darf nur der Justizminister. Und das tut Paxton jetzt.

Facebook habe über ein Jahrzehnt alle hochgeladenen Antlitzfotos biometrisch ausgewertet, ohne texanische User im Voraus zu informieren und ohne wirksame Zustimmung eingeholt zu haben: "Facebook omnipräsentes Imperium wurde auf Irreführung, Lügen und frecher Misshandlung der Datenschutzrechte der Texaner aufgebaut – alles für den wirtschaftlichen Gewinn Facebooks", zürnt die Klageschrift.

Die gewonnenen biometrischen Daten hat Facebook laut Klage nicht nur nicht gelöscht, obwohl das rechtlich geboten sei, sondern auch noch verbotenerweise an Dritte weitergereicht, ohne das offenzulegen. Betroffen sind davon auch viele Menschen, die bewusst keine Facebook-Dienste nutzen. Sobald ein Dritter ein Foto eines Facebook-freien Menschen hochgeladen hat, wurde es gerastert.

Im Unterschied zu Facebook verspricht Konzernschwester Instagram, hochgeladene Bilder keiner automatischen Gesichtserkennung zu unterziehen: "Sollten wir Gesichtserkennungstechnik (...) einführen, werden wir Sie das im Voraus wissen lassen, und Sie werden Kontrolle darüber haben, ob wir diese Technik für Sie verwenden", zitiert die Klage Instagram, und fügt hinzu: "Nichts davon ist wahr." Meta "hat alle bei Instagram hochgeladenen Fotos heimlich seiner Gesichtserkennungstechnik unterzogen, ohne, dass Instagram-Nutzer (oder Nicht-Nutzer) davon erfahren könnten, von einer Abwehr de Ernte ihrer Gesichtsgeometrie ganz zu schweigen", wirft Texas dem Datenkonzern vor.

Begehrt wird ein Unterlassungsurteil gegen Meta, der Auftrag zur Löschung aller texanischen Biometriedaten und der damit trainierten Algorithmen, Abschöpfung aller erlangten Vermögensvorteile, und zivilrechtliche Strafen von 25.000 Dollar pro Verstoß gegen das Biometriegesetz sowie von 10.000 Dollar pro Verstoß gegen das Verbraucherschutzgesetz, zuzüglich Zinsen und Verfahrenskosten. Paxton schätzt, dass Facebook vergangenes Jahr 20,5 Millionen Nutzer in Texas hatte.

Sollten die Vorwürfe zutreffen und jeder texanische Facebook-User nur ein einziges Gesichtsbild hochgeladen haben, würde die Summe der Strafen den Börsenwert Metas von knapp 600 Milliarden US-Dollar deutlich übersteigen. Texas wäre saniert.

Neben Meta hat auch Clearview AI eine Datenbank mit Milliarden biometrischen Profilen aus Gesichtsbildern aus dem Internet angelegt. Im Unterschied zu Meta macht Clearview keine Anstalten, vom Verkauf dieser Daten abzulassen. Tausende US-Behörden sollen Kunden sein. Dass Paxton auch Clearview AI verklagen will, ist nicht bekannt.

Aus: "Heimliche Gesichtserkennung: Texas will Meta in den Bankrott klagen" Daniel AJ Sokolov (15.2.2022)
Quelle: https://www.heise.de/news/Heimliche-Gesichtserkennung-Texas-will-Meta-in-den-Bankrott-klagen-6473675.html

https://www.heise.de/downloads/18/3/3/0/5/4/3/3/State_of_Texas_v._Meta_Platforms_Inc..pdf

[Textaris(txt*bot)]

[...] Raps, dem Herbizid kein Blättchen krümmt. Weizen, dem Mehltau kein Korn verdirbt, und Tomaten, die den Blutdruck senken. Was nach Ackerpflanzen mit Superkräften klingt, macht Wissenschaft möglich; konkret Methoden der neuen Gentechnik (NGT), wie etwa die Gen-Schere CRISPR/Cas. In Ländern wie den USA, Kanada und Japan bauen Landwirte die neuen Sorten teilweise bereits an.

Die Frage, wie zukünftig in Österreich und der EU mit neuen Gentechnikmethoden umzugehen ist, erregt die Gemüter in Umweltorganisationen wie Global 2000. Sie werfen der Europäischen Kommission vor, das EU-Gentechnikrecht für die Landwirtschaft aufweichen zu wollen und Methoden der neuen Gentechnik "ohne umfassende Risikoprüfung oder Kennzeichnungspflicht" zuzulassen. Eine Petition soll dem entgegentreten.

Grund für die akute Aufregung: Ab April startet ein dreimonatiger Austausch zwischen EU-Kommission und Regierungen. Zur Diskussion steht, ob die strengen Gentechnikrichtlinien für Verfahren wie CRISPR/Cas auch weiterhin gelten sollen.

Seit 2018 unterliegen die NGT-Methoden dem Unionsgesetz. Diese Entscheidung des EuGH hat für einen Aufschrei in der Wissenschaft gesorgt. Laut Molekularbiologin Ortrun Mittelsten Scheid vom Gregor-Mendel-Institut unterscheiden sich neue Gentechnikmethoden von klassischer Gentechnik grundsätzlich. "Daher sollten auch nicht dieselben gesetzlichen Auflagen gelten."

Zur Erklärung: Die klassische Gentechnik verändert einen Organismus, indem ein oder mehrere Gene zusätzlich in das Genom eines Organismus eingebaut werden.

Bei der Anwendung der CRISPR/Cas-Methode hingegen wird – wie auch bei der konventionellen Züchtung – ein vorhandenes Gen durch Mutationen verändert, sagt Mittelsten Scheid. Dabei wird das Cas-Protein mit einer RNA kombiniert und die Gen-Schere passgenau an eine konkrete Adresse im Genom geleitet, um die DNA nur dort durchzutrennen.

Bei der anschließenden Reparatur kommt es oft zu einer Veränderung der DNA-Sequenz, sodass nur an dieser Schnittstelle eine genetische Mutation entsteht, erklärt Mittelsten Scheid. Selten auftretende parallele Mutationen an anderen Stellen können identifiziert und durch eine Rückkreuzung entfernt werden, ebenso wie die genetische Information für die Gen-Schere.

Die gentechnische Veränderung mittels CRISPR/Cas ist von einer natürlichen Mutation im Nachhinein nicht mehr zu unterscheiden, die gentechnische Veränderung also nicht mehr nachvollziehbar.

Die Molekularbiologin sieht ein "enormes Anwendungspotenzial in der Landwirtschaft". Die CRISPR-Methode könne neben Ertragssteigerungen, Qualitätsverbesserungen und Resistenzen auch helfen, um Pflanzen an verändernde Wetterextreme wie etwa lange Trockenperioden oder Starkregen anzupassen.

Die neue Gentechnik verspricht neben mehltauresistentem Weizen und herbizidresistentem Raps auch Sojasorten mit weniger Transfetten. Laut Global 2000 ist die "CRISPR-Tomate" seit über einem Jahr in Japan zugelassen. Ihr hohes Niveau an Gamma-Aminobuttersäure soll den Blutdruck senken. In Europa sind derartige Ackerpflanzen noch nicht erhältlich. Ein Antrag für CRISPR/Cas-Mais befinde sich derzeit aber in der Pipeline.

Bei Global 2000 läuten seither alle Alarmglocken. Damit derartige Produkte nicht "ohne Gentechnikpickerl" in österreichischen Einkaufswagen landen, setzt man alle Hebel in Bewegung. Wichtig ist den Umweltaktivistinnen, dass CRISPR/Cas keinen Sonderstatus bekommt, sondern weiterhin dem Gentechnikgesetz unterliegt und als solches gekennzeichnet wird.

Laut Mute Schimpf von der Organisation Friends of the Earth Europe wiederholt die EU-Kommission ständig Versprechen der Gentechnikbranche, darunter "angebliche Vorteile wie Pestizidreduktion, weniger Treibhausgase" und dass diese "so sicher wie konventionelle Pflanzen" sei.

Schimpf befürchtet, dass Verbraucherinnen schon bald nicht mehr wissen, was sie essen. Fehlende Rückverfolgung und Haftung der Hersteller würden Gentechnikkonzernen mehr Kontrolle geben.

Brigitte Reisenberger von Global 2000 kritisiert zudem, dass die Risiken weder in der Landwirtschaft noch für das Ökosystem lückenlos erforscht seien. Statt Gentechnik brauche es Pflanzenvielfalt, nachhaltige Bodenpflege, Humusaufbau und eine Reduktion des Pestizideinsatzes.

Mittelsten Scheid kann die Besorgnis von Umweltschützern psychologisch nachvollziehen, sie sei wissenschaftlich aber nicht begründbar – im Gegenteil. Den Bedarf an gesonderten Verfahren für eine Risikoabschätzung sieht sie nicht.

Sind die Techniken sicher, wäre es in Hinblick auf den Klimawandel wünschenswert, Sorten zu bekommen, die widerstandsfähiger gegenüber Dürre und Hitze sowie Schädlinge und Krankheiten sind, heißt es aus der Landwirtschaftskammer Österreich. Festlegen will man sich allerdings nicht. Die Neueinstufung und die Verwendung bestimmter Züchtungsmethoden sei auf EU-Ebene zu klären. (Julia Beirer, 2.3.2022)

Aus: "Umweltschützer fordern Pickerl für Wundertomate aus dem Genlabor" Julia Beirer (2. März 2022)
Quelle: https://www.derstandard.at/story/2000133621676/umweltschuetzer-fordern-pickerl-fuer-wunder-tomate-aus-dem-genlabor

[Textaris(txt*bot)]

"Künstliche Intelligenz: Deepfakes: Eine neue Ära der Täuschung steht bevor" (28. September 2022)
Der Chief Science Officer von Microsoft warnt in einem neuen Forschungspaper vor einer neuen Generation manipulativer Technologien ...
https://www.derstandard.at/story/2000139484409/deepfakes-eine-neue-aera-der-taeuschung-steht-bevor

Künstliche Intelligenz: Deepfake-Expertin Nina Schick: "Jede Identität ist heute gefährdet"
Die IT-Expertin spricht anlässlich der "Fake-Klitschko"-Anrufe über die gefährliche Seite der KI-Revolution. Und darüber, wie sich unser Kulturkonsum wandeln wird
Interview: Stefan Weiss (1. Juli 2022)
Quelle: https://www.derstandard.at/story/2000139484409/deepfakes-eine-neue-aera-der-taeuschung-steht-bevor

Radomir Andrejic

In einer postfaktischen Gesellschaft ist die Herstellung von digitalen Fälschung lediglich eine Fleißaufgabe. Protagonisten wie Trump, Johnson, ... brauchen diese gar nicht, da ihnen ihre Jünger aufs Wort vertrauen.

Radomir Andrejic

Plausibiltätstest laufen leider auch oft ins Leere, weil auch tatsächtlich Geschehenes sehr skurill und unglaubwürdig sein kann.

Liam Fitzpatrick O'Donelly

Ich wundere mich ja immer wieder, auf welchen schwer dubiosen Seiten Arbeitskollegen und Familienmitglieder unterwegs sind
Auf meine Frage "Wie bist denn da hin gekommen?" kommt dann meist "Naja, das hat mir der und die geschickt." Und ohne auch nur ein bissl zu hinterfragen, nehmen das manche für bare Münze.

Opinion privée

Das ist ein extrem ernst zu nehmendes Problem, für das es kaum Wahrnehmung gibt. ...

...

[Textaris(txt*bot)]

[...] Großbritannien will die Verbreitung sogenannter Deepfake-Pornos verbieten. Justizminister Dominic Raab kündigte eine entsprechende Gesetzesänderung an, wie die Nachrichtenagentur dpa berichtete. "Wir müssen mehr tun, um Frauen und Mädchen vor Menschen zu schützen, die intime Fotos machen oder manipulieren, um sie zu demütigen", sagte Raab. Deepfake-Pornografie können Bilder oder Videos sein, bei denen Aufnahmen bestimmter Menschen mit pornografischen Szenen kombiniert werden und dadurch besonders realistisch erscheinen.

Einem von 14 Erwachsenen in England und Wales ist bereits damit gedroht worden, dass von ihm sogenannte Deepfakes verbreitet werden. So berichtet es die dpa unter Berufung auf offizielle britische Zahlen.

...

Aus: "Großbritannien will Verbreitung von Deepfake-Pornos bestrafen" (25. November 2022)
Quelle: https://www.zeit.de/digital/2022-11/deepfake-pornografie-grossbritannien-verbot

[Textaris(txt*bot)]

[...] Einen Gesetzesentwurf für das europäische Ein- und Ausreisesystem zur Biometrie-Grenzkontrolle sowie das Reisegenehmigungssystem hat die Bundesregierung dem Bundestag vorgelegt. Rechtlich möchte die Regierung sicherstellen, dass die EU-Verordnungen über ein Ein- und Ausreisesystem ("Entry/Exit System" - EES) und über ein Europäisches Reisegenehmigungssystem (ETIAS) in Deutschland reibungslos angewandt werden können.

Zwar gelten die entsprechenden EU-Vorgaben bereits direkt in allen Mitgliedsstaaten, nationale Rechtsnormen wie das Aufenthaltsgesetz sollen aber dazupassen. Ferner will die Exekutive die innerdeutschen Zuständigkeiten für vorgesehene Aufgaben und technische Vorgaben festlegen.

Im EES mit biometrischer Grenzkontrolle müssen sich Bürger aus Drittstaaten künftig im Rahmen des "Smart Borders"-Programms mit vier Fingerabdrücken und biometrischem Gesichtsbild in der EU registrieren lassen. Die Datenbank soll "intelligente Grenzkontrollen" nach US-Vorbild ermöglichen, die zulässige Dauer eines Kurzaufenthalts berechnen und bei Überziehung automatisch die nationalen Sicherheitsbehörden verständigen.

Personen, die visumsfrei in die Gemeinschaft einreisen können, sollen mithilfe von ETIAS vorab durchleuchtet werden. Sie müssen über einen Online-Antrag den Behörden persönliche Informationen etwa zu Identität, Reisedokument, Aufenthaltsort, Kontaktmöglichkeiten, infektiösen Krankheiten und Ausbildung übermitteln. Die Daten sollen dann automatisch mit Daten aus zahlreichen anderen europäischen IT-Systemen, einer virtuellen Biometrie-Superdatenbank sowie Registern von Interpol abgeglichen und gespeichert werden. Pate gestanden hat das 2007 von den USA entwickelte Anreisegenehmigungssystem ESTA. Ziel ist, festzustellen, ob eine Einreise in den Schengenraum grundsätzlich berechtigt ist, und ob damit ein Risiko für Sicherheit, geregelte Migration oder Gesundheit verbunden sein könnte.

Für die EES-Übermittlungsvorgänge peilt die Regierung nun ein automatisiertes Verfahren an, für dessen technische Umsetzung sie anderthalb Jahre veranschlagt. Bis dahin sollen Meldungen zwischen rund 224 Auslandsvertretungen und weiteren Behörden laut der Gesetzesbegründung "vermutlich als PDF-Datei per E-Mail" erfolgen. Von einer Pflicht zur Verschlüsselung der erwarteten rund 37.500 Notizen ist keine Rede. Das Sicherheits- und Qualitätsniveau vor allem des EES soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) überprüfen. Dazu kann es dem Plan nach zur "Unterstützung bei der Bewältigung von Sicherheitsvorfällen" auf Anfrage Einzeldaten von der Bundespolizei und dem Bundesverwaltungsamt bekommen.

Insbesondere bei elektronischen Fälschungen von Reisepässen seien nur so forensische Analysen des Chips für das BSI möglich, heißt es dazu. Diese wiederum hülfen, technische Sperrlisten zu aktualisieren oder die Richtlinie zur technischen Dokumentenprüfung fortzuschreiben. Die Gesetzesvorlage rechnet auch mit Sicherheitsproblemen durch neue Angriffsvektoren wie elastische 3D-Drucker-Masken und 3D-Schminken oder lokale Fehlkonfigurationen der Biometrie-Algorithmen ("Schwellwertfehler").

"Presentation Attack Detection" soll den Einsatz von Spezialmasken verhindern. Solche Gegenmaßnahmen könnten nur auf Basis der im Einzelfall zu übermittelnden Daten optimiert werden, sagt die Regierung. Dies gelte auch für den Bereich von Vorkommnissen durch "Morphing, also dem Fusionieren von mehreren Bildern zu einem einzigen zur Nutzung eines Passes durch mehrere Personen".

(ds)

Aus: "EU-Datenbanken: Bund will biometrische Grenzüberwachung ausweiten" Stefan Krempl (24.01.2023)
Quelle: https://www.heise.de/news/EU-Datenbanken-Bund-will-biometrische-Grenzueberwachung-ausweiten-7469954.html

https://www.heise.de/meldung/Smart-Borders-EU-Rat-gibt-gruenes-Licht-fuer-biometrische-Grenzkontrolle-3896145.html

https://www.heise.de/meldung/Smart-Borders-EU-Kommission-beschliesst-elektronische-Grenzueberwachung-1813531.html

https://www.heise.de/meldung/Fingerabdruecke-und-Fotos-bei-USA-Einreise-90985.html

https://www.heise.de/meldung/Datenabgleich-EU-Staaten-befuerworten-Vorkontrolle-visafreier-Reisender-3736327.html

https://www.heise.de/meldung/Online-Anmeldung-bei-USA-Reisen-jetzt-zwingend-911065.html

https://www.heise.de/hintergrund/Allgegenwaertige-Gesichtserkennung-Zwischen-Bequemlichkeit-und-Ueberwachung-4790619.html

https://www.heise.de/meldung/Seehofer-will-Passfotos-vom-Fotografen-weiter-erlauben-4640399.html

Gesetzentwurf der Bundesregierung
Entwurf eines Gesetzes zur Durchführung der Verordnung (EU) 2017/2226 und der Verordnung (EU) 2018/1240 sowie zur Änderung des Aufenthaltsgesetzes, des Freizügigkeitsgesetzes/EU, des Gesetzes über das Ausländerzentralregister und der Verordnung zur Durchführung des Gesetzes über das Ausländerzentralregister
https://dserver.bundestag.de/btd/20/053/2005333.pdf

[Textaris(txt*bot)]

[...] Die Patienten nutzten die App edupression in der Hoffnung, dass sie ihnen im Umgang mit ihrer psychischen Krankheit hilft. Einige von ihnen hatten sie von ihrer Ärztin verschrieben bekommen, um Symptome ihrer Depressionen zu lindern. Sie führten unter anderem Tagebuch über aktuelle Beschwerden, kreuzten an, wenn sie Suizidgedanken plagten und erfuhren, was gegen Schlafstörungen und quälende Gedanken hilft. Dann bekamen sie am frühen Morgen des 5. Mai eine verstörende E-Mail: Es sei zum "Abzug einiger ihrer Daten" gekommen, schreibt die in Österreich ansässige Firma Sofy GmbH an die mehr als 2.000 betroffenen Nutzer und Nutzerinnen der App. Unter diesen Daten befänden sich neben persönlichen Daten auch Gesundheitsdaten wie zum Beispiel die Frage nach Suizidgedanken. 

Die Daten seien von "Aktivisten" abgezogen worden, doch es sei "bis dato weder zu einer Drohung noch gar zu einer Veröffentlichung der Daten" gekommen, schreibt das Unternehmen weiter in der E-Mail, die ZEIT ONLINE vorliegt. Es ist eine Nachricht, die äußerst beunruhigend klingen dürfte für Menschen, die in der App ihre psychische Verfassung genau dokumentierten. Auch wenn das Unternehmen betont, dass eine Veröffentlichung der Daten eher unwahrscheinlich sei, da die Lücke unverzüglich geschlossen worden sei und es sich bei den Angreifern um Datensicherheitsaktivisten handle, schreiben sie doch auch: Es gebe weiterhin "theoretisch das Risiko, dass Ihre Daten unrechtmäßig verwendet werden könnten".

Tatsächlich steht hinter dem Angriff ein Zusammenschluss aus Hackerinnen und Hackern namens zerforschung. Das ist eine Gruppe, die immer wieder auf Schwachstellen in Anwendungen und Systemen aufmerksam macht – nicht um sich zu bereichern, sondern um auf deren Schließung zu drängen und die Sicherheit zu erhöhen.

"Wir hätten dem Unternehmen gerne mehr Zeit gegeben, um die Sicherheit zu überprüfen", sagt Lilith Wittmann von der Gruppe zerforschung, wenn man sie fragt, warum das Unternehmen und nicht sie selbst die gefundene Schwachstelle kommuniziert hatte. Sie befürchtet, dass die Software womöglich noch weitere Sicherheitslücken aufweisen könnte. Deshalb habe man bewusst mit einer Veröffentlichung abgewartet. Doch dann sei ihnen das Unternehmen zuvorgekommen.

Gemeinsam mit einem weiteren Gruppenmitglied, das sich pajowu nennt, erklärt Wittmann die Aktion im Gespräch mit ZEIT ONLINE, bei der die Gruppe nach eigenen Angaben über eine schlecht gesicherte Schnittstelle in kurzer Zeit an persönliche und Gesundheitsdaten von mehr als 2.000 Nutzerinnen gelangte.

Der Fall deutet auch auf Probleme hin, die es rund um die Zulassung von Apps gibt, die von Ärztinnen und Ärzten verschrieben und von Krankenkassen bezahlt werden. Es ist nicht der erste Fall, in dem sich Schwachstellen in der IT-Sicherheit entsprechender Anwendungen zeigen.   

Bereits im vergangenen Sommer hat zerforschung Sicherheitslücken bei zwei weiteren Apps aufgedeckt: Auch in der App Novego – ebenfalls zur Behandlung von Depressionen – sowie in der App Cancado für Brustkrebspatientinnen konnten sie sich schon im vergangenen Sommer Zugriff auf Patienten- und Gesundheitsdaten verschaffen.

Novego, Cancado und edupression haben noch etwas gemeinsam: Alle drei sind sogenannte digitale Gesundheitsanwendungen, kurz DiGA. Das bedeutet, dass diese Apps als Medizinprodukte zugelassen sind sowie von Ärzten verschrieben und von Krankenkassen bezahlt werden können.

[...] Dass es einen großen Schwarzmarkt für entsprechende Daten gibt, zeigte eine Forscherin der US-amerikanischen Duke University, die im Februar zahlreiche Datenhändler im Internet identifizierte, die Namen und Adressen von US-Bürgern feilboten, gemeinsam mit deren Diagnose psychischer Krankheiten wie Depressionen.

Edupression stellt sich derweil auf den Standpunkt, nichts falsch gemacht zu haben: Man habe "großen Aufwand für IT-Sicherheit betrieben" mit externen Penetrationstests und Zertifizierungen, man habe die Lücke sofort geschlossen, nachdem zerforschung sie gemeldet habe, und auch die User prompt informiert, sagte das Unternehmen gegenüber ZEIT ONLINE.

Doch auch unabhängig von der konkreten Lücke gibt es Probleme damit, wie edupression mit den Daten umgeht. "Digitale Gesundheitsanwendungen müssen pseudonym nutzbar sein", sagt Anke Virks, juristische Referentin beim Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Die Behörde hat gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik das BfArM beraten, wie die IT-Prüfkriterien für digitale Gesundheitsanwendungen künftig aussehen könnten.

[ ...] pajowu von zerforschung hält es für möglich, eine App wie die von edupression sicherer zu gestalten. Dafür müsste aber ein grundsätzlich anderer Ansatz verfolgt werden – einer im Sinne der Betroffenen. Das habe das Start-up aber nicht hören wollen, im Gegenteil: "Wir wurden unter Druck gesetzt." So habe edupression durchblicken lassen, dass man mit einem Rechtsanwalt in Kontakt stehe, ebenso seien die Aktivisten moralisch angegangen worden: Eine Veröffentlichung könne die psychisch kranken Nutzer belasten.

Auch edupression fühlt sich falsch dargestellt: Man habe nie gedroht, so Amann, sondern sich lediglich anwaltlich beraten lassen in Bezug auf die datenschutzrechtlichen Themen. Man wolle "ausdrücklich festhalten, dass uns das Patientenwohl das höchste Anliegen ist". Deshalb habe man die Betroffenen umgehend informiert.

"Auch wir kennen Betroffene von Depressionen persönlich", sagt pajowu, "genau deshalb kann ich mir nicht erklären, wieso man eine so unsichere App baut." Derart sensible Daten müssten zum Beispiel lokal gespeichert werden auf den Geräten der Nutzerinnen und sie sollten Ende-zu-Ende-verschlüsselt sein, lediglich einsehbar für die Betroffenen und ihre Therapeutinnen. Stattdessen seien die Anamnesebögen unverschlüsselt in der Cloud gespeichert gewesen, sodass Angreiferinnen diese mit wenigen Klicks gesammelt einsehen konnten. Das ist sicher nicht im Sinne des Patientenwohls.

...

Aus: "Wenn Hacker mit Gesundheits-Apps besonders leichtes Spiel haben" Eva Wolfangel (9. Mai 2023)
Quelle: https://www.zeit.de/digital/datenschutz/2023-05/gesundheitsapp-datenschutz-depression-edupression-sicherheitsluecke/komplettansicht

[Textaris(txt*bot)]

[...] Schwere Vorwürfe gegen einen Anbieter von Erbgut-Analysen erhebt die US-Handelsaufsicht FTC (Federal Trade Commission). Das Unternehmen 1Health.io (Vitagene) soll seine eigenen vertraglichen Verpflichtungen hinsichtlich Datensicherheit und Datenschutz nicht eingehalten haben. Sensible Gesundheitsdaten wurden öffentlich zugänglich in Cloudspeichern abgelegt und trotz mehrfacher Hinweise nicht gesichert. Und dann änderte die Firma ihre Datenschutzrichtlinien, um sensible Kundendaten an Supermärkte verkaufen zu können – ohne die Betroffenen zu informieren.

Seit 2015 hat Vitagene "DNA Health Test Kits" an Verbraucher verkauft. Die Kunden schickten eine Speichelprobe und einen ausgefüllten Fragebogen mit Gesundheitsinformationen zurück. Daraus erstellt das heute als 1Health.io agierende Unternehmen personalisierte "Health Reports" und eine Einschätzung der Abstammung. Die Preispalette reicht von 29 bis 259 Dollar, wobei Zusatzleistungen wie personalisierte Vitaminkombinationen oder Ernährungscoaching enthalten sein können.

Den Kunden versprach 1Health "bombensicheren" Datenschutz, über das branchenübliche Niveau hinaus. Zudem werde das Labor die Speichelproben vernichten – tatsächlich soll das Unternehmen gar nicht überprüft haben, ob das Labor da auch wirklich plant. Gespeicherte Gendaten würden nicht mit dem Namen des Kunden in Verbindung gebracht, hieß es – tatsächlich sollen sie mit den jeweiligen Vornamen gespeichert worden sein.

Schließlich sollten die Kunden ihre Daten auch jederzeit löschen lassen können. Weil die Firma aber kein Dateninventar geführt habe, sei es ihr gar nicht möglich gewesen, entsprechende Löschaufträge gründlich abzuarbeiten.

2016 landeten sensible Daten wie Gesundheitsberichte, Genvarianten und andere Gendaten bei Amazons AWS S3 – in einem öffentlich zugänglichen AWS-Speicher, unverschlüsselt, und ohne Überwachung oder Protokollierung von Zugriffen. Enthalten waren Gesundheitsberichte von mindestens 2.383 Kunden sowie Gendaten von mindestens 227 Kunden. Den Warnhinweis seitens AWS im Juli 2017 soll 1Health.io ebenso ignoriert haben, wie das Ergebnis eines Penetrationstests im November 2018, bei dem der ungeschützte Online-Speicher entdeckt wurde.

Selbst als eine externer Sicherheitsforscher im Juni 2019 Alarm schlug, soll 1Health.io das Problem nicht bereinigt haben. Erst als dieser Forscher an die Öffentlichkeit ging, nahm sich die Firma der Sache an. Mangels Monitoring des Speichers ist nicht feststellbar, ob oder von wo Unbefugte auf die Daten zugegriffen haben.

2020 hat 1Health.io dann noch eins draufgesetzt: Die Firma änderte einseitig ihre Datenschutzbestimmungen – ohne die Betroffen zu informieren. Die Gentest-Firma nahm sich damit heraus, die Kundendaten an Supermärkte, Hersteller von Nahrungsergänzungsmitteln und andere Dritte zu verkaufen. Zwar sah die ursprüngliche Datenschutzbestimmung einseitige Änderungen vor, doch sind solche Klauseln unter US-Recht illegal, sagt die FTC. Unfaire, einseitige Änderungen stellen demnach unlauteren Wettbewerb dar. Ebenso unlauterer Wettbewerb sei nicht wahrheitsgemäße Anpreisung von Datensicherheitsmaßnahmen.

Die FTC hat 1Health.io vor dem hauseigenen Verwaltungsgericht verklagt und sich auf einen Vergleich verständigt. Dabei bestätigt 1Health.io die Vorwürfe nicht, stellt sie aber auch nicht in Abrede. Der Vergleichsentwurf steht nun für vier Wochen zur öffentlichen Konsultation, danach wird die FTC entscheiden, ob sie den Vergleich so annimmt oder Änderungen verlangt.

1Health.io soll 75.000 US-Dollar zahlen, die die FTC für Rückerstattung an betroffene Verbraucher nutzen möchte. Außerdem muss das Unternehmen zahlreiche Verpflichtungen eingehen: Dazu gehören keine falschen Behauptungen, Datenpreisgabe nur nach ausdrücklicher Zustimmung Betroffener, tatsächliche Zerstörung der Speichelproben, Einrichtung eines Datensicherheitsprogramms samt unabhängiger Prüfungen und regelmäßige Berichte an die FTC.

Das FTC-Verfahren heißt In the Matter of 1Health.io also doing business as Vitagene, Az. 1923170. Die FTC betont, dass dieses Verfahren auch als Warnung an alle anderen US-Unternehmen diene, Datenschutzbestimmungen nicht einseitig zum Nachteil Betroffener zu ändern.

Gegenüber heise online gibt 1Health.io an, erst 2019 einen Hinweis auf die frei zugänglichen Kundendaten erhalten zu haben. Die Schuld trage ein Auftragnehmer, der 2016 die Vitagene-Software getestet hat. Dieser habe die Kundendaten bei Amazon S3 hochgeladen, entgegen den Sicherheitsrichtlinien. Es handle sich um 3754 Dateien von weniger als 3.000 Kunden. Beweise für unberechtigte Zugriffe auf die Kundendaten gäbe es keine, wobei die Firma zugibt, dass sie keine Zugriffslogs dafür hat.

Zu den übrigen Vorwürfen äußert sich die Firma nicht im Detail, sagt aber, dass sie "viele der Schlussfolgerungen der FTC nicht teilt". Vielmehr wirft 1Health.io der ermittelnden Behörde "außerordentlichen Missbrauch behördlicher Gewalt" vor: "This is a case of extraordinary government overreach", im Original. Bei zwei anderen US-Laboren habe es 2018 respektive 2019 viel größere Datenschutzverletzungen gegeben.

...

Aus: "Datenschutz-Vorwürfe an Gentest-Firma in den USA" Daniel AJ Sokolov (20.06.2023)
Quelle: https://www.heise.de/news/Datenschutz-Vorwuerfe-an-Gentest-Firma-in-den-USA-9193178.html

[Textaris(txt*bot)]

[...] Technologie zur Gesichtserkennung ist in China ein lukrativer Markt. Etwa 8000 Firmen sind in den vergangenen zehn Jahren gegründet worden. Der Kuchen war bislang ausreichend groß genug, um alle Wettbewerber zu versorgen. Drei Millionen öffentliche Aufträge waren im gleichen Zeitraum ausgeschrieben. Die Nachfrage wird in naher Zukunft weiter steigen. Chinas Überwachungsnetz wird immer enger, der Kontrollwahn der Partei immer größer.

Die Covid-19-Pandemie hat Peking konsequent dazu genutzt, immer schärfere Maßnahmen mit Verweis auf gesundheitspolitische Dringlichkeit zu rechtfertigen. Gesichtserkennung zählt zu den zentralen Elementen der staatlichen chinesischen Überwachung. Mit Hilfe Künstlicher Intelligenz (KI) wird sie immer ausgeklügelter und präziser.

Wie raffiniert die Software inzwischen ist, die chinesische Behörden zur Überwachung einsetzen, macht die Technologie ,,one person, one file" deutlich. Sie ist eine Weiterentwicklung herkömmlicher Software-Systeme und ist in der Lage, Personen mit einem Minimum an biometrischen Daten zu identifizieren und sie in Echtzeit mit anderen Datensätzen zu verknüpfen. Selbst Masken über Mund und Nase reichen nicht mehr aus, um sich der Identifikation durch die Technik zu entziehen.

Aber auch sie ist nur eine Komponente eines technologischen Ökosystems, das der autokratischen Regierung in Peking dabei helfen soll, ihre autoritäre Politik langfristig durchzusetzen. Peking behauptet, die Überwachung sei für die Verbrechensbekämpfung von entscheidender Bedeutung. Menschenrechtsorganisationen wie Human Rights Watch behaupten dagegen, das Land baue einen Überwachungsstaat auf, der tief in die Privatsphäre der Bürger eindringe und beispielsweise ethnische Gruppen wie die Uiguren engmaschig überwachen soll.

Big Data ist der Schlüssel. Nirgendwo sonst auf der Welt fallen so große Mengen an Daten und Informationen über Bürger in die Hände einer Regierung wie in China. Menschen werden zu komplett gläsernen Akteuren, deren Verhalten nicht nur in gewissem Umfang vorhergesagt, sondern auch manipuliert werden kann.

Das erinnert an Science Fiction, ist aber schon verblüffend real. ,,Durch Vorhersagen darüber, wie Personen auf Anreize reagieren könnten, können Autokraten die KI-Technologie zur Verhaltensmanipulation einsetzen", sagte David Yang von der Harvard Universität bei einer Podiumsdiskussion in Washington. Yang ist einer der Autoren der Studie AI-tocracy, die sich mit der Nutzung von KI durch autokratische Systeme beschäftigt.

Politischer Dissens, soziale Unruheherde oder die Entwicklung bürgerlicher Bewegungen sollen bereits im Frühstadium ermittelt und eliminiert werden. All das hilft einer Elite, ihr Machtmonopol über mehr als eine Milliarde Menschen zu verteidigen. Beispiel: Proteste. Kamerasysteme der Firma Dahua Technology namens ,,Jinn" sind jetzt in der Lage, die Behörden zu alarmieren, wenn eine Person beim Entrollen eines Transparents entdeckt wird. Seit Mai ist die Software verfügbar. Und sie trifft einen Nerv, nachdem es im Vorjahr einem Mann gelungen war, ein Banner an einer Pekinger Autobahnbrücke zu befestigt, auf dem er das Ende der Diktatur gefordert hatte.

Aus: "Wie Künstliche Intelligenz in China der Überwachung dient – und zum Exportschlager wird" Marcel Grzanna (13.08.2023)
Quelle: https://www.fr.de/politik/ki-kuenstliche-intelligenz-china-ueberwachung-manipulation-gesichtserkennung-uiguren-tbl-zr-92457977.html

zerberus

Wer Netzpolitik liest für den sind solche Zeitungsmeldungen keine Überraschung mehr. Derartige Entwicklungen im Bereich der Überwachung werden dort seit geraumer Zeit publiziert.

...

[Textaris(txt*bot)]

"Deepfakes in Spanien: Gefälschte Nacktbilder von Mädchen sorgen für Aufschrei" Chris Köver (22.09.2023)
In Spanien berichten zahlreiche Mädchen, dass KI-generierte Nacktfotos von ihnen in der Schule zirkulieren. Der Fall wird jetzt zum nationalen Skandal – weil die Mütter der Betroffenen sich organisiert haben, um gegen die verantwortlichen Mitschüler vorzugehen. ... Deepnudes werden solche Bilder genannt, eine Wortschöpfung aus Deepfake und dem englischen Wort für Nacktbild. Im Internet gibt es zahlreiche Seiten und Apps, mit denen sie sich kostenlos erstellen lassen. In eigens dafür eingerichteten Foren diskutieren Nutzer, wie man die besten Ergebnisse erzielt. Die Bilder sehen inzwischen oft täuschend echt aus. ,,Würde ich nicht den Körper meiner Tochter kennen", sagte auch Miriam Al Adib, ,,dieses Foto wirkte echt." ... Das Phänomen der gefälschten Nacktbilder ist nicht neu. Die dahinter stehende Technologie hat in den vergangenen Jahren allerdings rasante Sprünge gemacht. Brauchte man vor einigen Jahren noch viel Rechenleistung und einiges technisches Können, um glaubhafte Ergebnisse zu erzielen, bieten heute zahllose dubiose Anbieter im Netz ihre Dienste an – ein Klick und ein paar Euro genügen.
Seitdem betreffen sexualisierte Deepfakes nicht nur Schauspielerinnen und Politikerinnen, sondern auch ganz normale Privatpersonen. Eine Analyse aus dem Jahr 2019 kam damals schon zu dem Ergebnis, dass mehr als 95 Prozent der existierenden Deepfakes nicht-einvernehmliche Pornografie sei. Laut einer Studie aus Großbritannien, Australien und Neuseeland waren bei etwa jedem dritten Fall die Bilder digital manipuliert worden. ...
https://netzpolitik.org/2023/deepfakes-in-spanien-gefaelschte-nacktbilder-von-maedchen-sorgen-fuer-aufschrei/

Martin sagt:   
22. September 2023 um 15:50 Uhr   

Auf der anderen Seite erlaubt die Technologie jetzt ,,plausible deniability". Jede/r kann sich jetzt hinstellen und erst mal behaupten, da hat jemand Deepnudes erzeugen lassen.
Ich finde die Reaktion der Gesellschaft auf jeden Fall gut. Sich vor die Opfer stellen und ermutigen was zu sagen. Das wäre in sooooo viel mehr Gesellschaftlichen Bereichen notwendig.

...

[Textaris(txt*bot)]

[...] Viele Unternehmen nutzen Künstliche Intelligenz zur Auswertung von Kundengesprächen. Solche Software kann auch Emotionen erkennen, zeigen BR-Recherchen. ...

Es gibt einen Satz, den die meisten Menschen in Deutschland so oder so ähnlich von Telefon-Hotlines kennen: "Zur Prüfung und Verbesserung unserer Servicequalität, würden wir den Anruf gerne aufzeichnen."

Was viele Anruferinnen und Anrufer nicht wissen: Einzelne Callcenter werten mithilfe Künstlicher Intelligenz (KI) am Telefon ihre Emotionen aus - anhand der Stimme.

So verfügt einer der weltweit größten Callcenter-Betreiber, Teleperformance, über eine KI-Software, die unter anderem die Emotionen der Anrufenden und der Callcenter-Agentinnen und Agenten erkennen soll. Wie schnell sprechen sie? Klingen sie aufgeregt oder ängstlich? Drohen Kundinnen und Kunden mit Vertragskündigungen oder Klagen? Das alles soll die KI auswerten, wie interne Dokumente des Unternehmens belegen.

In Deutschland telefonieren knapp Zweitausend Agentinnen und Agenten für Teleperformance, unter anderem im Auftrag von Energieversorgern. Aus den Unterlagen geht hervor, dass Kundinnen und Kunden von Teleperformance die Software für ihre deutschsprachigen Hotlines nutzen können. Unklar ist, wie viele Gespräche das Unternehmen mit der KI-Software analysiert. Der Konzern wollte sich auf Anfrage des BR hierzu nicht äußern.

Das Callcenter-Unternehmen 11880 geht hingegen offen mit dem Einsatz von KI zur Emotionserkennung um. Zu den Auftraggebern von 11880 gehören Wohnungsbaugesellschaften, Autohäuser und Leihanbieter von Elektrorollern. Für sie bearbeitet das Unternehmen Kundenbeschwerden.

Dabei analysiert die KI in Echtzeit Sprachmelodie, Intensität, Rhythmus und Klang. Insgesamt würden mehr als 6.000 Parameter der Stimme analysiert, um daraus Emotionen zu errechnen, so Jörn Hausmann, Manager bei 11880. Die Software soll dadurch Gefühle wie Wut, Ärger, aber auch Freundlichkeit erkennen.

Hausmann betont, für die Agentinnen und Agenten sei die KI-Software zur Emotionsanalyse eine Unterstützung, ihr Einsatz durch den Betriebsrat genehmigt und von einem Datenschützer geprüft.

Während laufender Gespräche sehen die Callcenter-Agentinnen und Agenten auf ihrem Bildschirm Smileys, die die Stimmung der Unterhaltung anzeigen. Ein Smiley zeigt die Emotionen des Anrufers, ein weiteres die des Callcenter-Agenten. Auch dessen Emotionen werden ununterbrochen getrackt und ausgewertet. So soll sichergestellt werden, dass die Agentinnen und Agenten freundlich bleiben und die Kundinnen und Kunden im besten Fall zufriedener auflegen. Dieses Vorgehen ist nicht unumstritten.

In der Bandansage des Unternehmens ist nur von einer Auswertung "zur Prüfung und Verbesserung unserer Servicequalität" die Rede. Bandansagen dieser Art nennt Rechtsprofessorin Lena Rudkowski von der Universität Gießen "rechtlich problematisch", weil Anruferinnen und Anrufer nicht wissen könnten, wie das Gespräch ausgewertet werde. Emotionserkennung sei etwas, "womit der Kunde nicht rechnen muss".

Über Emotions-KI werden Anruferinnen und Anrufer nicht aufgeklärt, bestätigt 11880-Manager Jörn Hausmann. Eine Einwilligung zur Auswertung sei dafür nicht notwendig: "Hier wird nichts gespeichert und keine Kundenprofile daraus abgeleitet", sagt Hausmann. Das heißt: Selbst wenn Kundinnen und Kunden der Aufzeichnung widersprechen, werden Emotionen ausgewertet.

Der Rechtsprofessor Peter Wedde von der Frankfurt University of Applied Sciences hält Emotionsanalyse in Callcentern für rechtlich unzulässig. Von den eigenen Mitarbeitern dürften Arbeitgeber nur die Daten verarbeiten, die unbedingt notwendig seien, sagt Wedde. Die Analyse von Emotionen lasse "weitgehende Einblicke in die Persönlichkeit zu". Im weitesten Sinne handele es sich laut Wedde um Gesundheitsdaten, deren Verarbeitung extrem strengen Voraussetzungen unterliege.

Für Juristin Rudkowski von der Universität Gießen ist fraglich, ob im Falle einer ständigen Echtzeitanalyse, die Teamleiter einsehen könnten, nicht eine Totalüberwachung der Callcenter-Agenten vorliege. Arbeitgeber dürften ihre Arbeitnehmer "nicht lückenlos während der gesamten Arbeitszeit überwachen und sie unter erheblichen psychischen Anpassungsdruck setzen", betont Rudkowski.

Knapp 160.000 Menschen arbeiten in Deutschland in einem Callcenter. Wie viele Callcenter Künstliche Intelligenz zur Sprach- oder Emotionsanalyse verwenden, ist unklar. Branchenkenner schätzen, dass zwischen zehn und dreißig Prozent der Callcenter in Deutschland Telefonate mit KI auswerten.

Bislang fehlt in Deutschland eine gesetzliche Regulierung von künstlicher Intelligenz - auch am Arbeitsplatz. Die Bundesregierung arbeitet momentan an einem neuen Beschäftigtendatenschutzgesetz, das auch den Einsatz von KI betreffen soll, schreibt das Bundesarbeitsministerium auf BR-Anfrage.

Auf Ebene der EU soll der AI Act in Zukunft den Einsatz von Künstlicher Intelligenz grundlegend regeln. Im Juni beschloss das EU-Parlament mit großer Mehrheit seine Position zu dem Gesetzesentwurf. Die Parlamentsposition sieht vor, dass Emotionserkennung mittels Stimm-KI am Arbeitsplatz, im Bildungsbereich und zur Strafverfolgung verboten werden soll.

Sergey Lagodinsky, Abgeordneter für Bündnis 90/ Die Grünen im Europaparlament, nennt den Einsatz von KI zur Emotionserkennung "pseudowissenschaftlich". Im BR-Interview sagt Lagodinsky. "Jeder Mensch hat das Recht auf Innenleben und darauf, seine Emotionen nicht zu teilen."

Auch der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski bezeichnet den Einsatz von KI zur Emotionserkennung als "äußerst unerwünscht". Eine Ausnahme seien allerdings Gesundheits- und Forschungszwecke.

Einzelne Abgeordnete der konservativen Europäischen Volkspartei (EVP) rücken indes von strikten Verboten im AI Act ab. Angelika Niebler (CSU) sagte im BR-Interview, Emotionserkennung am Arbeitsplatz sei ein Thema, bei dem man "Chancen und Risiken sorgfältig abwägen" müsse.

Aktuell verhandeln Kommission, Rat und EU-Parlament noch über die endgültigen Inhalte des AI Acts. Die Verhandlungen sollen bis zum Ende dieses Jahres abgeschlossen sein.

Aus: " Umstrittener KI-Einsatz im Callcenter Der Algorithmus hört mit" Rebecca Ciesielski, Sammy Khamis, Simon Wörz, BR  (04.10.2023)
Quelle: https://www.tagesschau.de/investigativ/br-recherche/ki-callcenter-stimme-100.html

[Textaris(txt*bot)]

[...] Die USA erwarten von 2027 an für eine visafreie Einreise aus der EU "kontinuierliche und systematische Transfers" von Daten zu Fingerabdrücken und weiteren biometrischen Merkmalen. Ursprünglich wollte die US-Regierung eine solche "Partnerschaft für verstärkten Grenzschutz" über einen Deal für alle Mitgliedsstaaten auf einen Schlag durchsetzen. Die EU-Kommission hat nun aber durchblicken lassen, dass eine einschlägige transatlantische Arbeitsgruppe ihre Arbeit eingestellt hat. Die USA wollen ihre Forderungen demnach nun offenbar bilateral über Abkommen mit einzelnen EU-Ländern durchdrücken, wobei der Schutz der Privatsphäre der Bürger angesichts einer geringeren Verhandlungsmacht vor allem kleinerer Mitgliedsstaaten teils noch stärker unter die Räder kommen könnte.

https://www.heise.de/news/Visafreie-Einreise-USA-erwarten-systematische-Transfers-biometrischer-Daten-8991784.html

https://www.heise.de/news/Visafrei-gegen-Datenzugriffe-USA-verlangen-Zugriff-auf-Europas-Biometrie-Daten-7151539.html

Im Rahmen der verlangten "Enhanced Border Security Partnership" (EBSP) wären die Behörden in der Lage, "die Fingerabdrücke von Reisenden, die eine Einreise oder einen Einwanderungsstatus anstreben, mit ihren entsprechenden Straf-, Terror- und Identitätsregistern abzugleichen". Sie erhielten dann zahlreiche personenbezogene Daten, falls dabei ein Treffer erzielt würde. Eine solche Übereinkunft soll neue Bedingung für die Teilnahme am Visa Waiver Programm (VWP) werden. Im September monierten die EU-Abgeordneten Saskia Bricmont, Tineke Strik, Damien Carême und Patrick Breyer von der Grünen-Fraktion, dass das Vorhaben "viele Bedenken hinsichtlich der Grundrechte und des Datenschutzes geweckt hat". Zugleich beklagten sie einen "Mangel an Transparenz bei den Verhandlungen".

https://www.europarl.europa.eu/doceo/document/E-9-2023-002617_EN.html

Innenkommissarin Ylva Johansson teilte den um Auskunft bittenden Parlamentariern mittlerweile mit, dass die Brüsseler Regierungsinstitution im Rahmen ihres inzwischen verfolgten "pragmatischen Ansatzes" eine Machbarkeitsstudie in Betracht ziehe. Ein solcher Nachweis könne als Grundlage für eine künftige Diskussion darüber dienen, wie der Informationsaustausch zwischen der EU und den USA im Bereich des Grenzschutzes verbessert werden kann. Ein einschlägiger Test beinhalte aber keinen Austausch realer Daten. Zugleich erklärte die Schwedin, dass eine transatlantische EBSP-Arbeitsgruppe zweimal getagt habe, und zwar am 6. und 27. September 2022: "Derzeit sind keine weiteren Treffen geplant."

https://www.europarl.europa.eu/doceo/document/E-9-2023-002617-ASW_EN.html

https://www.statewatch.org/media/3861/eu-council-usa-border-security-partnerships-paper-8307-23.pdf

Für Chris Jones, den Direktor der britischen Bürgerrechtsorganisation Statewatch, steht aber außer Frage, dass die USA weiter "Zugriff auf die wachsende Palette biometrischer Datenbanken der EU" begehrten. Es sei daher wichtig, möglicherweise schon laufende Verhandlungen über bilaterale Übereinkünfte im Blick zu behalten. Bislang hinterfragten etwa die deutsche und die französische Regierung den Mehrwert der geforderten "Partnerschaft". Ein Punkt war dabei die mit dem VWP eigentlich gewährte "vollständige Gegenseitigkeit" des Datenzugangs. Denn schon Anfang des Jahres merkte die damalige schwedische EU-Ratspräsidentschaft an, dass es an einer solchen Reziprozität mangele. Dies deutet laut Statewatch daraufhin, "dass die USA mehr erhalten wollten, als sie bereit waren zu geben".

https://www.statewatch.org/news/2023/november/usa-seeks-bilateral-deals-for-access-to-european-criminal-terrorist-and-identity-records

https://www.heise.de/news/EU-Migrationskontrolle-Biometrie-Superdatenbank-verursacht-Milliardenkosten-6189788.html

https://netzpolitik.org/2023/alleingang-in-bruessel-eu-kommission-prueft-zugriff-auf-biometriedaten-durch-us-polizei

(tiw)

Aus: "Visafreiheit: USA wollen Zugriff auf EU-Biometriedaten bilateral durchsetzen" Stefan Krempl (19.11.2023)
Quelle: https://www.heise.de/news/Visafreiheit-USA-wollen-Zugriff-auf-EU-Biometriedaten-bilateral-durchsetzen-9533198.html

KritikMussSein, 19.11.2023 14:12

Sind das die gleichen biometrischen Daten ...

Sind das die gleichen biometrischen Daten, wie die, die wir zum entsperren unserer Geräte nutzen? Blöde Frage, ich weiß. :-)
Damit ist also jede biometrische Identifikation zum Entsperren von Konten ungeeignet. Muss man leider genau so konstatieren.

2023: Die KI ist auf dem Vormarsch. Die Menschen verlassen sich blind auf (inzwischen) unbeherrschbare Technik von Konzernen, deren oberstes Ziel die Gewinnmaximierung ist. Nach bald 100 Jahren IT-Entwicklung, koppeln wir unsere Zugangsdaten aller unserer Konten an ein Gerät (mittels FIDO) und sichern dieses mit weltweit verfügbaren biometrischen Daten ab. Die Mehrheit hat es so gewollt. Dann wird es wohl gut sein.

Kann man machen.

Ich mache mir erstmal nen Kaffee.

cooregan, 19.11.2023 11:36

Die unersättlicher Gier der STASI-Datenkraken ... im Jahre 11 nach Snowden.
Menschen(rechts)feinde bei der Arbeit. Verachtenswert.

gruß
cooregan

...

[Textaris(txt*bot)]

[...] Er wird auch als der größte Datendeal in der Geschichte des National Health Service (NHS) Englands beschrieben. Dort wurde ein Auftrag im Wert von 480 Millionen Pfund an das umstrittene US-Unternehmen Palantir vergeben, das für seine Überwachungssoftware bekannt ist. Doch genau dieses Unternehmen wurde, wie sich bereits abzeichnete, jetzt mit der Verwaltung von Daten des englischen Gesundheitswesens betraut. Dazu soll eine neue "Federated Data Platform" zum Einsatz kommen.

https://www.heise.de/news/Datenanalyse-Unternehmen-Palantir-wirft-ein-Auge-auf-Gesundheitswesen-in-Europa-9010023.html

Aufgrund von Palantirs Vergangenheit löst das bei vielen Menschen Bedenken wegen der Datensicherheit der Gesundheitsdaten aus. Palantir stand unter anderem in der Kritik, weil manche Regierungen mit der Software ihre Bürger ausspionieren. Zu den Partnern, mit denen Palantir den Aufbau und Betrieb der Datenplattform in Angriff nehmen soll, gehört unter anderem Accenture und PwC. Die Cloud-Plattform sollen AWS und Microsoft stellen, wie aus einer Pressemitteilung von Palantir hervorgeht.

https://blog.palantir.com/palantir-and-the-nhs-dd1362982fa9

Palantir ist unter anderem für seine enge Zusammenarbeit mit Geheimdiensten, Polizei sowie dem britischen Verteidigungsministerium und Militär bekannt. Darüber hinaus kommt die Software des Unternehmens auch in weiteren Sektoren wie Energie, dem Gesundheitswesen, Verkehr, Telekommunikation und Finanzen zum Einsatz.

Mit der geplanten Plattform sollen einzelne Gesundheitsdienstleister sowie 42 Versorgungssysteme des NHS digital miteinander kommunizieren und Daten austauschen, um die Versorgung zu verbessern. Ebenso sollen Echtzeitdaten über die Anzahl der Betten in Krankenhäusern, Wartelisten für geplante Behandlungen sowie Personalpläne für geplante Behandlungen im System zu finden sein, etwa um Operationen schneller durchführen zu können.

Vor der Vergabe hatte das Unternehmen bereits einen Auftrag für eine Plattform erhalten, die zunächst einen symbolischen Britischen Pfund kostete, und während der Coronakrise bei der Verwaltung von Gesundheitsdaten helfen sollte. Der Auftrag wurde laut dem britischen Medium Yorkshire Bylines "im Geheimen" vergeben. Heraus kam das erst, nachdem die Nachrichtenplattform Opendemocracy 2021 die Offenlegung des Vertrags erwirkt hatte, der zum damaligen Zeitpunkt 21 Millionen Pfund betrug. Später hatte Palantir weitere insgesamt rund 40 Millionen Pfund erhalten, unter anderem um die Daten in die neue Gesundheitsplattform zu übertragen.

"The NHS's half-billion-pound deal with Palantir: what you need to know" Tom Hegarty (21-11-2023)
US data giant Palantir awarded unprecedented contract to manage all UK medical recordsTom Hegarty
https://yorkshirebylines.co.uk/news/home-affairs/the-nhss-half-billion-pound-deal-with-palantir-what-you-need-to-know/

https://www.opendemocracy.net/en/ournhs/weve-won-our-lawsuit-over-matt-hancocks-23m-nhs-data-deal-with-palantir/

Die Entscheidung wurde von Bürgerrechtsgruppen aus verschiedenen Bereichen kritisiert, die ihr Unbehagen über Palantir und die Möglichkeit ausdrückten, dass Patientendaten in falsche Hände geraten. Aus Sicht von Amnesty International hätte der Auftrag gar nicht erst an Palantir vergeben werden dürfen. Schließlich sei das Unternehmen "an schweren Menschenrechtsverletzungen" beteiligt. Donald Trump, der bei seiner Wahl auch von Palantir-Gründer und Tech-Milliardär Peter Thiel unterstützt wurde, hatte Software des Unternehmens für "Investigative Case Management" zur Organisation der Deportation Millionen illegaler Einwanderer eingesetzt.

https://www.amnesty.org.uk/press-releases/uk-palantir-very-troubling-choice-nhs-contract-given-links-serious-human-rights

https://www.heise.de/news/Was-war-Was-wird-Vom-Ueberqueren-und-Ueberwachen-4499860.html

Palantir hätte aus dem Vergabeprozess ausgeschlossen werden müssen, sagt Peter Frankental von Amnesty International. Die Öffentlichkeit brauche "die Gewissheit, dass ihre persönlichen Daten von Palantir nicht für Zwecke gesammelt werden, die wenig mit ihrer Gesundheit zu tun haben", ergänzt Frankental.

Die British Medical Association beschrieb die Vergabe als "zutiefst besorgniserregend". Zuvor hatte die britische Ärzteorganisation verschiedene Kritik, unter anderem zum intransparenten Verfahren, an der sich anbahnenden Vergabe geäußert. Es drohe unter anderem ein Vertrauensverlust in die behandelnden Ärzte, wie das Fachblatt BMJ berichtet.

https://www.bmj.com/content/381/bmj.p1482

Laut dem NHS England könne Palantir nicht ohne ausdrückliche Zustimmung auf Gesundheits- und Pflegedaten zugreifen, berichtet The Guardian. Die neue Software werde durch den Einsatz von "Technologie zur Verbesserung der Privatsphäre" durch die "höchstmöglichen Sicherheitsstandards" geschützt, heißt es.

"Patient privacy fears as US spy tech firm Palantir wins £330m NHS contract" Denis Campbell Health policy editor (Tue 21 Nov 2023)
https://www.theguardian.com/society/2023/nov/21/patient-privacy-fears-us-spy-tech-firm-palantir-wins-nhs-contract

Ein massiver Kritikpunkt ist außerdem, dass Patienten keine Opt-out-Möglichkeit erhalten, also nicht widersprechen können, dass ihre Gesundheitsdaten in die Hände von Palantir und seinen Projekt-Partnern gelangen. Grund dafür sei, dass angeblich alle Daten anonymisiert würden. Dagegen könnte aber geklagt [werden], wie aus einem Bericht von Digitalhealth.net hervorgeht.

(mack)

Aus: "eHealth: Umstrittenes Unternehmen Palantir gewinnt größten Datendeal Englands​" Marie-Claire Koch (23.11.2023)
Quelle: https://www.heise.de/news/eHealth-Umstrittenes-Unternehmen-Palantir-gewinnt-groessten-Datendeal-Englands-9537039.html

[Textaris(txt*bot)]

[...] Bei dem in Estland ansässigen Genanalyse-Unternehmen "Asper Biogene" ist es zu einem Ransomware-Vorfall gekommen. Dabei wurden Personen- und Gesundheitsdaten von etwa 10.000 Personen aus der Datenbank gestohlen. Einige der Dateien enthalten Testergebnisse von Gentests, die von Gesundheitsdienstleistern und Einzelpersonen des Unternehmens angefordert wurden.

Insgesamt wurden rund 100.000 Datensätze kopiert und heruntergeladen. Nach Angaben des Generaldirektors der estnischen Datenschutzbehörde, Pille Lehis, sind von dem Vorfall mehr als vierzig Gesundheitsunternehmen betroffen, darunter auch welche, die Fruchtbarkeitstests anbieten.

Inzwischen wurde eine Sicherheitslücke im Server geschlossen. Ebenso wurde eine Untersuchung zur Beweissicherung eingeleitet. Die Datenschutzbehörde hat außerdem ein Verfahren gegen den auf Diagnose von Erbkrankheiten spezialisierten Datenverarbeiter eingeleitet.

Den illegalen Zugriff auf die Daten hatte Asper Biogene Mitte November bemerkt. Daraufhin hatte das Unternehmen unter anderem die Datenschutzbehörde und die Polizei informiert. Dafür, dass Asper Biogene die Betroffenen erst jetzt benachrichtigt, erntet das Unternehmen Kritik: "Leider zeigt der Vorfall, dass Bedrohungen im Cyberraum immer noch nicht ernst genommen werden", so Lehis. Die Folgen des Datenlecks hätten ihm zufolge "abgemildert werden können, wenn die Daten unternehmensintern verschlüsselt oder pseudonymisiert worden wären".

Verschiedene estnische Behörden schlagen inzwischen Alarm. So warnt unter anderem das estnische Justizministerium in einer Pressemitteilung vor Phishing-Mails: Sie "sollten äußerst aufmerksam sein, wenn sie eine E-Mail von jemandem erhalten, der die Ergebnisse ihrer genetischen Studie plausibel darstellt und nun um weitere Maßnahmen bittet", heißt es darin. Die Prozesse der Gesundheitsdienstleister, die für die Datenverarbeitung verantwortlich sind, sollen ebenfalls untersucht werden.

Aus: "Gendaten von 10.000 Esten geleakt" Marie-Claire Koch (18.12.2023)
Quelle: https://www.heise.de/news/Estland-10-000-Menschen-von-Gendaten-Leak-betroffen-9577868.html

crito

19.12.2023 13:45

Hintergrund zu genetischen Daten - nicht jeder "Verlust" ist gleich schlimm

Wie eine Genanalyse abläuft:
Zuerst wird die DNA extrahiert (Blut, Wangenabstrich etc). Dann wird der DNA Strang in kleine Stücke "zerhackt".
Einzelne Stücke werden "herausgefischt" und im Sequencer gelesen. Welche Stücke der DNA "herausgefischt" werden wird im Vorhinein durch ein "Kit" festgelegt.

Wenn es eine genaue Fragestellung gibt dann werden meist nur die genau benötigten Teile der DNA eingelesen. (siehe z.B. https://www.meduniwien.ac.at/hp/fileadmin/med-genetik/Eaddm.pdf).
Ein Verlust ist vergleichbar mit dem Verlust eines einzelnen Laborwert eines Blutbefundes.

Dann gibt es inzwischen vermehrt "whole exome" und "whole genome" sequencing. Da wird ein Großteil der DNA eingelesen. Dann wird ein "Software-Filter" benutzt um sich nur die benötigten Teile anzuschauen.
Vorteil: einmal sequenzieren und für verschiedene Fragestellungen benutzen.
Ein Verlust ist vergleichbar mit dem Verlust des gesamten Laborbefundes oder der Blutprobe.

Die im Artikel beschriebene "Pseudonymisierung" funktioniert bei whole exome/genome nicht. Man kann über Verwandtschaftsverhältnisse auch "anonyme" Gendaten mit bekannten Spendern vergleichen und mit einer hohen Treffsicherheit den Spender identifizieren (siehe https://www.ncbi.nlm.nih.gov/pmc/articles/PMC6549023/).

    PiWaHi

19.12.2023 19:31

10.000 Betroffene?

Nein, weit mehr.

Betroffen sind nicht nur die, von denen die Daten sind, sondern auch deren Eltern, Kinder und Verwandte. ...

...

[Textaris(txt*bot)]

[...] For almost a whole day last week, deepfake pornographic images of Taylor Swift rapidly spread through X. The social media platform, formerly Twitter, was so slow to react that one image racked up 47m views before it was taken down. It was largely Swift's fans who mobilised and mass-reported the images, and there was a sense of public anger, with even the White House calling it "alarming". X eventually removed the images and blocked searches to the pop star's name on Sunday evening.

For women who have been victims of the creation and sharing of nonconsensual deepfake pornography, the events of the past week will have been a horrible reminder of their own abuse, even if they may also hope that the spotlight will force legislators into action. But because the pictures were removed, Swift's experience is far from the norm. Most victims, even those who are famous, are less fortunate.

...

From: "Inside the Taylor Swift deepfake scandal: 'It's men telling a powerful woman to get back in her box'" Emine Saner (Wed 31 Jan 2024)
Source: https://www.theguardian.com/technology/2024/jan/31/inside-the-taylor-swift-deepfake-scandal-its-men-telling-a-powerful-woman-to-get-back-in-her-box

[Textaris(txt*bot)]

[..] Die Behörden in Hongkong haben einen ausgeklügelten Betrug mit Deepfakes aufgedeckt, bei dem ein Angestellter dazu gebracht wurde, 200 Millionen Hongkong-Dollar (umgerechnet etwa 23 Millionen Euro) an Betrüger zu überweisen, die sich als Führungskräfte des Unternehmens ausgaben, berichtet CNN [https://edition.cnn.com/2024/02/04/asia/deepfake-cfo-scam-hong-kong-intl-hnk/index.html].

Der Angestellte erhielt eine Nachricht über eine dringende, vertrauliche Transaktion, die angeblich vom Finanzchef seiner Firma in Großbritannien stammte. Obwohl er zunächst skeptisch war, verflüchtigten sich seine Zweifel nach einem Videoanruf, an dem scheinbar vertraute Kollegen teilnahmen.

Was der Angestellte nicht wusste: Die anderen Teilnehmer des Anrufs waren allesamt Deepfakes – KI-generierte Nachbildungen von echten Menschen. Im Glauben, die Gruppe sei echt, folgte er ihren Anweisungen und überwies den Betrag. Das Verbrechen wurde erst aufgedeckt, nachdem er sich später mit der Zentrale beriet, heißt es in dem Bericht.

Die Polizei in Hongkong meldete sechs Verhaftungen bei ähnlichen Betrügereien, bei denen 90 Kreditanträge gestellt und 54 Bankkonten mit gestohlenen Ausweisen eröffnet wurden. In mindestens 20 Fällen nutzten die Betrüger Deepfakes, um die Gesichtserkennung zu überlisten.

Gestohlene Ausweise wurden mithilfe künstlicher Intelligenz so verändert, dass sie die echten Besitzer vortäuschen. Das deutet darauf hin, dass Deepfakes professionell auf Bestellung erstellt und nicht einfach von bestehenden Medien kopiert werden.

Experten warnen laut CNN, dass Deepfakes immer schwieriger zu erkennen sein werden, je weiter die Technologie voranschreitet. Realistische, von der KI gefälschte Videos und Fotos von Prominenten haben sich im Internet bereits weit verbreitet.

...

Aus: "Deepfake eines Finanzchefs ermöglicht Millionenbetrug" (4. Februar 2024)
Quelle: https://www.golem.de/news/ki-deepfake-eines-finanzchefs-ermoeglicht-millionenbetrug-2402-181858.html

[Textaris(txt*bot)]

[...] Der Chaos Computer Club (CCC) hat eine Lücke bei dem Terminservice-Anbieter Dubidoc gefunden, hinter dem das Start-up Takuta GmbH steht. Inzwischen hat Takuta die Sicherheitslücke, über die ein Zugriff auf rund eine Million Datensätze von Patienten möglich war, geschlossen und "Maßnahmen getroffen, um eine Wiederholung eines solchen Vorfalls zu verhindern". Das teilte Daniel Strunk, Sprecher der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), heise online mit. Inzwischen hat das Unternehmen seine Kunden über das Datenleck informiert.

Laut Strunk gehören zu den öffentlich zugänglichen Daten E-Mail-Adressen, Passwörter, Telefonnummern, Vor- und Nachname, Geschlecht, Geburtsdatum, Angaben zu Verwandten und Termindaten. Bei dem Datenleck war der Profiler des PHP-Frameworks "Symfony" aktiv und Debug-Informationen sichtbar. Diese enthielten Benutzername und Passwort für die Datenbank. Ein aktiver Debugger in einer Live-Umgebung ist ein schwerwiegender Fehler.

Zusätzlich war die Datenbank noch über das Internet erreichbar. "Angeblich könne dieser freie Datenbank-Zugriff leider nicht eingeschränkt werden, weil die Applikation auf einem Managed Server bei einem 'renommierten Provider' gehostet ist, teilt das Unternehmen mit. Eine Ausrede, die – selbst wenn sie wahr wäre – selbstverständlich keine ist", kommentiert der CCC.

Unklar ist zudem noch, ob außer dem CCC noch weitere auf die Daten zugegriffen haben. "Es steht noch eine Stellungnahme aus zu der Frage, welche Maßnahmen ergriffen wurden, um zu prüfen, ob weitere Dritte Zugriff auf die Daten hatten", heißt es von Strunk.

Inzwischen hat sich Dubdioc-Gründerin Shabnam Fahimi-Weber zum Vorfall geäußert. Als Ärztin sei ihr der Schutz von Patientendaten sehr wichtig und sie bedauere den Vorfall sehr. Bislang gebe es "keine Hinweise auf unerlaubte Zugriffe auf die von uns verarbeiteten Daten". Zu getroffenen Maßnahmen zählen neben der angepassten Konfiguration des betroffenen Servers auch, dass "der direkte Zugriff auf die Datenbank, auch mit Zugangsdaten, aus dem Internet" nicht mehr möglich ist, heißt es in einer Stellungnahme. Ebenso sei es dem Start-up wichtig, künftig "Sicherheit in den Fokus unserer Softwareprodukte zu rücken".

Immer wieder weisen Start-ups im Gesundheitswesen Sicherheitslücken auf. Vor rund einem Jahr hatte ein Sicherheitsforscher – ebenfalls im Sinne des Responsible Disclosure –eine Sicherheitslücke bei einem Arztterminservice-Portal gemeldet. Allerdings wurde die Lücke erst Monate später und nach Anfragen von heise online geschlossen. Bei digitalen Gesundheitsanwendungen gibt es ebenfalls immer wieder Sicherheitslücken, beispielsweise bei Depressions-Apps [https://www.heise.de/news/DiGA-Hacker-offenbaren-Sicherheitsluecken-in-Depressions-App-8989065.html].

Aus: "CCC-Hack auf Dubidoc: Hersteller sehen keine Hinweise auf Datenabfluss" Marie-Claire Koch (16.02.2024)
Quelle: https://www.heise.de/news/Datenleck-bei-Dubidoc-Noch-unklar-ob-Dritte-bei-Terminservice-Daten-zulangten-9630770.html

https://www.ccc.de/de/updates/2024/dubidoc

"Wie ein Datenleck in einem Arzt-Terminservice monatelang offen bleiben konnte" (24.02.2023)
Das erfolgreiche Melden von Sicherheitslücken ist nicht immer so einfach. Ein Beispiel aus dem Umfeld von Arztpraxen zeigt, wo Stolpersteine liegen. ...
https://www.heise.de/hintergrund/Wie-ein-Datenleck-in-einem-Arzt-Terminservice-monatelang-offen-bleiben-konnte-7526518.html

[Textaris(txt*bot)]

[...] Ein deutscher Staatsbürger hatte bei der Stadt Wiesbaden einen neuen Personalausweis beantragt. Seit mehr als zwei Jahren ist dabei in Deutschland jeder verpflichtet, seine Fingerabdrücke abzugeben (§ 5 Abs. 5 und Abs. 9, § 9 Abs. 3 Personalausweisgesetz). Deutschland entspricht damit einer Verordnung der EU. Mit der Abgabe seiner Fingerabdrücke war der Mann aber nicht einverstanden. Ihm einen Personalausweis ohne Aufnahme seiner Fingerabdrücke auszustellen, verweigerte die Stadt Wiesbaden jedoch. Dagegen wehrte sich der Deutsche vor dem Verwaltungsgericht (VG) Wiesbaden.

Das VG war sich selbst nicht ganz sicher und legte den Fall nach Art. 267 Vertrag über die Arbeitsweise der Europäischen Union (AEUV) dem Gerichtshof der Europäischen Union (EuGH) vor. Der sollte insbesondere klären, ob die Verpflichtung zur Aufnahme und Speicherung von Fingerabdrücken in Personalausweisen gemäß Art. 3 Abs. 5 der Verordnung zur Erhöhung der Sicherheit der Personalausweise (Verordnung 2019/1157 vom 20. Juni 2019) gegen das Grundrecht auf Achtung des Privatlebens und auf Schutz personenbezogener Daten verstößt.

Das verneinte der EuGH am Donnerstag (Urt. v. 21.03.2024, Az. C-61/22). Die Verpflichtung zur Aufnahme von zwei Fingerabdrücken in Personalausweisen sei mit den Grundrechten auf Achtung des Privatlebens (Art. 7 EU-Grundrechtecharta (GRCh)) und auf Schutz personenbezogener Daten (Art. 8 GRCh) vereinbar.

Die Verpflichtung zur Abgabe der Fingerabdrücke stelle zwar eine Einschränkung der durch die GRCh garantierten Grundrechte dar. Diese Einschränkung sei jedoch durch die dem Gemeinwohl dienenden Zielsetzungen gerechtfertigt, so der EuGH. Die zusätzlich genommenen Fingerabdrücke sollten die Herstellung gefälschter Personalausweise und den Identitätsdiebstahl bekämpfen sowie die Interoperabilität der staatlichen Überprüfungssysteme etwa bei Reisen im EU-Inland gewährleisten, so der EuGH.

Davon profitierten die EU-Bürger sogar, findet der EuGH. Weil die Fingerabdrücke die Herstellung gefälschter Personalausweise und den Identitätsdiebstahl verhinderten, leiste die Verpflichtung zur Abgabe der Fingerabdrücke sogar einen Beitrag zum Schutz des Privatlebens der betroffenen Personen als auch im weiteren Sinne zur Bekämpfung von Kriminalität und Terrorismus, befand das Gericht. Außerdem könnten Unionsbürger sich dadurch auf zuverlässige Weise identifizieren, sodass die Verpflichtung zudem die Ausübung ihres Rechts auf Freizügigkeit und Aufenthalt in der Europäischen Union erleichtere.

Das luxemburgische Gericht war zudem überzeugt, die Aufnahme allein eines Gesichtsbilds sei ein weniger wirksames Identifizierungsmittel als die zusätzlich zu diesem Bild erfolgende Aufnahme von zwei Fingerabdrücken. Alterung, Lebensweise, Erkrankung oder ein chirurgischer Eingriff könnten nämlich die anatomischen Merkmale des Gesichts verändern.

Der EuGH erklärte die Verordnung, die die Pflicht zur Abgabe von Fingerabdrücken vorsieht, allerdings trotzdem für ungültig. Der Grund: Die in Rede stehende Verordnung (EU) 2019/1157 wurde auf die falsche Rechtsgrundlage gestützt und infolgedessen nach dem falschen, d. h. nach dem ordentlichen statt nach einem besonderen Gesetzgebungsverfahren erlassen. Das Europäische Parlament und der Rat hatten die Verordnung nämlich auf der Grundlage von Art. 21 Abs. 2 AEUV erlassen. Die richtige Rechtsgrundlage sei jedoch die spezifischere Bestimmung des Art. 77 Abs. 3 AEUV. Diese Bestimmung sieht ein besonderes Gesetzgebungsverfahren und insbesondere die Einstimmigkeit im Rat vor.

Die Ungültigerklärung der Verordnung mit sofortiger Wirkung könnte nach Auffassung des EuGH aber "schwerwiegende negative Folgen für eine erhebliche Zahl von Unionsbürgern und für ihre Sicherheit haben". Daher hält der Gerichtshof die Wirkungen der Verordnung bis zum Inkrafttreten einer neuen, auf die richtige Rechtsgrundlage gestützten Verordnung innerhalb einer angemessenen Frist, längstens bis zum 31. Dezember 2026, aufrecht.

Jetzt ist wieder das VG Wiesbaden an der Reihe und muss über den konkreten Fall entscheiden und dabei die Vorgaben des EuGH vom Donnerstag berücksichtigen.

cho/LTO-Redaktion

Aus: "EU-Bürger müssen Fingerabdrücke nehmen lassen" (21.03.2024)
Quelle: https://www.lto.de/recht/nachrichten/n/eugh-c6122-personalausweis-fingerabdruck-pflicht-rechtmaessig/

[Textaris(txt*bot)]

[...] Nach einem Ransomware-Angriff auf die schottische Gesundheitsbehörde "NHS Dumfries and Galloway" haben die Cyberkriminellen erste Daten veröffentlicht.

Wieder einmal gibt es einen ernst zu nehmenden Cybersicherheitsvorfall im Gesundheitssystem des Vereinigten Königreichs. Diesmal in Schottland beim National Health Service (NHS) Dumfries and Galloway, wie bereits Mitte März bekannt wurde. Jetzt sind erste Daten öffentlich. Zu diesen gehören unter anderem vertrauliche Informationen wie psychologische Gutachten aus den Patientenakten. Die Betroffenen werden derzeit über den Vorfall informiert.

Hinter dem Ransomware-Vorfall steckt vermutlich die relativ junge Gruppierung "INC Ransom". Die Bande veröffentlichte am 26. März einen Eintrag auf ihrer Leaksite mit der Drohung, "bald" drei Terabyte an gestohlenen Daten zu veröffentlichen.

Es seien lediglich Daten von einer "kleinen Anzahl an Patienten" veröffentlicht worden, schreibt das NHS Dumfries and Galloway. Potenzielle Betroffene sind neben Erpressung auch maßgeschneiderten Phishing-Attacken ausgesetzt. Es könne allerdings nicht ausgeschlossen werden, dass künftig weitere Daten "durchsickern".

Für alle, die im NHS Dumfries and Galloway registriert sind, haben die Verantwortlichen eine Informationsseite samt FAQ eingerichtet. Auf die Frage, ob die Patientendaten sicher sind, heißt es darin beispielsweise, dass der NHS "immer noch über die Originaldateien verfügt, die nicht geändert oder gelöscht wurden. Einige Informationen wurden kopiert und sind durchgesickert." Die Frage, ob Daten verloren gegangen sind, wird verneint: "Den Angreifern ist es gelungen, Daten aus unseren Systemen zu kopieren – aber die Originaldateien sind immer noch sicher und wurden nicht gelöscht oder verändert".

Die Versorgung sei zudem weiterhin gesichert. Behandlungstermine und ähnliches finden demnach weiterhin statt. Laut eigenen Angaben arbeitet die Gesundheitsbehörde weiterhin mit der schottischen Polizei, dem National Cyber Security Centre und der schottischen Regierung und anderen Behörden zusammen.

Aus: "Nach Cyberangriff auf schottische Gesundheitsbehörde erste Daten veröffentlicht" Marie-Claire Koch (31.03.2024)
Quelle: https://www.heise.de/news/Nach-Cyberangriff-auf-schottische-Gesundheitsbehoerde-erste-Daten-veroeffentlicht-9671652.html

[Textaris(txt*bot)]

[...] Nach 50 Jahren konnte die Polizei den Mord an einer Schwedin in Kalifornien aufklären. Der mutmaßliche Täter Michael Mullen wurde in Idaho festgenommen.

Ein jahrzehntealter Cold Case wurde in den USA offenbar geknackt: Aufgrund von DNA-Beweisen konnten die Ermittler Michael Eugene Mullen (75) als Verdächtigen im Zusammenhang mit dem Tod der Schwedin Nina «Nadine» Fischer im Jahr 1973 identifizieren. Dies teilt das Marin County Sheriff's Office mit. Mullen wurde am Mittwoch in der Nähe von Salmon im US-Bundesstaat Idaho verhaftet und wartet nun auf seine Auslieferung nach Kalifornien.

Fischer lebte mit ihrem Mann und ihrer kleinen Tochter in San Rafael, Kalifornien, als die 31-Jährige im November 1973 ermordet wurde, informierte das Büro des Sheriffs von Marin County in einer Medienmitteilung. Sowohl Fischer als auch ihr Ehemann waren schwedische Staatsangehörige und bereiteten sich darauf vor, wieder nach Schweden zu ziehen.

Fischers Ehemann fand ihre Leiche, als er von der Arbeit nach Hause kam. Sie war vergewaltigt und dreimal angeschossen worden. Ihr zweijähriges Kind wurde unverletzt in einem anderen Zimmer gefunden.

Die Strafverfolgungsbehörden befragten einige Zeugen, darunter Umzugshelfer und einen Gutachter, der am betreffenden Tag im Haus gewesen war. Jedoch ergaben die Ermittlungen keine Hinweise und der Fall blieb viele Jahre ungelöst, wie aus Zeitungsartikeln nach Fischers Tod hervorgeht.

Im Jahr 2021 übergab dann das Büro des Sheriffs von Marin County den Fall an das Familiensuchprogramm des kalifornischen Justizministeriums. Dieses vergleicht die DNA von Tatorten mit einer Erbmaterial-Datenbank, um Verwandte eines potenziellen Verdächtigen zu finden.

Nach mehreren Monaten ergab die DNA dann tatsächlich eine mögliche Spur, und nach drei weiteren Jahren der Untersuchung wurde Mullen als der Verdächtige identifiziert. Aktuell wird er im Gefängnis von Lemhi County in Idaho festgehalten.

Aus: "DNA-Spuren überführen 75-Jährigen in mysteriösem Mordfall" Reto Bollmann (21.08.2024)
Quelle: https://www.lessentiel.lu/de/story/usa-dna-spuren-ueberfuehren-75-jaehrigen-in-mysterioesem-mordfall-103171898

[Textaris(txt*bot)]

[...] Ambitionierte Ziele verfolgt der jüngst durch die Bundesregierung vorgelegte Gesetzentwurf zur "Verbesserung der Terrorismusbekämpfung", denn er soll nichts anderes schaffen als "moderne und sachgerechte polizeiliche Befugnisse" in einer zunehmend digitalen Welt.

Auf den ersten Blick wirkt es, als ob die Polizeibehörden bislang keinerlei digitale Ermittlungsbefugnisse hätten und nun durch dringend notwendige gesetzliche Änderungen endlich in die Lage versetzt würden, zeitgemäße Polizeiarbeit im 21. Jahrhundert zu betreiben. Nüchtern betrachtet handelt es sich jedoch lediglich um eine weitere Aufstockung digitaler Späh- und Überwachungsbefugnisse, die auf einem bereits seit dem 11. September 2001 und noch länger bestehenden Sediment rechtlicher Möglichkeiten zur digitalen Polizeiarbeit aufbaut.

Doch der jüngste Regierungsvorstoß (PDF: https://dserver.bundestag.de/btd/20/128/2012806.pdf) ist anders: Es geht nicht nur darum, die x-te sicherheitsbehördliche Datenbank zu schaffen, darüber zu sinnieren, ob man statt Quick Freeze nicht besser auch eine Vorratsdatenspeicherung machen sollte oder ob die Einsatzhürden für den Staatstrojaner zu hoch sind. Es geht stattdessen um die Einführung der bürgerrechtlich schlimmsten Überwachungsnovelle, über die wir in der Bundesrepublik je debattiert haben.

Der Gesetzentwurf ist lang und die Befugnisse kompliziert umschrieben, daher nur so viel: Was der Bundesregierung vorschwebt, ist die Schaffung einer umfassenden Befugnis für den biometrischen Abgleich von öffentlich zugänglichen Daten aus dem Internet mittels automatisierter technischer Verfahren wie KI-basierter Systeme. Wie das im Einzelnen genau funktionieren soll, darüber schweigt sich der Gesetzentwurf aus – klar jedenfalls aber ist, dass hier in einem einzelnen Überwachungsgesetz erstmals Vorfelderhebung, Massendatenauswertung, Datenbankzusammenführung und künstliche Intelligenz miteinander kombiniert werden – sprichwörtlich der sicherheitsbehördliche Daten-Supergau.

Wo wir beim Volkszählungsurteil und auch in der Europäischen Grundrechtecharta davon sprechen, dass die Erhebung von personenbezogenen Daten rechtfertigungsbedürftig ist und auf den konkreten Einzelfall beschränkt sein muss, wird dieser Grundsatz mit dem Gesetzesvorstoß in das genaue Gegenteil verkehrt.

Grundsätzlich sind erst einmal alle Bürger:innen, zu denen Gesichter und Stimmdaten im Internet verfügbar sind, der sicherheitsbehördliche Beifang – abgeglichen und aussortiert wird dann anlassbezogen. Und selbst bei dieser Anlassbezogenheit räumt man sich Befugnisse ein, die weit über Kapitaldelikte hinausgehen, indem Maßnahmen der prädiktiven Massenüberwachung auch zur Verfolgung von Wohnungseinbruchdiebstahl, Hehlerei, Sportwettbetrug, Urkundenfälschung und Bestechung herangezogen werden können.

Gegen einen solchen politischen Vorstoß nimmt sich selbst die Vorratsdatenspeicherung, über die wir seit nunmehr fast 20 Jahren streiten, wie ein Spaziergang aus. Man mag sich im direkten Vergleich sogar fragen, worüber man sich da echauffiert hat, wenn nun nicht nur anlassbezogen bloße Verkehrsdaten eines einzelnen Telekommunikationsanbieters ausgewertet werden dürfen, sondern unsere hochsensiblen biometrischen Daten massenhaft und anlasslos erhoben und ausgewertet werden dürfen.

Und das allergrößte Problem dabei vielleicht: Die Schwere der Beeinträchtigung unserer digitalen Grundrechte ist umso größer, je weiter die technische Entwicklung voranschreitet. Vielfach sind wir allein schon im gesellschaftlichen, beruflichen und wirtschaftlichen Leben dazu gezwungen, unsere persönlichen Daten in Social Media und im Internet mit anderen zu teilen. Eine Form der Überwachung also, der wir uns immer schwerer bis gar nicht mehr entziehen können.

Wenn wir also vom viel zitierten "gläsernen Bürger" sprechen, dann sicherlich mit diesem neuen Gesetzespaket. Die Bundesregierung weiß fatalerweise noch nicht einmal selbst, was sie mit den Maßnahmen genau bezwecken will. Im Entwurf wird scheinbar beliebig mit algorithmenbasierten KI-Worthülsen um sich geworfen, ohne überhaupt eine Technologie- oder Risikofolgenabschätzung vorzunehmen und neben Datenschutz und Datensicherheit auch ganz zentrale Fragen zu KI-Manipulation und Diskriminierung zu berücksichtigen.

Doch trotz all dieser Hiobsbotschaften für unsere digitalen Grundrechte gibt es zumindest noch eine gute Nachricht, denn das Gesetzespaket zur Terrorabwehr, das diese Maßnahmen umsetzt, wurde zumindest aktuell noch nicht verabschiedet. Mehr als genügend Grund also, jetzt zu informieren und zivilgesellschaftlich zu mobilisieren, damit es nicht so weit kommt – denn sollten diese Befugnisse zur biometriegestützten Internet-Massenüberwachung erst einmal umgesetzt sein, ist der Kampf um unsere digitale Privatsphäre für lange Zeit verloren.

Aus: "KI-Gesichtserkennung und Co.: Schlimmste Überwachungsnovelle aller Zeiten droht" Prof. Dennis-Kenji Kipker (24.09.2024)
Quelle: https://www.heise.de/meinung/KI-Gesichtserkennung-und-Co-Schlimmste-Ueberwachungsnovelle-aller-Zeiten-droht-9949880.html

https://www.heise.de/news/Solingen-Polizei-soll-Gesichts-und-Stimmerkennung-im-Netz-durchfuehren-9690314.html

https://www.heise.de/news/NRW-Datenschutzbeauftragte-Gayk-warnt-vor-Ueberwachungsstaat-9855450.html

https://www.heise.de/news/Datenanalyse-und-Strafverfolgung-Fairere-Verfahren-oder-riskante-Versuchung-9867256.html

Hinweis: Prof. Dennis-Kenji Kipker hat eine Analyse (PDF) zum "Entwurf eines Gesetzes zur Verbesserung der Terrorismussbekämpfung" verfasst.
https://intrapol.org/wp-content/uploads/2024/09/Dennis-Kenji-Kipker-Stellungnahme-BT-Drs-2012806.pdf

Madarander, 24.09.2024 13:45

Edward Snowden nun auch schon 11 Jahre her

Wenn man bedenkt was da so alles vor 11 Jahren aufgedeckt wurde:

https://de.wikipedia.org/wiki/Programme_und_Systeme_zur_Überwachung_(Globale_Überwachungs-_und_Spionageaffäre)

1 Boundless Informant - 2 Bullrun - 3 CNE - 4 CO-TRAVELER Analytics - 5 Dishfire - 6 FAIRVIEW - 7 Genie - 8 Mail Isolation Control and Tracking - 9 MUSCULAR - 10 OAKSTAR - 11 Optic Nerve - 12 PRESTON - 13 PRISM - 14 Quantumtheory - 15 Smurfs - 16 Squeaky Dolphin - 17 Tempora -18 XKeyScore

So ein bischen hatte man damals den Eindruck das die Leute wohl gegbalubt hätten nur weil Edward es verpetzt hat das die aus Scham ertappt worden zu sein das dann abgeschaltet hätten.

Ich glaube wenn heute mal wieder einer petzen würde dann würd so manchem deutlich werden das Ki jetzt nicht in erster Linie dazu dient um dem User per ChatGPT seine Fragen zu beantworten.

DOSenmann
25.09.2024 11:28

Ist das nicht das, was Palantir schon seit Jahren macht?

Und überdies so ziemlich jegliche AI-Bude? Die _alles_ was technisch zugänglich ist im Netz abgrasen um damit zu trainieren/Datenbanken aufzubauen, wo dann Bild und Klarname etc. verknüpft sind? Parsed Facebook nicht auch schon seit Jahren, um Leute auf Bildern wiederzufinden und zu verknüpfen?

Und dann wundern sich diese "Gutmenschen", wenn irgendwann jemand an die Macht kommt, der denen mal zeigt, "wie man sowas gleich richtig nutzt" und wie beschissen das wirklich ist.

Die Büchse der Pandora, offen sie ist. Hereinstecken all die Krankheiten wieder, ihr lernen noch müßt.
(Oder so ähnlich, frei nach Yoda.)

...
-

"Polizei und KI: Vom Iris-Scan bis zum automatischen Aufstandsmelder"
Ein Europol-Bericht zur polizeilichen Nutzung sogenannter KI gibt Einsichten in Gegenwart und Zukunft der Ermittlungsarbeit. Er zeigt, was europäische Polizeien können und was sie können wollen.
25.09.2024 um 08:21 Uhr - Martin Schwarzbeck - in Überwachung
https://netzpolitik.org/2024/polizei-und-ki-vom-iris-scan-bis-zum-automatischen-aufstandsmelder/

[Textaris(txt*bot)]

[...] Es sieht nicht gut aus für 23andMe – und das ist wahrscheinlich noch eine Untertreibung.
Noch vor wenigen Jahren wurde das Start-up aus den USA, das einst mit Genanalysen das Gesundheitswesen revolutionieren wollte, mit sechs Milliarden US-Dollar bewertet. Mit online bestellbaren DNA-Tests, die Rückschlüsse auf die eigene Abstammung oder Gesundheit liefern sollen, löste das Unternehmen einen Hype aus.

Heute werden die Aktien für so wenig Geld gehandelt, dass der Firma droht, aus der Nasdaq-Börse rauszufliegen. Und Marktbeobachter sagen: Die Firma könnte bald pleitegehen.
Diese Nachricht sorgt insbesondere in den USA für einigen Aufruhr, dort sitzen die meisten Kunden von 23andMe. 15 Millionen Menschen sind es insgesamt, die bei dem Unternehmen ihre DNA analysieren ließen. Was bedeutet: Hier strauchelt eine Firma, der diese Menschen die wohl sensibelsten Daten anvertraut haben, die es überhaupt geben kann: ihr Erbgut. Und es stellt sich die Frage, was mit genau diesen Daten als Nächstes passiert.
Erst im September musste die Firma eine Schadensersatzzahlung in Höhe von 30 Millionen Dollar akzeptieren, weil Kunden sie nach einem blamablen Datenleck verklagt hatten. Hacker hatten sich Zugriff auf die persönlichen Daten von Millionen Kundinnen und Kunden des Genanalysedienstes verschafft. Die Informationen von Betroffenen mit chinesischer und aschkenasisch-jüdischer Herkunft wurden im Darknet zum Verkauf angeboten. 23andMe soll sie darüber nicht angemessen informiert haben.

Parallel dazu schmiss auch noch der gesamte Vorstand hin – mit Ausnahme von Gründerin und Geschäftsführerin Anne Wojcicki. Die sagte erst, sie ziehe Übernahmeangebote in Betracht, nur um sich kurze Zeit später zu korrigieren: Sie wolle die Firma von der Börse nehmen.  So oder so dürften große Umbrüche bei 23andMe anstehen.
Für die Kundinnen und Kunden geht es um viel. Schon heute ist leicht vorstellbar, dass sich etwa Versicherer und Strafverfolger für ihre DNA-Daten interessieren. Vor deren Zugriffen schirmt 23andMe die Daten heute noch ab. Aber: Potenzielle Käufer der Firma könnten ganz neue Ideen haben, wie sich dieser Informationsschatz verwertet werden ließe. Und welche Risiken Einblicke in DNA-Informationen einer Person bedeuten können, wenn die Forschung ein, zwei Jahrzehnte weiter ist, lässt sich heute noch gar nicht abschätzen.

Besonders bedenklich ist das, weil Informationen über die eigenen Gene nicht irgendwelche Daten sind. Sie sind per se personenbezogen: Selbst wenn der Name nicht darübersteht, sind sie unabänderlich mit der eigenen Person verknüpft. Und anders als ein verschüttgegangenes Passwort oder die geklaute Kreditkarte kann man sie nicht einfach resetten oder ersetzen. Das eigene Erbgut ist unveränderlich.

Solche Gedanken waren in den späten Nullerjahren in den Augen vieler Schnickschnack für übellaunige Bedenkenträger.
Das Biotechunternehmen 23andMe zählte damals zu den coolen Kindern im Techblock. Anne Wojcicki, die damalige Frau des Google-Gründers Sergey Brin, hatte das Start-up im Jahr 2006 gemeinsam mit einigen Mitstreitern gegründet, wenige Jahre nachdem der Biochemiker Craig Venter das erste Mal das menschliche Genom entschlüsselt hatte. Die Hoffnung war damals gigantisch, mit mehr Wissen um unser Erbgut jede Menge gesundheitlicher Probleme ergründen und lösen zu können.

Genau in diese Aufregung hinein kam 23andMe und bot jedem, der ein bisschen Spucke und damals 1.000 US-Dollar übrig hatte, die Möglichkeit, seine Gene analysieren zu lassen. Interessierte wollten damit mehr über ihre genetische Herkunft, Krankheitsneigungen und andere genetische Merkmale erfahren.
Heute kostet ein Ahnencheck bei dem US-Unternehmen nur noch 60 Dollar. Eine Analyse, die zusätzlich noch gesundheitsbezogene Informationen bietet (etwa zur Wahrscheinlichkeit, im Laufe seines Lebens bestimmte Krankheiten zu entwickeln), kostet knapp 200 Dollar. Doch der Hype um Gentests hat sich inzwischen spürbar abgekühlt, auch weil längst klar ist: Die meisten Krankheiten lassen sich nicht auf ein einziges Gen zurückführen. Die DNA mancher Menschen mag Hinweise darauf enthalten, was sie krank macht oder machen könnte. Aber längst nicht jeder, der seine DNA analysieren ließ, bekam dadurch sonderlich interessante Einblicke.

Viele Kunden, die ihre DNA bei 23andMe vor fünf, zehn oder fünfzehn Jahren analysieren ließen, haben schon seit Ewigkeiten keinen Kontakt mehr zu der Firma, bei der ihre Daten schlummern.
Wobei schlummern in vielen Fällen gar nicht der richtige Ausdruck ist.
Mehr als 80 Prozent der 23andMe-Kunden haben laut Aussage des Unternehmens der Nutzung ihrer Informationen für die Forschung zugestimmt. Ihre Daten können damit für einen weiteren Geschäftszweig von 23andMe genutzt werden. Dieser besteht zum einen in hauseigener Forschung. 23andMe hat über die Jahre selbst mehr als 200 Studien zu verschiedenen Krankheiten wie etwa Parkinson veröffentlicht. Zum anderen verdient 23andMe aber auch Geld damit, die DNA-Daten weiterzuvermarkten. So hat die Firma vor einigen Jahren etwa ein Abkommen mit dem Pharmaunternehmen GSK (ehemals GlaxoSmithKline) geschlossen. Der Deal: GSK bekam für die Entwicklung neuer Behandlungsmethoden Zugriff auf den Datenpool aller 23andMe-Kunden, die der Datennutzung zu Forschungszwecken zugestimmt hatten. Im Gegenzug investierte GSK 300 Millionen US-Dollar in 23andMe. Auf ihrer Website listet 23andMe weitere Kooperationspartner auf, es sind Universitäten darunter, aber auch Unternehmen wie der Pharmakonzern Pfizer und die Beautysparte von Procter & Gamble.

Die Weitergabe der Daten an Dritte, sagt 23andMe, geschehe in anonymisierter und aggregierter Form. Doch Forscher sagen, auch solche Daten können in manchen Fällen wieder mit den Identitäten einzelner Personen in Verbindung gebracht werden.
Den ursprünglichen Plan, selbst Medikamente zu entwickeln, hat 23andMe im Sommer aus Geldnot eingestellt. Laut einem Bericht der Financial Times soll Firmenchefin Wojcicki gegenüber Investoren gesagt haben, man wolle sich stattdessen auf die Vermarktung der Datenbank an Pharmaunternehmen und Forscher konzentrieren.

Anlässlich der massiven finanziellen Schieflage des Unternehmens stellt sich aber auch darüber hinaus die Frage, wer in Zukunft noch Zugriff auf die Daten bekommen könnte.
Sonderlich gut geschützt sind die DNA-Informationen in den USA von gesetzlicher Seite nicht. Dort gibt es zwar ein Gesetz, das Standards für den Schutz sensibler Gesundheitsdaten aufstellt. Daran ist 23andMe aber, anders als zum Beispiel Arztpraxen, nicht gebunden. Es gibt eine weitere Regelung, die es US-Krankenversicherungen verbietet, Menschen aufgrund von Gentest-Ergebnissen abzulehnen oder ihnen höhere Beiträge aufzudrücken. Dies gilt aber nicht für andere Versicherungen wie etwa solche rund um Langzeitpflege oder Behinderungen.
Bleiben die Datenschutzbestimmungen von 23andMe. Die kennen einige Schutzmaßnahmen, schließen zum Beispiel die Weitergabe von Daten an Versicherer oder Arbeitgeber aus. Wühlt man aber darin tief genug, heißt es dort auch: Im Falle eines Konkurses, einer Fusion, einer Umstrukturierung oder einem Verkauf von Vermögenswerten "können Ihre persönlichen Daten als Teil dieser Transaktion abgerufen, verkauft oder übertragen werden". Bedeutet: Die Genomdaten könnten die Besitzerin wechseln.

Und: Nach einem Verkauf könnte eine neue Besitzerin ebendiese Datenschutzbestimmungen auch noch ändern und abschwächen.
All das ist bislang Spekulation. Derzeit sträubt sich Wojcicki noch gegen eine Übernahme von außen. Ein erstes Gebot ihrerseits, die Firma zu kaufen, hatte der Vorstand aber abgelehnt. Und so ist die Zukunft des Unternehmens mit dem reichen Datenschatz noch ungewiss.

Die US-Bürgerrechtsorganisation Electronic Frontier Foundation warnt davor, bei einem möglichen Verkauf eine Firma mit Verbindungen zu Strafverfolgungsbehörden in Betracht zu ziehen. Zusätzlich rief die Cybersicherheitschefin der NGO, Eva Galperin, Kundinnen und Kunden von 23andMe schon jetzt zum Handeln auf.  "Wenn ihr einen 23andMe-Account habt, ist heute ein guter Tag, sich einzuloggen und die Löschung der Daten zu beantragen", schrieb sie vor einigen Tagen auf der Plattform X.

Nun zeigt sich allerdings: Es scheint gar nicht so einfach zu sein, all seine Daten bei 23andMe vollständig löschen zu lassen. In ihrer Datenschutzerklärung teilt die Firma mit, auch im Falle einer Accountlöschung würden sowohl 23andMe als auch das Labor, das für die Firma die Speichelproben analysiert, "genetische Informationen, das Geburtsdatum und das Geschlecht" weiterhin speichern – gemäß diversen rechtlichen Verpflichtungen. Um welche genetischen Informationen es konkret geht, präzisierte 23andMe auf Rückfrage des US-Technologiemagazins Technologie Review nicht.
Hinzu kommt: Auch die Daten, deren Nutzung Kunden von 23andMe für frühere Studien zugestimmt hatten, lassen sich daraus nicht mehr zurückziehen.

In Deutschland dürfte von alledem ein überschaubarer Kreis von Menschen direkt betroffen sein.
Im deutschen Gendiagnostikgesetz gibt es klare Vorschriften für gesundheitsbezogene Genuntersuchungen. Diese dürfen hierzulande nur von einem Arzt durchgeführt werden. Darum kann man in Deutschland seit einigen Jahren offiziell nur noch DNA-Tests über das Internet ordern, die der Abstammungsanalyse dienen. Solche Pakete gibt es bei 23andMe eigentlich auch, auf seiner Website zählt Deutschland aber nicht zu den europäischen Ländern, in die die Firma ihre Kits versendet.

Doch 23andMe ist nicht die einzige Plattform, die diese Dienste im Netz anbietet. Weltweit sollen schon fast 50 Millionen Menschen ihre DNA über kommerzielle Anbieter haben analysieren lassen.
Konkurrenten von 23andMe wie etwa das US-Unternehmen AncestryDNA, das eine Niederlassung bei München unterhält, oder die israelische Firma MyHeritage bieten DNA-Analysen zur Herkunft und für die Verwandtenrecherche an.
MyHeritage distanziert sich in seinen Datenschutzbestimmungen einerseits klar vom Verkauf oder der Lizenzierung von genetischen und gesundheitsbezogenen Daten. Dort heißt es aber auch, man verwende mit Zustimmung der Nutzerinnen die Daten für die Forschung. Bei AncestryDNA sieht man das ganze Thema offenbar etwas lockerer: Dort findet sich im Privacy-Statement eine lange Liste, an welche Empfänger Daten, inklusive genetischer Informationen, weitergegeben werden könnten. Im Jahr 2018 ist das Unternehmen eine Kooperation mit Spotify eingegangen, durch die Kunden des Musikstreaminganbieters Songs angepasst an ihre DNA-Herkunftsdaten empfohlen bekamen.

Aus: "Ein riskantes Erbe" Meike Laaff (26. Oktober 2024)
Quelle: https://www.zeit.de/digital/2024-10/dna-datenbank-23andme-genanalyse-datenschutz

kbre1

Mir fehlt jegliches Mitleid für die Kunden. Wer mit seinen privatesten Daten so umgeht, dem ist nicht zu helfen.

FranzJosefMarx

Viele Menschen wissen ja gar nicht, warum die Leute 23andme verwenden. Für viele Amerikaner afrikanischer oder karibischer Abstammung ist eine Analyse ihres Genoms die einzige Möglichkeit, die Herkunft ihrer Vorfahren zu ermitteln, diese wurden ja z.T. schon als Kinder in die USA verschleppt, und auch in den USA wurden dann Kinder von ihren Eltern getrennt und irgendwohin verkauft oder verbracht. Wenn man das verstanden hat, kann man vielleicht ein gewisses Mitgefühl aufbringen. Die Menschen suchen nach Identität an einer Stelle, wo diese für Menschen mit weisser Hautfarbe völlig klar ist.

Hier eine Quelle: https://blog.23andme.com/articles/new-23andme-update-connects-many-african-american-customers-to-southern-roots (aus dem 23andme blog, aber insgesamt ist das schon gut dargestellt). Nicht dass man das falsch versteht: man hätte denen (und ähnlichen Services) die Daten nicht geben sollen, aber die Situation der Menschen ist halt unterschiedlich. Dass das nicht im Artikel steht, finde ich seltsam.

Und dann heisst es auch gerne, wer mit seinen Daten so umgehe, dem sei nicht zu helfen. Gleichzeitig wird bei uns die elektronische Patientenakte, eingeführt. In den USA wurde gerade das Pendant dazu gehackt, was die Gesundheitsdaten von 100 Millionen Amerikanern betrifft.

UnitedHealth says Change Healthcare hack affects over 100 million, the largest-ever US healthcare data breach
Zack Whittaker 1:55 PM PDT · October 24, 2024
https://techcrunch.com/2024/10/24/unitedhealth-change-healthcare-hacked-millions-health-records-ransomware/

Solange wir die Firmen nicht in Haftung nehmen für das Versagen ihrer IT, und die Softwarehersteller und Cloud-Service-Provider nicht für Sicherheitslücken geradestehen müssen, wird sich daran wohl nur wenig ändern. Denn das Sammeln von Daten wird erst aufhören, wenn man Konsequenzen zu befürchten hat.

GoldenShoes

Oder auch Kinder, die ihre leiblichen Eltern oder Verwandte suchen, bspw. bei einer Samenspende:

https://www.deutschlandfunk.de/kinder-von-samenspendern-das-gefuehl-in-der-falschen-100.html

https://www.swr.de/heimat/heilbronn/spenderkind-christiane-dollmann-sucht-ihren-leiblichen-vater-100.html

Frau. Huber

Ehrlich gesagt ist das auch für Leute mit weißer Hautfarbe nicht völlig klar. Es gibt beispielsweise einen Haufen Leute, deren Vorfahren in den Wirren der Balkankriege und während des Genozids an den Griechen durch die Jungtürken als Kinder "verloren" gingen oder während der Flucht die Identität gewechselt haben, um sich zu schützen.

Eine Unmenge an Türken hat Vorfahren, die im osmanischen Reich ihren europäischen Eltern als Kinder weg genommen und versklavt wurden.

Oder nehmen wir die Kinder von argentinischen Oppositionellen, die ihren Eltern weg genommen wurden.

...

[Textaris(txt*bot)]

[...] Anfangs sei die elektronische Patientenakte laut Gesundheitsminister Karl Lauterbach ein Steinbruch gewesen. Sie hatte wesentliche Mängel und Fehlanlagen, die späte Einführung sei jedoch ein Gewinn gewesen, weil auf diese Weise neue technische Möglichkeiten integriert werden könnten. Mit diesen Worten eröffnete Karl Lauterbach seine Keynote auf der Digital Health Conference des Bitkom. "20 Jahre ging die Digitalisierung des deutschen Gesundheitswesens nur schleppend voran. Nach einer erfolgreichen Aufholjagd kommt zum 15. Januar jetzt die elektronische Patientenakte für 70 Millionen Versicherte. Sie ist das Herz der Digitalisierung im Gesundheitswesen und wird die Behandlung von Patienten dramatisch verbessern", verspricht der Bundesgesundheitsminister.

Derzeit müssten Röntgenbilder oder Arztbriefe in Umschlägen transportiert werden, unvollständige Befunde seien keine Ausnahme. Ein Arzt-Patienten-Gespräch dauere in der Regel vier bis sechs Minuten. Wenn dann die Befunde oder die Krankengeschichte nicht vorliegen, müssen Termine bei Spezialisten verschoben werden. Patienten haben Schwierigkeiten, Befunde in ihrer Sprache zusammenzufassen, so Lauterbach. Ohne klare Befundlage komme es jedoch zu Fehldiagnosen. Deutschland sei innerhalb von Europa das teuerste Gesundheitssystem, dennoch gebe es Qualitätsdefizite. "Wir haben mittlerweile zum ersten Mal eine Lebenserwartung, die unter dem EU-Durchschnitt liegt" so Lauterbach. Das liege "natürlich nicht nur an der mangelhaften Digitalisierung, es liegt auch an Mängeln, die wir in der Vorsorgemedizin haben, wir haben große Defizite in der Krankenhausversorgung, aber unser System, das müssen wir einfach festhalten, unser Gesundheitssystem ist sehr teuer und bestenfalls mittelmäßig".

Abhilfe schaffen sollen dabei drei große Reformblöcke, die Lauterbach angegangen ist: Die Digitalisierung, die Krankenhausversorgung und die Medizinforschung. In der Medizinforschung sei Deutschland vor mehr als zehn Jahren an der Weltspitze gewesen und dann immer weiter abgestiegen. Noch könne sich Deutschland unter den besten Zehn halten. In anderen Ländern sei man jedoch bei der Digitalisierung weiter. Die elektronische Patientenakte und das Forschungsdatenzentrum Gesundheit (FDZ Gesundheit) beim Bundesinstitut für Arzneimittel und Therapiesicherheit bezeichnete er als zwei Sonnen, "um die die anderen Planeten kreisen".

Künftig sollen alle Daten routinemäßig in die ePA fließen – Laborbefunde, Bildgebungsdaten, Krankenhausdaten, Arzneimitteldaten, Daten aus der Pflege und den digitalen Gesundheitsanwendungen. "Wenn Sie sich jetzt [...] einmal vor Augen führen, wie groß dieser Datenschatz ist. Wir haben pro Jahr eine Milliarde Arzt-Patient-Kontakte in den Praxen", so Lauterbach. Ohne die Widerspruchsmöglichkeit bei der ePA seien diese umfassenden Datenspenden nicht möglich. Tag für Tag wachse dieser Datenschatz beim FDZ Gesundheit, der auch um weitere Daten aus mehr als 400 medizinischen Registern und Genomdaten ergänzt werden soll.

Die Abrechnungsdaten der Krankenkassen liegen dort bereits, künftig werden alle Daten über eine pseudonymisierte Krankenversichertennummer verknüpft. Neben individuellen Therapieentscheidungen sollen auf diese Weise klinische Studien, epidemiologische Auswertungen und eine bessere Gesundheitspolitik möglich werden. "Was sehr wichtig ist, mit Künstlicher Intelligenz wird dieser Datensatz so nutzbar sein", sagte Lauterbach. Mit dem Datensatz sollen KI-Systeme trainiert werden, um eine eigene generative KI aufzubauen. Von Anfang an sei die Struktur bereits so aufgebaut, dass sie "KI-ready" ist. Der Minister sei dabei von Israel beraten worden. Datenschutz und Datennutzung wurden dafür "austariert".

"Zum Beispiel ist der Datensatz jetzt so aufgebaut, dass in dem Forschungsumfeld des Forschungsdatenzentrums 'confidential Computing' möglich ist, weil die Daten in diesem Umfeld [...] nicht mehr verschlüsselt sind", erklärt Lauterbach. Damit sollen Forscher nach erfolgreichem Antrag Zugriff auf die Daten erhalten, wobei der Forschungszweck entscheidend ist und nicht, wer den Forschungsantrag stellt. Dabei ist es Lauterbach zufolge so, "dass der Datensatz nie dieses sichere Umfeld verlässt". Forschern sei es möglich, den Datensatz auch mit KI zu nutzen, aber die Daten würden die vertrauenswürdige Ausführungsumgebung nicht verlassen.

Mit der ePA und dem FDZ sollen ab 2025 Daten vom Kind bis zum Greis gesammelt werden – repräsentativ für die gesamte Bevölkerung. Lauterbach bezeichnete die ePA als das größte Digitalprojekt, das es in Deutschland je gegeben hat, und als Sprunginnovation. Das Ziel ist, den "größten", "repräsentativsten" und "interessantesten" Gesundheitsdatensatz weltweit aufzubauen.

"Daher interessieren sich auch die Hersteller aller großen KI-Systeme für diesen Datensatz. Wir sind im Gespräch mit Meta, mit OpenAI, mit Google, alle sind daran interessiert, ihre Sprachmodelle für diesen Datensatz zu nutzen, beziehungsweise an diesem Datensatz zu arbeiten", so Lauterbach. Natürlich versuche man auch "deutsche Lösungen nach vorne zu bringen, das kann ich Ihnen versichern, aber ich kann Ihnen auch versichern, das Interesse an diesem Datensatz wird weltweit sehr groß sein".

Ebenso hofft Lauterbach auf KI bei der frühen Diagnose von Krankheiten. Zunehmend ist es möglich, "sehr frühe Stadien auch von Krebserkrankungen durch Fingerabdrücke, die im Prinzip in der Proteinstruktur des Blutes zu sehen sind, zu erkennen". Bei Zweitmeinungen solle mehr auf KI gesetzt werden, das würde das Gesundheitssystem entlasten. Statt den ganzen Körper mit Chemotherapie fluten zu müssen, wolle man mit neuen Methoden gezielter Vorgehen. Große Hoffnung setzt Lauterbach auch auf Methoden wie die Gentherapie oder die CAR-T-Zell-Therapie. Ebenso erwähnte er dabei erneut sein Paradebeispiel AlphaFold sowie EvolutionaryScales ESM3. In den nächsten Jahren würden "15 Millionen Babyboomer [...] aus dem Erwerbsleben ausscheiden und werden zunehmend nicht mehr Behandelnde sein, sondern Patienten." Eine bessere Medizin sei möglich, gleichzeitig bezeichnete Lauterbach die Medizin als fantastischen Wirtschaftszweig. "Jeder sieht ja, wie wir derzeit wirtschaftlich stagnieren, aber in den Bereichen Medizin, Digitalisierung, Mediziprodukte, Pharma ist das nicht der Fall, da haben wir überall Wachstum", freute sich Lauterbach.

Viel Lob erntete Lauterbach für seine Reformen vom Chef der Techniker Krankenkasse Jens Baas. Die Einführung des E-Rezepts unter Lauterbach habe bis auf "kleine Hakeleien" gut funktioniert. Der Minister habe viele Dinge vorangebracht, dennoch sei es wichtig, die Kosten im Auge zu behalten. In Bezug auf die Digitalisierung brauche man eine "grundsätzlich andere Herangehensweise oder Denkweise", ärgerte sich Baas.

Dabei verwies Baas auf eine Diskussion mit der Regierung, bei der die Idee aufkam, etwas an der Anzeige der Abrechnungsdaten in der elektronischen Patientenakte zu ändern: "Jetzt ist jemandem aufgefallen, es wäre ja ganz blöd, wenn man elektronische Patientenakten mit aktuellen Abrechnungsdaten" befüllt, "dass der Patient HIV-positiv ist". Geplant ist mit der ePA 3.0, dass sie automatisch mit Abrechnungsdaten befüllt wird, die jeder behandelnde Arzt automatisch sehen kann. Wenn man nicht möchte, dass der Arzt die Daten sieht, solle man ihn laut Baas komplett aus seiner ePA aussperren. "Das ist eine dumme Idee, aber hätte man machen können", so Baas. Er kritisierte, dass auf einmal "solche Diskussionen [...] aufkommen, dass irgendeine Interessengruppe auf einmal beschließt, da [...] könnte ein Datenthema sein, was vielleicht irgendwie dem Arzt ermöglicht, irgendetwas zu sehen, was er nicht sehen soll". Auf diese Weise komme man mit der Digitalisierung nicht voran. In Deutschland habe man das Mindset, alle mitnehmen zu wollen, "auch die ganzen Skeptiker".

Laut einer aktuellen Bitkom-Umfrage geht 7 von 10 Befragten die Digitalisierung im Gesundheitswesen zu langsam. Dabei haben 83 Prozent der Befragten den Eindruck, dass Ärzte gegenüber der Digitalisierung grundsätzlich aufgeschlossen sind. 77 Prozent der Befragten meinen, Deutschland hänge im internationalen Vergleich hinterher. "Mit dem Digitalgesetz und dem Gesundheitsdatennutzungsgesetz wurden in der verkürzten Legislaturperiode zwei bedeutende Projekte umgesetzt – die jahrelange Stagnation im Gesundheitswesen ist damit überwunden. Wenn Deutschland die Potenziale der Digitalisierung noch besser nutzt, wird unser Gesundheitssystem trotz aller Herausforderungen leistungsfähig und bezahlbar bleiben", lobt auch Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder den Gesundheitsminister.

(mack)

Aus: "Lauterbach zu Gesundheitsdaten: Google, Meta, und OpenAI melden Interesse an" Marie-Claire Koch (28.11.2024)
Quelle: https://www.heise.de/news/Lauterbach-zu-Gesundheitsdaten-Google-Meta-und-OpenAI-melden-Interesse-an-10179936.html

Ramses III, 28.11.2024 15:33

Ach so - es geht schon los...

Ich hätte gedacht, es gäbe noch eine Schamfrist, bevor die ePA Daten verhökert, verschenkt oder geklaut werden.
Ich hoffe nur dass man sich wenigstens an meinen Widerspruch zur ePA hält.

AdoMurx, 28.11.2024 18:04

Die Gesundheitsdaten von ~80 Mio Menschen,

wie lange wird es dauern, bis geleakte oder deanonymisierte Daten im Netz zu finden sind?

Ihr könnt tippen:
[ ] 2 Wochen
[ ] 1 Monat
[ ] 3 Monate
[ ] 6 Monate
[ ] gar nicht, nie

Der Gewinner erhält eine lebenslange Platin-Premium-Service-Privat-Versichertenkarte.

HumanCentipede, 28.11.2024 17:54

machen wir es doch so.....

Der "Datenschatz" ist Eigentum der betroffenen Menschen und darf nur mit Zustimmung und gebührender Bezahlung verarbeitet werden.
Es wird Zeit, diesen Datendieben Einhalt zu gebieten und die Daten jedes einzelnen Menschleins als Eigentum des Individuums anzuerkennen und ihm einen monetären Wert zuzuordnen.

Ein paar Milliarden weniger auf den Konten der armen Techmilliardäre tun denen auch nicht weh.

...

[Textaris(txt*bot)]

[...] Wie sicher ist die elektronische Patientenakte? Das ist gerade eine zentrale Frage für alle Menschen in Deutschland. Denn ab spätestens Februar 2025 bekommt jede Person, die einer Einrichtung nicht aktiv widerspricht, eine digitale Akte mit Diagnosen, Laborberichten, Röntgenbildern angelegt. Doch eine Recherche von ZEIT ONLINE zeigt: Es gibt Zweifel daran, wie gut das System wirklich vor digitalen Angriffen geschützt ist.

In einem aktuellen Sicherheitsgutachten [https://www.gematik.de/media/gematik/Medien/ePA_fuer_alle/Abschlussbericht_Sicherheitsanalyse_ePA_fuer_alle_Frauenhofer_SIT.pdf] der elektronischen Patientenakte, in Auftrag gegeben von der verantwortlichen Agentur Gematik und erstellt vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT), heißt es nämlich, dass das System nicht auf Angriffe ausländischer Regierungen getestet wurde. Diese seien "nicht relevant". Eine Formulierung, über die man sich wundern darf. Schließlich haben Geheimdienste aus vielen Ländern gezeigt, wie sehr sie sich für die Daten von Deutschen interessieren – von US-amerikanischen über chinesische bis hin zu russischen.
Nun mag sich manch einer denken: Ach, na ja, was soll ein Geheimdienst schon mit meinen Daten anfangen? Aber Gesundheitsdaten sind besonders sensible Daten. In der elektronischen Patientenakte kann Unfruchtbarkeit künftig genauso erfasst sein wie eine Depression – also Diagnosen, die man vielleicht nicht unbedingt mit der Öffentlichkeit teilen möchte. Und aus diesem Grund lässt sich mit solchen Informationen aus Sicht von Geheimdiensten viel anfangen: Man kann mehr über die Lebensgewohnheiten von Personen erfahren. Man kann solche Daten veröffentlichen, um beispielsweise Politikerinnen, Journalisten oder Menschen des öffentlichen Lebens zu diskreditieren. Man kann aber auch Menschen damit erpressen und versuchen, sie dazu zu bringen, Dinge zu tun, die sie eigentlich nicht tun wollen.

Klingt nach James Bond? Ist aber eine durchaus übliche Praxis im hybriden Krieg, wie ZEIT ONLINE von Geheimdienstexperten erfuhr. Warum also hat die Gematik darauf verzichtet, die Sicherheit der elektronischen Patientenakte auf genau diesen Punkt testen zu lassen?

Die elektronische Patientenakte – kurz ePA – soll für einen besseren Datenaustausch zwischen behandelnden Ärztinnen und Therapeuten sorgen. Es steht außer Frage, dass dies in der Regel für Patienten ebenso wie für das Gesundheitssystem von Vorteil ist. Für Patientinnen bedeutet das, dass sie nicht mehr jede Diagnose von irgendeinem Arzt hin zum nächsten schleppen müssen. Im Notfall kann es sogar lebensrettend sein, etwa wenn eine Ärztin in der Notaufnahme sieht, auf welche Medikamente jemand allergisch ist, und entsprechend ein anderes Mittel einsetzen kann.

Zur Wahrheit gehört aber auch, dass Daten im Netz nie hundertprozentig sicher sind. Eine Sicherheitslücke oder ein schlecht aufgesetzter Server reichen, und schon können auch Fremde auf sensible Informationen zugreifen. Genau deshalb prüft man Systeme üblicherweise auf alle möglichen Einfallstore, bevor man sie für die Öffentlichkeit freischaltet.

Verantwortlich dafür ist im Fall der elektronischen Patientenakte die Gematik, die Nationale Agentur für digitale Medizin. Der größte Gesellschafter ist das Bundesgesundheitsministerium. Die Gematik baut die sogenannte Telematikinfrastruktur, eine digitale Plattform, über die alle gesundheitlichen Anliegen zwischen Ärztinnen, Krankenhäusern, Psychotherapeuten und Patienten laufen sollen. Die elektronische Patientenakte ist eine Anwendung, die diese Infrastruktur verwendet, die Daten selbst sind bei zwei anderen Anbietern gespeichert.
Auf der Website der Gematik heißt es, das Bundesamt für Sicherheit in der Informationstechnik (BSI) lege "Vorgaben und Maßnahmen" für einzelne Komponenten der Telematikinfrastruktur fest. Und dass alle Dienste ein mehrstufiges Prüfverfahren durchlaufen müssten. Dazu zählen laut Website eine Sicherheitsevaluation beziehungsweise ein Gutachten.

Um die Sicherheit der elektronischen Patientenakte zu prüfen, hat die Gematik entsprechend ein Gutachten beim Fraunhofer SIT in Auftrag gegeben. Darin geht es auch um staatliche Akteure. Doch im Gutachten des Fraunhofer SIT wird zwar beschrieben, dass Regierungsorganisationen daran interessiert seien, "vertrauliche Informationen über Bürger zu sammeln, die Infrastruktur anderer Staaten anzugreifen oder nachrichtendienstliche Informationen zu gewinnen" und auch, dass diese über erhebliche Ressourcen sowie "hoch qualifiziertes Fachpersonal" verfügten und nicht wirtschaftlich motiviert seien. Aber dann folgt ein widersprüchlicher Satz: "In Bezug auf das ePA-System wurde nach Absprache mit der gematik festgelegt, dass Angriffe durch Regierungsorganisationen nicht relevant sind."

Dabei hat das Konzept der elektronischen Patientenakte mindestens zwei zentrale Säulen, die sie gerade für potente staatliche Angreifer vulnerabel macht: Das ist erstens die zentrale Datenspeicherung. Weil alle Daten an wenigen Punkten zusammenlaufen, lohnt es sich eher, viel Aufwand zu investieren – denn bei Erfolg hat man gleich Zugriff auf viele Informationen. Zwar sind die Daten verschlüsselt, aber wie die Erfahrung zeigt, ist nicht jede Verschlüsselung robust gegen alle Arten von Angreifern. Auch die Pseudonymisierung der Daten, wie sie bei der elektronischen Patientenakte bei Freigabe für Forschungszwecke vorgesehen ist, bringt nicht unbedingt etwas, weil Menschen einzigartig sind und schon wenige Datenpunkte reichen, um Diagnosen oder Laborberichte doch konkret einer Person zuzuordnen.
Zweitens könnten die weitgehenden Nutzungsrechte für das behandelnde Personal ein Problem sein: So hat nicht nur ein Arzt in einer Klinik beispielsweise Zugriff, sondern viele der dort Beschäftigten – und zwar für jeweils drei Monate. Möglicherweise reicht es für einen Geheimdienst, eine Krankenschwester zu überzeugen, regelmäßig Daten abzuziehen. Auch wenn Zugriffe protokolliert werden: Sind die Daten einmal weg, lassen sie sich nicht zurückholen.

Fragt man die Gematik, warum man staatliche Angriffe nicht prüfen ließ, dann bekommt man ein recht allgemeines Statement zurück: Die elektronische Patientenakte werde "mit höchsten und modernsten Sicherheitsstandards gebaut, die wir zusammen mit den obersten Sicherheits- und Datenschutzbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) entwickeln und abstimmen". Man schütze die Telematikinfrastruktur (TI) "mit einem mehrstufigen Sicherheitskonzept" und bereite sich "auf Angriffe aller Akteure vor". Dabei würden auch staatliche Stellen mit in Betracht gezogen. Die ePA schließe damit potenzielle Einfallstore, die durch die bisherige Nutzung anderer Kanäle entstünden.

Steven Arzt, Leiter der Abteilung Secure Software Engineering, der das Gutachten beim Fraunhofer SIT betreut hat, betont, dass die Sicherheit des Systems "grundsätzlich geprüft" wurde. Dabei würde jeweils abgeschätzt, welche Relevanz welche Art von Angreifern haben. "Der Auftraggeber kann, abhängig von seiner eigenen Aufgabendefinition, bestimmte Angreifer als nicht relevant markieren." So wie es die Gematik getan hat. "Dies wird in der weiteren Analyse berücksichtigt und entsprechend dokumentiert", sagt Arzt.
Das Bundesgesundheitsministerium als Gesellschafter der Gematik sagte auf Anfrage, dass es "grundsätzlich" gelte, "jegliche Angriffe gegen die Systeme der elektronischen Patientenakte für alle zu unterbinden". Der Urheber eines solchen Angriffs sei aus IT-Sicherheitssicht nicht relevant. "Die Grundarchitektur der ePA bietet einen umfangreichen Schutz gegen viele potenzielle und relevante Bedrohungen." Ein Sprecher ließ offen, ob "viele" auch mächtige Angreifer wie Staaten beinhaltet, und wollte Nachfragen nicht weiter kommentieren. Die Akte sei aber "nicht zuletzt unter Einbeziehung der obersten Sicherheits- und Datenschutzbehörden konzipiert" worden.

ZEIT ONLINE hat bei den besagten Behörden nachgefragt. Tatsächlich stößt die Ansicht der Gematik, laut der Angriffe ausländischer Regierungen nicht relevant seien, größtenteils auf Kritik.
Besonders bei sensiblen Daten wie jenen, die in der elektronischen Patientenakte gespeichert werden, sei "ein ganzheitlicher Sicherheitsansatz notwendig, der alle Bedrohungsakteure – einschließlich staatlicher Akteure – berücksichtigt", sagt eine BSI-Sprecherin auf Nachfrage. Das BSI ist die Aufsichtsbehörde für kritische Infrastrukturen im Gesundheitswesen und damit auch für die elektronische Patientenakte zuständig. Aus Sicht der Behörde sei der Schutz vor allen denkbaren Bedrohungen erforderlich, und es sei "nicht angebracht, potenzielle Angriffe ausländischer Regierungsorganisationen auszuschließen". Die elektronische Patientenakte enthalte hochsensible persönliche Daten, die besonders geschützt werden müssten.
Dies könne "im Rahmen der Gesamtbedrohungsanalyse mit sinnvollen Maßnahmen gegen andere Bedrohungen abgedeckt" sein. Möglicherweise wirkten also Schutzmaßnahmen gegen klassische "Hacker", wie sie im Verlauf des Gutachtens erörtert werden, auch gegen staatliche Akteure. Allerdings ergänzt die Sprecherin, "dass staatliche Organisationen über erhebliche Ressourcen und Expertise verfügen, um gezielt Informationen zu sammeln oder Infrastrukturen zu kompromittieren".

Das Bundesamt für Verfassungsschutz bestätigt auf Anfrage, dass fremde Nachrichtendienste "grundsätzlich auch ein Interesse an Daten deutscher Bürgerinnen und Bürger" hätten. "Cyberangriffe sind ein probates Mittel für fremde Nachrichtendienste, auch solche Daten zu erlangen", schreibt die Behörde. Solche Angriffe stellten "eine Bedrohung für die deutsche Politik, Wirtschaft, Wissenschaft sowie für kritische Infrastrukturen dar".
Die Behörde verweist in ihrer Antwort zudem auf den aktuellen Verfassungsschutzbericht 2023, in dem sie auf mehreren Seiten explizit vor den Aktivitäten des russischen Geheimdienstes warnt. Die Gefährdung müsse "als hoch eingestuft werden". Mit allen Mitteln spioniere der Geheimdienst in Deutschland – sowohl mit Cyberangriffen als auch mit klassischer Informationsgewinnung. Im Fokus stünden Angehörige diplomatischer Vertretungen und anderer Behörden oder Firmen, aber auch Wissenschaftlerinnen und Wissenschaftler oder Studierende. "Sofern die gewonnenen Informationen die Zielpersonen kompromittieren können, scheuen die Dienste auch vor aggressiven Anwerbungsversuchen nicht zurück", heißt es in dem Bericht. Gerade Deutschland sei auch aufgrund seiner Rolle in der Europäischen Union, der Nato und weiteren internationalen Organisationen für andere Staaten von besonderem Interesse und weiterhin ein zentrales Ziel von politischer Spionage.

Ein Sprecher der Bundesbeauftragten für den Datenschutz erklärt, dass die Bundesdatenschützerin nicht in das Gutachten eingebunden sei und "daher keine eigenen Kenntnisse darüber" habe, nach welchen Maßgaben der Gematik das Fraunhofer SIT seine Untersuchung durchgeführt habe. Die Aussage der Gematik, "dass Angriffe von Regierungsorganisationen nicht relevant sind", könne die BfDI daher nicht beurteilen.
Das Bundesverteidigungsministerium und der Bundesnachrichtendienst ließen Fragen von ZEIT ONLINE unbeantwortet.

Mitglieder des Parlamentarischen Kontrollgremiums, die den Bundesnachrichtendienst sowie den militärischen Abschirmdienst überprüfen und sich gut mit der üblichen Praxis von Geheimdiensten auskennen, lassen keine Zweifel daran, dass auch sie die Entscheidung der Gematik nicht nachvollziehen können.
"Selbstverständlich sind diese hochsensiblen Daten ein durchaus lohnendes Angriffsziel – auch und gerade für Organisationen, die im direkten Kontakt mit ausländischen Regierungen stehen", sagt Konstantin von Notz von den Grünen, Vorsitzender des Parlamentarischen Kontrollgremiums, dazu auf Anfrage von ZEIT ONLINE.
Die Aussage, dass in Bezug auf das ePA-System Angriffe durch Regierungsorganisationen als "nicht relevant" eingestuft werden, habe ihn gerade angesichts der Sensibilität der gespeicherten Daten "durchaus verblüfft". Gerade jetzt, wo es um die flächendeckende Einführung der elektronischen Patientenakte gehe, müsse die Sicherheit der Daten höchste Priorität haben. "Ist dies nicht der Fall, riskieren wir erfolgreiche Angriffe. Vertrauen wird dann nicht entstehen."

Auch sein Kollege im Parlamentarischen Kontrollgremium, der stellvertretende Vorsitzende und CDU-Abgeordnete Roderich Kiesewetter, zeigt sich erstaunt: Gerade für feindliche ausländische Regierungen sei es "im Rahmen hybrider Einflussnahme absolut relevant, an Gesundheitsdaten deutscher Bürger zu gelangen". Warum die Gematik die Relevanz möglicher Sicherheitsbedrohungen festlege und nicht die dafür zuständigen Nachrichtendienste oder Sicherheitsbehörden, halte er "für hoch fragwürdig".
"Im Rahmen transnationaler Repression lässt sich erkennen, dass relevante Personen häufig manipuliert und erpresst werden, indem Familienmitgliedern gedroht wird", sagt Kiesewetter. Geheimdienste ziehen sich dann nicht die Daten der Zielperson, sondern etwa des Ehemannes oder der Großmutter, und versuchen so beispielsweise eine verantwortliche Person im Bereich kritischer Infrastrukturen zu beeinflussen. 

Aus: "Elektronische Patientenakte: Geheimdienste? "Nicht relevant"" Eva Wolfangel (23. Dezember 2024)
Quelle: https://www.zeit.de/digital/datenschutz/2024-12/elektronische-patientenakte-it-sicherheit-datenschutz-geheimdienste

[Textaris(txt*bot)]

[...] Wenige Tage vor dem Start der elektronischen Patientenakte (ePA) für alle haben Experten verschiedene Angriffsszenarien auf das System demonstriert. Auf dem 38. Chaos Communication Congress (38C3) in Hamburg zeigten Bianca Kastl und Martin Tschirsich, dass es mit verhältnismäßig geringem Aufwand möglich ist, theoretisch Zugang zu sämtlichen freigeschalteten Patientenakten zu erhalten. Nach Einschätzung der beiden Sicherheitsforscher ist nicht zu erwarten, dass die gezeigten Lücken vor dem Start der Pilotphase am 15. Januar 2025 komplett beseitigt werden.

Rund 70 Millionen Versicherte der gesetzlichen Krankenkassen sollen künftig eine ePA erhalten. Wer dies nicht möchte, muss dem aktiv widersprechen (Opt-out-Lösung). Je nach Einstellung könnten bestimmte Leistungserbringer wie Ärzte oder Apotheken Zugriff auf die Daten erhalten. In der Regel autorisieren Patienten die Zugriffsrechte, wenn sie beispielsweise bei einem Arztbesuch ihre elektronische Gesundheitskarte (eGK) in das Lesegerät stecken.

Dass die sogenannte Telematik-Infrastruktur (TI) des Gesundheitswesens zahlreiche Sicherheitsprobleme aufweist, zeigte Tschirsich zusammen mit zwei weiteren Experten bereits 2019 auf dem 36C3 in Leipzig. Damals betrafen die Schwachstellen jedoch nur die freiwillige ePA. Mit der Umstellung auf die ePA für alle, auch ePA 3.0 genannt, sind nun die Daten von zig Millionen Versicherten gefährdet [https://www.golem.de/news/elektronische-patientenakte-zu-unsicher-um-gehackt-werden-zu-muessen-1912-145757.html].

Das komplexe System zwischen Patienten, Leistungserbringern, Krankenkassen, berufsständischen Organisationen wie Ärztekammern, IT-Dienstleistern und der halbstaatlichen Gematik ist laut Kastl und Tschirsich an verschiedenen Punkten angreifbar. Das betrifft zum einen den Zugang zu den Identifikationsnachweisen wie den Gesundheitskarten und den Praxisausweisen (SMC-B). Zum anderen lässt sich durch die fehlende Überprüfung von Sicherheitsmerkmalen der Zugang zu einer beliebigen Patientenakte herstellen. Ebenfalls zeigten die Forscher, wie sich die Praxis-IT einfach angreifen lässt oder sich auf dem Kleinanzeigenmarkt Zugangsgeräte beschaffen lassen.

Die wohl gravierendste Lücke besteht darin, wie der Zugriff auf die Patientenakte bei einem Leistungserbringer autorisiert wird. Dazu wird die Nummer der Gesundheitskarte, abgekürzt ICCSN, aus dem integrierten Chip ausgelesen. Allerdings erfolgt dabei keine kryptografische Überprüfung der Nummer, obwohl ein entsprechender Schlüssel dazu auf dem Chip hinterlegt ist. Die Nummern lassen sich jedoch einfach rekonstruieren, da sie nach einem bestimmten Schema aufgebaut sind. "Die ICCSN wird zum Versichertenstammdatendienst geschickt und zurück bekomme ich einen Prüfungsnachweis. Den Prüfungsnachweis schicke ich dann zum Aktenkonto, zur ePA, und bekomme dann die Daten", sagte Tschirsich.

Dieses Problem sei der Gematik schon seit 2016 bekannt gewesen und werde in den entsprechenden Spezifikationen erwähnt, sagte Kastl. So heißt es in dem entsprechenden Dokument (PDF: https://gemspec.gematik.de/downloads/gemSpec/gemSpec_eHealth-CardLink/gemSpec_eHealth-CardLink_V1.0.0.pdf): "Daher kann der Angreifer im Remote-Fall Karten während des Vorgangs tauschen, von der Karte gelesene Daten manipulieren oder selbst erzeugte Daten senden, die gar nicht von einer eGK gelesen wurden."

Dennoch war es Kastl zufolge weiterhin möglich, in der aktuellen Referenzumgebung die Sicherheitslücke auszunutzen. Zusammenfassend sagten die Forscher: "Der Angriff hat einen Aufwand von etwa 1 Monat, ist remote durchführbar und ermöglicht Vollzugriff auf alle ePAs." Voraussetzung dabei sei der Zugang zur TI über einen Praxisausweis. Zudem dürften die spezifischen Leistungserbringer von dem Patienten nicht ausgeschlossen worden sein.

Doch wann ist es mit einer Lösung des Problems zu rechnen?

Laut Tschirsich ist es "historisch gewachsen", dass beim Versichertenstammdatenmanagement eine nicht signierte ICCSN verwendet wird. Das sei eigentlich nur ein Nachweis darüber gewesen, dass die Stammdaten auf Aktualität geprüft worden seien. "Das sollte nie nachweisen, dass eine echte Gesundheitskarte vorlag", sagte Tschirsich. Für das Jahr 2026 sei ein Dienst geplant, "der das dann richtig machen soll".

Um die Lücken auszunutzen, müssten sich Hacker zunächst einen Zugang zur Gesundheits-TI verschaffen. Dazu zeigten Kastl und Tschirsich verschiedene Wege auf. Sehr einfach erschien die Möglichkeit, eine sogenannte SQL-Injection bei einem der Kartenherausgeberportale vorzunehmen. Über manipulierte SQL-Statements sei es möglich, sich die Praxisausweise "en masse" zu besorgen, erklärten die Experten.

Erleichtert wurde dies laut Tschirsich durch den Zugriff auf eine komplette Passwortdatenbank, in der die Passwörter nach dem veralteten und unsicheren MD5-Hashverfahren hinterlegt waren. Es sei durch entsprechende Anweisungen sogar möglich, komplett neue Mitglieder in die Datenbank einzutragen. Doch das sei nicht ausprobiert worden.

Der Angriff auf ein solches Herausgeberportal ließ sich innerhalb von einer Stunde per Internet durchführen. Damit erlangten Angreifer den Vollzugriff auf sämtliche für den Leistungserbringer freigegebenen ePAs, hieß es.

Doch das sei längst nicht die einzige Möglichkeit, sich einen Zugang zur Gesundheits-TI zu verschaffen. So nutzten Praxisverwaltungssysteme mitunter noch die Standardzugangsdaten und seien daher über das Internet angreifbar. Zudem seien gebrauchte TI-Konnektoren, die als Zugangsgeräte dienen, bisweilen bei Kleinanzeigen.de bestellbar. "Wir haben uns mal ein paar bestellt und haben dann auch ein paar SMCB frei Haus geliefert bekommen", sagte Tschirsich. Auch die PINs hätten teilweise dabei gelegen.

Zu guter Letzt gaben sich die beiden Forscher noch als IT-Dienstleister aus, die Arztpraxen Hilfe beim TI-Zugang anboten. Auch auf diese Weise sei es möglich gewesen, Zugang zur Telematik-Infrastruktur zu erlangen.

Laut Kastl kosten die aufgezeigten Probleme "in der Gesamtbetrachtung das Vertrauen in das digitale Gesundheitswesen". Es sei aber "am Ende unser aller Gesundheitswesen, unsere Digitalisierung des Gesundheitswesens. und eigentlich sollten wir Interesse daran haben, dass das entsprechend vertrauenswürdig und sicher ist, damit es eben auch genutzt wird".

Tschirsich wollte jedoch nicht allen Versicherten pauschal davon abraten, dem Anlegen der ePA zu widersprechen: "Grundsätzliche Empfehlungen sprechen wir eigentlich nicht aus, weil wir sagen, jeder hat einen unterschiedlichen Sicherheitsbedarf."

Aber wenn jemand sage, "ich möchte nicht, dass diese Daten in Hände von Familienangehörigen oder von Dritten gelangen, und mir ist ein Aufwand von 4 Stunden zu gering für einen Angreifer, dann würde ich sagen, erst mal Opt-out und schauen, ob sich das grundlegend mit der ePA 4 ändert".

Abschließend forderten Kastl und Tschirsich im Zusammenhang mit der Entwicklung der ePA eine "unabhängige und belastbare Bewertung von Sicherheitsrisiken". Zudem müssten die Risiken transparent gegenüber den Betroffenen kommuniziert werden. Ein anderer, offener Entwicklungsprozess sei erforderlich. "Denn wenn wir immer das Gleiche tun, kommt auch am Ende immer dasselbe raus. Und es ist irrwitzig zu erwarten, dass jetzt auf einmal ein sicheres Produkt kommt", mahnte Tschirsich.

Aus: "Elektronische Patientenakte: So lässt sich auf die ePAs aller Versicherten zugreifen"
38C3 Die angeblich sicherste ePA Europas lässt sich von vielen Seiten aus angreifen. Potenziell sind die Daten aller Versicherten gefährdet. Ein Bericht von Friedhelm Greis veröffentlicht am 27. Dezember 2024
Quelle: https://www.golem.de/news/elektronische-patientenakte-so-laesst-sich-auf-die-epa-aller-versicherten-zugreifen-2412-192003.html

Re: Jeder hat einen unterschiedlichen Sicherheitsbedarf
Autor: SokarDW 27.12.24 - 22:24

Freie Daten von freien Bürgern oder so ähnlich...

...

[Textaris(txt*bot)]

[...] Die ePA für alle ist da und mit ihr auch ein zentraler Ort für sensible Gesundheitsdaten, die Auskunft über den körperlichen, seelischen und geistigen Zustand des Patienten geben können. Nach dem Anschlag in Magdeburg sprach Carsten Linnemann (CDU) in einem Interview mit dem Deutschlandfunk davon, dass es "ein großes Defizit in Deutschland" sei, dass es keine "Raster" für psychisch kranke Gewalttäter geben würde. Neben Registern für Rechtsextreme und Islamisten bräuchte man auch ein Register für psychisch kranke Gewalttäter, forderte er.

Der frühere Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, warnt vor solchen Maßnahmen: "Die Möglichkeit eines polizeilichen Zugriffs auf die Daten von psychisch Kranken zwecks Schutzes vor Attentaten oder Amokläufen wäre ein gewaltiges Sicherheitsrisiko: Seelisch Kranke würden sich – aus Angst vor der Polizei – oft nicht mehr in die Behandlung begeben, mit der das Ausleben angestauter Aggression verhindert werden kann. Der Polizei fehlt die Expertise zu seelischen Krankheiten und auch das Wissen über die Hintergründe, um Anschläge zu verhindern. Geschwächt würde nicht nur das Vertrauen in Psychiater, sondern auch das Vertrauen in die Polizei."

"Psychisch erkrankte Menschen sind im Allgemeinen nicht gefährlicher als psychisch 'Gesunde'," betont Susanne Berwanger, Vizepräsidentin des Berufsverbands Deutscher Psychologinnen und Psychologen e.V. gegenüber heise online. Register oder die Auflockerung der Schweigepflicht würden dazu führen, dass Erkrankte einer Behandlung "kritischer gegenüberstehen könnten". Damit würde sich nicht nur die Chance auf Hilfe für den erkrankten Menschen, sondern auch die Chance auf die Verhinderung einer potenziellen Tat durch eine angemessene Behandlung und Stabilisierung reduzieren.

Forderungen, nach denen Polizei- und Strafverfolgungsbehörden auf Patientenunterlagen bei Ärzten sowie Psychotherapeuten zugreifen dürfen, lehnt die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) entschieden ab, teilt ihr Pressesprecher auf Anfrage von heise online mit.

"Der Schutz des Vertrauensverhältnisses zwischen Patientinnen und Patienten zu den Angehörigen der Heilberufe gehört zu den elementaren Grund- und Menschenrechten," betont die BfDI. Das sieht auch das Bundesverfassungsgericht so und hat in der Vergangenheit geurteilt: Angaben eines Arztes über Anamnese, Diagnose und therapeutische Maßnahmen und die Beurteilung des Gesundheitszustandes sind "höchstpersönliche Dinge" des Patienten und unterliegen dem Schutz des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 Grundgesetz. Dieses Recht schützt den Patienten grundsätzlich "vor der Erhebung und Weitergabe von Befunden über den Gesundheitszustand, die seelische Verfassung und den Charakter" gegenüber dem Zugriff der öffentlichen Gewalt.

1972 brachte es der damalige Bundesjustizminister Gerhard Jahn im Rahmen einer Verfassungsbeschwerde (BVerfGE 32, 373) auf den Punkt: "Das Zeugnisverweigerungsrecht des Arztes und das entsprechende Beschlagnahmeverbot dienten dem Interesse des Patienten am Schutz seiner Geheimsphäre und förderten dadurch die Bereitschaft des Einzelnen, sich ohne Furcht vor staatlicher Ausforschung in ärztliche Behandlung zu begeben".

Ärzte unterliegen der Schweigepflicht und gehören zu den Berufsgeheimnisträgern. Das ärztliche Unterlagen und Aufzeichnungen über Patienten nicht einfach beschlagnahmt werden können, wird in der Strafprozessordnung (StPO) in § 97 Beschlagnahmeverbote geregelt. Voraussetzung ist, dass sich zu beschlagnahmende Gegenstände "im Gewahrsam der zur Verweigerung des Zeugnisses Berechtigten" befinden.

Da sich die elektronische Gesundheitskarte nicht im Gewahrsam des Arztes, sondern im Gewahrsam des Patienten befindet, wurde der Paragraf mit dem Gesetz zur Modernisierung der gesetzlichen Krankenversicherung (GKV-Modernisierungsgesetz – GMG) geändert. In der Begründung wurde angeführt (PDF: https://dserver.bundestag.de/btd/15/015/1501525.pdf), dass "sich Gesundheitsdaten in der Regel im Gewahrsam zeugnisverweigerungsberechtigter Ärzte" befinden und damit dem Beschlagnahmeschutz unterliegen. "Mit der Einführung der elektronischen Gesundheitskarte werden Gesundheitsdaten in erheblichem Umfang auch in der Hand der Patienten sein. Die damit beabsichtigten Qualitätsverbesserungen im Gesundheitswesen dürfen nicht zu einer Verschlechterung der Rechtstellung der Patienten führen". Die Gesetzesänderung des § 97 StPO sollte den Schutz des Arzt-Patienten-Verhältnisses gewährleisten. Denn die Patienten "müssen darauf vertrauen können, dass die auf der Gesundheitskarte befindlichen Daten tatsächlich nur für den mit der Gesundheitskarte beabsichtigten Zweck, der Optimierung ihrer Behandlung, verwendet werden."

Was für die eGK schwarz auf weiß im Gesetz steht, gilt nicht für die ePA. Die taucht in § 97 StPO nicht auf, und auch sonst gibt es gibt bis heute keine ausdrückliche Regelung im Gesetz für den Schutz der ePA vor dem Zugriff von Strafverfolgungsbehörden.

Im Zuge des Gesetzgebungsprozesses für das Gesetz zum Schutz elektronischer Patientendaten in der Telematikinfrastruktur (Patientendaten-Schutz-Gesetz - PDSG) versuchte die Bundesärztekammer den § 97 StPO um die elektronische Patientenakte ergänzen zu lassen. Auch der damalige BfDI Ulrich Kelber befürwortete eine solch klarstellende Ergänzung des Gesetzestextes in seiner Stellungnahme (PDF: https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Stellungnahmen/2020/StgN_Patienten-Datenschutz-Gesetz.pdf). Der Vorschlag wurde jedoch nicht umgesetzt und der § 97 StPO blieb ohne ePA-Ergänzung.

Ob Polizei und Justiz Zugriffsmöglichkeiten auf die elektronische Patientenakte haben oder das Beschlagnahmeverbot nach 97 StPO greift, war für den damaligen BfDI im Jahr 2023 noch unklar. Im Jahr 2025 ist die neue BfDI davon überzeugt, dass es nach geltendem Recht ein "absolutes Beschlagnahmeverbot" für ärztliche Unterlagen gibt. Nach Ansicht der BfDI haben nicht nur "die Angehörigen der Gesundheitsberufe ein Zeugnisverweigerungsrecht und zudem eine strafrechtlich abgesicherte Schweigepflicht. Auch die Angestellten in den Praxen fallen darunter, ebenso IT-Dienstleister, die die elektronischen Praxissysteme betreuen".

Das Beschlagnahmeverbot setzt voraus, dass sich die geschützten Unterlagen (mit Ausnahme der elektronischen Gesundheitskarte) im Gewahrsam des Zeugnisverweigerungsberechtigten (Arzt) befinden. Wenn nun aber die Krankenkasse und nicht der Arzt das Gewahrsam über die ePA hat und der Krankenkasse selbst auch kein Zeugnisverweigerungsrecht zusteht, was dann?

Die Bundesregierung ist davon überzeugt, dass es den Beschlagnahmeschutz auch für die elektronische Patientenakte gibt und sieht keinen Bedarf für eine gesonderte gesetzliche Regelung. Der Parlamentarische Staatssekretär Dr. Edgar Franke führte dazu in einer Antwort auf eine Frage von Anke Domscheit-Berg von den Linken am 20. Februar 2023 aus:

"Nach geltendem Recht besteht ein Beschlagnahmeverbot, wenn sich die Daten bei der behandelnden Ärztin oder dem behandelnden Arzt befinden und auch, wenn sich diese bei der aktenführenden Krankenkasse befinden. Die aktenführende Krankenkasse (§ 342 des Fünften Buches Sozialgesetzbuch – SGB V) sei im Rahmen der Führung der elektronischen Patientenakte eine "mitwirkende Person" nach § 53a Absatz 1 Satz 1 StPO und daher auch Zeugnisverweigerungsberechtigt. Außerdem würde das Beschlagnahmeverbot aus § 97 StGB nach § 11 Absatz 3 des Strafgesetzbuches (StGB) auch für Daten gelten, die von einem Zeugnisverweigungsberechtigten in die elektronische Patientenakte eingestellt werden".

Nach dieser Auffassung ist es also egal, ob Patientendaten analog in Karteikästen in der Praxis beim Arzt liegen oder elektronisch in einem von der Praxis getrennten Datenspeicher eines Dienstleisters. Die Frage, ob Krankenkassen als "mitwirkende Person" unter das Zeugnisverweigerungsrecht fallen, ist laut einem Bericht des Wissenschaftlichen Dienstes des Bundestages aus dem März 2023 in der Fachwelt aber strittig.

Der Patient sei Herr seiner Daten in der ePA, sagt das Bundesgesundheitsministerium. Es ist eine patientengeführte Akte. Und es ist gesetzliche Aufgabe der Krankenkassen, ihren Versicherten eine ePA zur Verfügung zu stellen. Der Arzt ist zwar verpflichtet, die ePA auf Wunsch des Patienten zu befüllen, die ePA ist aber nicht im Gewahrsam des Arztes – sie ist eine Zweitdokumentation und keine Primärdokumentation, die ein Arzt selbst verantwortlich führt. Ärzte sind nach §630 f BGB verpflichtet, ihre Patientenakte zu einer Behandlung in der Regel zehn Jahre lang aufzubewahren. Eine ePA, in der ein Patient als Herr über seine Gesundheitsdaten löschen kann, was er will, erfüllt diese Voraussetzungen nicht.

Die Krankenkassen seien in Bezug auf die ePA keine Dienstleister gegenüber den Leistungserbringern im Gesundheitswesen, sondern Dienstleister gegenüber den Versicherten, sagen Kritiker. Die Bereitstellung einer Infrastruktur für die Datenspeicherung habe keinen inneren, unmittelbaren Zusammenhang mit dem jeweiligen Behandlungsgeschehen. Folgt man dieser Argumentation, sind Krankenkassen und von ihnen beauftragte Dienstleister auch keine mitwirkenden Personen der Leistungserbringer und haben somit kein Zeugnisverweigerungsrecht.

Welche Auswirkungen das Fehlen der ePA im Gesetzestext bei den Beschlagnahmeverboten hat, bleibt zunächst offen. Denn bisher liegen dazu noch keine höchstrichterlichen Entscheidungen vor.

"Ärzt:innen und Psychotherapeut:innen sind verpflichtet, eine Ankündigung von Gewalt zu melden und zu verhindern" sagt Berwanger. Die ärztliche Schweigepflicht gilt nicht absolut. Wenn beispielsweise eine gegenwärtige Gefahr für die Gesundheit oder das Leben anderer Menschen besteht und die Gefahr durch das Offenbaren von schweigepflichtigen Informationen über den Patienten abgewendet werden könnte, liegt ein rechtfertigender Notstand vor. Ärzte können dann straflos gegen ihre Schweigepflicht verstoßen. Ärzte würden sich genauso wie andere Personen strafbar machen, wenn sie bestimmte geplante Straftaten nicht anzeigen, dazu gehören neben Tötungsdelikten unter anderem auch Straftaten gegen die persönliche Freiheit, Raub, Brandstiftung und andere gemeingefährliche Straftaten.

"Zur Abwehr von Gefahren haben die Behörden bereits eine breite Palette von Befugnissen. Bei psychisch erkrankten Gewalttätern oder bei einem entsprechenden Verdacht steht es den Ermittlungsbehörden frei, ein psychiatrisches Fachgutachten in Auftrag zu geben. Dieses unterliegt dann nicht dem geschützten Vertrauensverhältnis, weil es spezifisch von den Ermittlungsbehörden veranlasst wurde." teilt der Sprecher der BfDI mit. Personen können auch zur Gefahrenabwehr oder Strafverfolgung zwangsweise in einem psychiatrischen Krankenhaus untergebracht werden.

Ein Register für psychisch kranken Straftäter gibt es schon. Die Polizei kann unter bestimmten Voraussetzungen Personengebundene Hinweise (PHW) im Informationssystem Polizei (INPOL) zu Strafverfolgungs- und Präventionszwecken speichern. Ein solcher Hinweis auf eine "Psychische und Verhaltensstörung" kann nur gespeichert werden, "wenn ärztlich festgestellt ist, dass der Betroffene an einer psychischen Erkrankung leidet und daraus Gefahren für ihn selbst oder andere, insbesondere für Polizeibedienstete, resultieren können". Voraussetzung ist ein schriftliches ärztliches Attest oder Gutachten.

Der Täter von Magdeburg war verschiedenen Behörden in verschiedenen Bundesländern bereits vor dem Anschlag bekannt gewesen; der Spiegel berichtet aus einem vertraulichen Bericht des BKA, wonach 105 Vorgänge zu dem Täter aktenkundig gewesen waren. Er habe zwar "sehr viele Kontakte auch mit staatlichen Stellen" gehabt, "aber eben auch mit ganz vielen anderen Stellen und Personen im Clinch" gelegen, sagt Generalbundesanwalt Jens Rommel gegenüber den Justizreporter:innen des SWR.

"Die Chronologie ist erschreckend" stellt Sebastian Hartmann als Innenpolitischer Sprecher der SPD im Rahmen der Sitzung des Innenausschusses fest und fasst zusammen, dass es eine "eine lange Serie über viele Jahre" war, "von Gefährdungen, Bedrohungen, öffentlichen Erklärungen, Twittereinträgen, strafrechtlichen Verurteilungen, die dann sogar darin gipfelten, dass Flüchtlingsstatus trotzdem zugeteilt wurde. Dass eine Zulassung als Arzt erfolgte. Dass in einer Klinik gearbeitet wurde."

Der Innenpolitische Sprecher der CDU, Alexander Thom, fordert, dass die Sicherheitsbehörden die ihnen vorliegenden Daten "besser austauschen, besser analysieren, damit wir unsere Bevölkerung besser schützen können". Sebastian Hartmann stellt klar, im Fall des Täters von Magdeburg "haben viele der jetzt schon bekannten Details ausgereicht, dass Behörden hätten härter vorgehen können".

(mack)

Aus: "Wenn der Staat die elektronische Patientenakte lesen will" Imke Stock (20.01.2025)
Quelle: https://www.heise.de/hintergrund/Wenn-der-Staat-die-Patientenakte-lesen-will-10248249.html

https://www.heise.de/news/Lauterbach-zur-ePA-Patientenakte-macht-den-Patienten-zum-Herr-seiner-Daten-10243519.html

"Vertraulicher Bericht zum Magdeburg-Todesfahrer - 16 Seiten Sprengstoff"
Ein Bericht des BKA an den Bundestag zeigt: Behörden in mindestens sechs Bundesländern beschäftigten sich mit dem späteren Attentäter von Magdeburg. Ganze 105 Vorgänge zu ihm sind aktenkundig – gestoppt hat ihn niemand.
Von Tobias Großekemper, Sara Wess und Wolf Wiedmann-Schmidt (16.01.2025)
https://www.spiegel.de/panorama/justiz/magdeburg-vertraulicher-bericht-zum-todesfahrer-taleb-al-abdulmohsen-16-seiten-sprengstoff-a-9be3cbd1-b84b-40d3-ab66-cabdf9fc047e

Haben (Strafverfolgungs-)Behörden Zugriffsmöglichkeiten auf die elektronische Patientenakte (ePA)? – Die Antwort des Bundesdatenschutzbeauftragten: Das ist nicht ausgeschlossen!
Gesunde_daten/ Januar 21, 2023
https://ddrm.de/haben-strafverfolgungs-behoerden-zugriffsmoeglichkeiten-auf-die-elektronische-patientenakte-epa-die-antwort-des-bundesdatenschutzbeauftragten-das-ist-nicht-ausgeschlossen/

[Textaris(txt*bot)]

[...] In Dänemark erleben gerade 130.000 Menschen, dass es für die Vertraulichkeit ihrer Krankengeschichte keine Garantie gibt. Die schlimmsten Befürchtungen derer, die vor den Gefahren der allumfassenden Digitalisierung warnen, wurden nach einem Hackerangriff auf einen Praxiskonzern wahr. Wochen nach dem Datendiebstahl, mit dem die Angreifer offenbar Lösegeld erpressen wollten, finden sich sensible Informationen im Netz.

Betroffene fordern jetzt nicht die Rückkehr zur papiernen Patientenakte. Was sie empört ist, wie spät sie informiert wurden – erst knapp einen Monat nach dem Cyberangriff. Und da ging es zunächst ,,nur" um Daten wie Namen, Adressen und Personennummern. Dass nun Behandlungsprotokolle geleakt wurden, war der zweite, weitreichendere Schock. Der Konzern erklärte sein Vorgehen mit Rücksicht auf die laufenden Ermittlungen.

Aber wer mit derart sensiblen Daten um Lösegeld erpresst wird, sollte zuallererst einsehen, dass er tatsächlich erpressbar ist. Die Verantwortung für die ihm anvertrauten Informationen ist zu groß, um heimlich zu versuchen, irgendwie aus der Sache rauszukommen – und dabei die eigentlich Betroffenen in Unwissen zu lassen. Ob die jemals erfahren werden, inwieweit das Unternehmen sich am jetzigen Leak mitschuldig gemacht hat, dürfte als ungewiss gelten.

Was aber leider klar ist, darauf weisen auch Verbraucherschützer in Deutschland hin: Keine IT-Infrastruktur ist vollständig unverwundbar. Das Risiko eines folgenreichen Cyberangriffs lässt sich trotz der besten Vorkehrungen nicht komplett ausschließen. Es wird die ewige Aufgabe von datensammelnden Institutionen und Unternehmen bleiben, so nah wie möglich an eine hundertprozentige Sicherheit heranzukommen. Und sollte die Datenkatastrophe dennoch passieren, muss die Reaktion – anders als in Dänemark – entschlossen im Sinne der eigentlichen Opfer ausfallen.

Aus: "Transparenz bei Leaks" Aus einem Kommentar von Anne Diekhoff (22.1.2025)
Quelle: https://taz.de/Sicherheit-von-Gesundheitsdaten/!6060190/

[Textaris(txt*bot)]

[...] Erneut ist die Infrastruktur für die elektronische Patientenakte (ePA), die derzeit in Testregionen erprobt und ab Frühjahr bundesweit ausgerollt werden soll, Ziel eines Hackerangriffes geworden. Bei einem Cyberangriff Mitte Januar auf das Dienstleistungsunternehmen D-Trust, einem Anbieter für Signatur- und Zugangskarten, sind mehr Daten abgeflossen als bisher angenommen. Das gab das Unternehmen Mitte der Woche bekannt.

So sind möglicherweise auch Antragsdaten für Elektronische Heilberufsausweise (eHBA) und Praxis- bzw. Institutionsausweise (SMC-B) ausgelesen worden. Dies ist besonders brisant vor dem Hintergrund des bevorstehenden bundesweiten Rollouts der elektronischen Patientenakte (ePA). Denn beide Ausweise sind Voraussetzung, damit sich Personal in Arztpraxen und Krankenhäusern am gemeinsamen digitalen Kommunikationsnetz, der Telematikinfrastruktur (TI), anmelden können. Sie werden genutzt, um sich beim Zugang zur Telematikinfrastruktur zu authentifizieren, um Dokumente elektronisch zu signieren, für Laborüberweisungen und auch, um die – verschlüsselt gespeicherte – elektronische Patientenakte öffnen zu können.

Nach derzeitigem Ermittlungsstand wurde eine Schnittstelle des Antragsbearbeitungssystems gezielt manipuliert, um Antragsdaten auszulesen. Auf diesem Wege konnten Angreifer personenbezogene Daten wie Vor- und Nachname, E-Mail-Adresse, Geburtsdatum und zumindest teilweise auch Adress- und Ausweisdaten mitlesen, erklärt D-Trust.

Wie D-Trust weiter mitteilt, soll die Sicherheit der ausgegebenen Signatur- und Zugangskarten allerdings nicht beeinträchtigt sein. Auch PINs, Passwörter und Zahlungsdaten seien durch den Cyberangriff nicht betroffen, sagt das Unternehmen, welches zur Gruppe der Bundesdruckerei gehört.

Der Cybersicherheitsvorfall bei D-Trust geht wohl auf das Konto eines privaten Sicherheitsforschenden. Das gab das Unternehmen am Freitag auf seiner Webseite bekannt. Der Chaos Computer Club (CCC) habe D-Trust darüber informiert, dass der Zugriff auf das Auftragsportal für Signatur- und Zugangskarten von einem anonymen Sicherheitsforscher ausgeführt wurde.

Das Schreiben von CCC-Sprecher Linus Neumann an D-Trust liegt Tagesspiegel Background vor. Nach Angaben des CCC handele es sich bei dem Fall nicht um einen gezielten Angriff auf die IT-Systeme von D-Trust. Der anonyme Forscher habe an vier Tagen im Januar eine ungesicherte Schnittstelle (API) genutzt, um an die personenbezogenen Daten zu gelangen. ,,Der Sicherheitsforscher hat die von Ihnen verantwortete Sicherheitslücke unmittelbar anonym an uns gemeldet und die restlose Löschung der Daten versichert", schreibt Neumann in seiner Mail an das Tochterunternehmen der Bundesdruckerei.

Auf Anfrage erklärte eine Sprecherin der Bundesdruckerei am Freitag, man habe die Mitteilung des CCC an die zuständige Sicherheitsbehörde weitergeleitet. Das Unternehmen hatte nach Bekanntwerden des Vorfalls vor zwei Wochen Strafanzeige gegen Unbekannt gestellt. Ob diese Anzeige nun weiter Bestand habe, wollte die Sprecherin gegenüber Tagesspiegel Background nicht kommentieren.

In seiner E-Mail an D-Trust schreibt Neumann dazu, dass die Anzeige gegenstandslos sei. Schließlich habe der Forscher für das Auslesen der Daten keinerlei Zugriffsschutz umgehen müssen, die abgeflossenen Daten waren somit frei zugänglich. ,,Wir hoffen, dass Sie Ihre Energie nun darauf verwenden, Ihr Sicherheitsniveau an die gängigen Standards dieses Jahrhunderts anzuheben", heißt es weiter in der Mitteilung.

Sollte sich tatsächlich nur ein einzelner Sicherheitsforscher im IT-System von D-Trust umgesehen haben, kommt die Firma wohl mit dem Schrecken davon. Für das Unternehmen, das Sicherheitslösungen und Zugangskarten für den besonders sensiblen Bereich der elektronischen Gesundheitsdaten anbietet, dürfte der Vorgang ohnehin mehr als unangenehm sein.

Dass auch andere, kriminelle Hacker:innen die ungeschützte Schnittstelle bereits gefunden haben, ist durch das CCC-Schreiben nicht ausgeschlossen. ,,Wir können nicht sagen, ob noch andere diesen völlig ungeschützten Endpunkt gefunden und auf diesen zugegriffen haben. Wir wissen auch nicht, seit wann dieses Datenleck bestand", schreibt ein CCC-Sprecher auf Anfrage von Tagesspiegel Background.

Infolge des Angriffs auf den Sicherheitsdienstleister warnten zahlreiche Ärztekammern ihre Mitglieder, darunter die KV Bremen, die Ärztekammer Niedersachsen und die KV Hamburg. Man empfehle allen Ärztinnen und Ärzten, die über D-Trust einen eHBA beantragt haben, ,,besonders aufmerksam bei unerwarteten (Phishing) E-Mails oder Anrufen zu sein", schreibt etwa die Ärztekammer Nordrhein auf ihrer Informationsseite zum Vorfall.

In der ,,Deutschen Apotheker Zeitung" forderte die Interessengemeinschaft Medizin (IG Med) Bundesgesundheitsminister Karl Lauterbach (SPD) und die Gematik auf, den ePA-Rollout vor dem Hintergrund des Cybervorfalls bei D-Trust zu stoppen.

Die IG Med ist nach eigenen Angaben ein Zusammenschluss von niedergelassenen Ärzten. ,,Unsere wiederholten Warnungen wurden bislang ignoriert, und nun sind die befürchteten Risiken bittere Realität", sagte die IG-Med-Vorsitzende Ilka Enger. Die Kombination eines kompromittierten Heilberufsausweises mit einem gebrauchten Konnektor stelle ein ,,massives Einfallstor in die Telematik-Infrastruktur" dar, so die IG Med gegenüber der Zeitung.

Die ePA befindet sich derzeit in einigen Regionen in Deutschland im Testlauf, darunter Hamburg, Franken und Teile Nordrhein-Westfalens. Nach Abschluss der Pilotphase will das Bundesgesundheitsministerium im März oder April den bundesweiten Rollout starten.

Aus: "Elektronische Patientenakte erneut im Visier : Hacker greifen Anbieter von Arztausweisen an" Paul Dalg (24.01.2025)
Quelle: https://www.tagesspiegel.de/gesundheit/elektronische-patientenakte-erneut-im-visier-hacker-greifen-anbieter-von-arztausweisen-an-13078948.html

Tempelhof_fuer_alle
25.01.25 09:57

Es wurde auf dem CCC eindringlich auf die Sicherheitsmängel hingewiesen. Neuester Artikel hierzu:
https://www.ccc.de/de/updates/2025/epa-transparenz

[Textaris(txt*bot)]

[...] Ein massives Datenleck betrifft potenziell hunderttausende Patienten der ZAR-Reha-Kliniken in ganz Deutschland. Abrufbar waren unter anderem hochsensible medizinische Berichte. Die betroffenen Reha-Zentren stehen unter dem Dach der Nanz medico, nach eigenen Angaben der größte Anbieter ambulanter Reha-Leistungen in Deutschland. Insgesamt gehören dazu 39 Reha-Kliniken.

Die ZAR-Reha-Zentren bieten je nach Standort Therapiemöglichkeiten für Orthopädie, Neurologie, Kardiologie, Onkologie und Psychosomatik an. Zur Kommunikation zwischen Patient und Reha-Zentrum dient eine App namens ZAR PAT, mit der Patienten im Rahmen der Behandlung etwa Tages- und Wochenpläne komfortabel einsehen können. Allein die Android-Version der App wurde über 100.000 Mal heruntergeladen.

Der Komfort hatte jedoch ungewollt einen hohen Preis: Einem Nutzer der App fiel auf, dass sie unverschlüsselt mit dem Internet kommuniziert und seine Terminpläne im Klartext vom Server abgerufen hat. Dabei zählt der Einsatz einer Transportverschlüsselung (TLS) bei Apps seit vielen Jahren zum Standard und zu den rudimentären Sicherheitsmaßnahmen.

Hackerkenntnisse waren zur Einsicht der Daten nicht nötig, es reichte aus, an irgendeinem Punkt der Übertragung einen Blick auf die Verbindungen zu werfen, zum Beispiel mit der Analyse-App PCAPdroid direkt auf dem Smartphone. Auch Sicherheitsmaßnahmen mussten dafür nicht überwunden werden. Jeder Dritte hätte die ungeschützten Klartext-Verbindungen leicht einsehen können, beispielsweise der Internetprovider oder andere Nutzer in öffentlichen Netzwerken.

Doch das war erst der Anfang: Beim Aufruf der URL des Servers, von dem die App die Termine lud, in einem Webbrowser, wurden automatisch Informationen über weitere Pfade auf dem Server übertragen. Unter diesen Pfaden waren personenbezogene Daten ohne Zugangskontrolle abrufbar – weiterhin über eine ungeschützte Klartext-Verbindung.

Darunter befanden sich nicht nur persönliche Daten wie Vorname, Nachname und Geburtsdatum, sondern Informationen über in den Reha-Einrichtungen belegte Kurse sowie ausführliche medizinische Berichte, die im Rahmen der Therapie erfasst wurden, beispielsweise bei der Behandlung psychosomatischer Erkrankungen. Darin sind sensible Angaben über die Lebensumstände und die gesundheitliche Verfassung enthalten, wie aus diesem Befundbericht: "Rückblickend auf die psychotherapeutischen Einzelgespräche sei für sie das Zurückblicken in die Kindheit eher aufwühlend gewesen, sie habe viele Dinge erfolgreich verdrängt, die nun wieder hochgekommen seien".

Der Umfang des Datenlecks ist erheblich: Allein einer der Standorte hat augenscheinlich Daten von über 80.000 Patienten ausgeliefert. Die Daten reichen über viele Jahre zurück. Über welchen Zeitraum der Zugriff möglich war und wer auf die Daten zugegriffen hat, ist bislang unklar.

Das Sicherheitsproblem meldete unser Informant unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der unmittelbar involvierten Reha-Klinik, was sogar in seiner Krankenakte dokumentiert wurde. Das konnte er ironischerweise anhand des Datenlecks live nachvollziehen: "Patient rief mich soeben an und habe einen Datenschutzverstoß auf Basis der App: ZAR-PAT festgestellt. Er habe direkt eine Meldung an das BSI gemacht, erst dann mich informiert. Ich habe bereits unsere IT informiert".

Unser Hinweisgeber hat darüber hinaus weitere Sicherheitsprobleme festgestellt, aber von der umfassenden Zugriffsmöglichkeit auf die hochsensiblen Patententendaten ohne Zugriffsschutz oder Transportverschlüsselung ging mit Abstand das größte Risiko aus. In den falschen Händen könnten die Daten den Betroffenen erheblichen Schaden zufügen.

Die Klinik gab den wichtigen Hinweis offenbar an ihr Mutterunternehmen Nanz medico GmbH & Co. KG weiter, die daraufhin zumindest den Datenzugriff schnell unterbinden konnte. Seitdem werden die Daten transportverschlüsselt ausgeliefert und externe Zugriffe auf die sensiblen Informationen werden mit einer Fehlermeldung unterbunden.

heise online und c't haben die Nanz medico bereits am 22. Januar um eine Stellungnahme zu dem massiven Datenleck gebeten. Das Unternehmen erklärte daraufhin: "Mit Erlangung dieser Kenntnis wurde der IT-Dienstleister von uns umgehend mit der Prüfung beauftragt und angehalten, Lücken unverzüglich zu schließen. Diese wurden noch am gestrigen Nachmittag behoben, die Lücken geschlossen und die bestehenden Sicherheitseinstellungen ausgebaut." Hinweise auf Datenabflüsse oder Manipulationen lägen nicht vor, weitere Fragen unsererseits blieben unbeantwortet, etwa zur Anzahl der Betroffenen oder ob die zuständigen Datenschutzbehörden informiert wurden.

Bei dem Datenleck dürfte es sich nach den Vorgaben der DSGVO um einen meldepflichtigen Vorfall handeln. Die Verantwortlichen müssen gemäß Artikel 33 DSGVO binnen 72 Stunden die zuständige Aufsichtsbehörde über den Vorfall informieren. Kommt man zu dem Ergebnis, dass darin ein "hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen" liegt, müssen zudem alle Betroffenen informiert (Art. 34 DSGVO) werden. Kommt der Verantwortliche diesen Vorgaben nicht nach, drohen empfindliche Bußgelder.

Auch unsere zweite Anfrage, eine Woche nach dem Vorfall, beantwortete Nanz medico nur zum Teil: "Da die externen Sicherheitsexperten gerade sämtliche erforderlichen Prüfungen unter Berücksichtigung der einschlägigen rechtlichen und sicherheitstechnischen Standards durchführen, bitten wir um Verständnis, dass dies eine gewissenhafte und sorgfältige Vorgehensweise erfordert. Es bestehen weiterhin keine Hinweise auf Datenabflüsse oder Manipulationen." Unstreitig dürfte jedenfalls sein, dass Zugriffe durch Dritte auf die Daten erfolgt sind. Dies sollte auch anhand der Server-Logs unmittelbar ablesbar sein.

Weiterhin unbeantwortet blieben damit auch unsere Fragen, welche Standorte, wie viele Patienten und welche Daten nach Einschätzung des Unternehmens von dem Datenleck betroffen sind. Die zuständigen Landesdatenschützer scheinen ebenfalls nicht informiert worden zu sein, wie unsere Anfragen ergaben.

Aus: "Datenleck in Reha-Kliniken: Hunderttausende Patienten betroffen" Ronald Eikenberg, Marie-Claire Koch (30.01.2025)
Quelle: https://www.heise.de/news/Datenleck-in-Reha-Kliniken-Hunderttausende-Patienten-potenziell-betroffen-10262109.html

[Textaris(txt*bot)]

[...] "Vertrauen in die Digitalisierung stärken" – diese Mission steht ganz oben auf der Website des Unternehmens D-Trust. Leider passt das nicht zu dem Vorfall, mit dem die Tochterfirma der Bundesdruckerei aktuell von sich reden macht: Sie hat Hunderttausende Datensätze mit privaten Informationen von Ärztinnen und Ärzten offen ins Internet gestellt. Das jedenfalls wirft ihr ein anonymer Sicherheitsforscher vor, der Anfang Januar Zugriff auf Namen, Adressen, Geburtsdaten sowie Nummern von Ausweisdokumenten von Ärztinnen, Ärzten und medizinischem Personal gehabt haben soll. D-Trust spricht von einem "Angriff" und hat Anzeige gegen Unbekannt gestellt.

Besonders brisant: Bei den Daten handelte es sich auch um Antragsdaten für Praxisausweise. D-Trust stellt solche Ausweise für Ärzte aus, die sie benötigen, um sich für die Telematikinfrastruktur anzumelden. Das ist ein IT-System für den Gesundheitssektor, das die sensiblen Gesundheitsdaten von Patientinnen besonders gut schützen soll, und auf dem auch die elektronische Patientenakte (ePA) läuft. Die Ausweise sind Grundlage dafür, dass Ärztinnen und medizinisches Personal digital auf die Patientenakte zugreifen können.

Die elektronische Patientenakte ist eigentlich ein Prestigeprojekt der aktuellen Bundesregierung: 2025 soll im Gesundheitssektor endlich Alltag werden, was in anderen Bereichen längst üblich ist – dass man seine Dokumente digital mit sich trägt. Die elektronische Patientenakte ist eine Art digitaler Speicher für Befunde, Röntgenbilder und andere medizinische Daten. Sie soll Behandelnden in Praxen und Krankenhäusern die Arbeit erleichtern, indem sie schnell auf die Krankengeschichte einer Patientin zugreifen können und sich nicht durch einen Wust von Papier arbeiten müssen. Im Januar wurde die elektronische Patientenakte in einigen Modellregionen eingeführt. Sie sei "sicher", verkündeten die Verantwortlichen, allen voran Gesundheitsminister Karl Lauterbach, zum Start.

Daran aber gab es schon vor der Einführung Zweifel. Auf dem Chaos Communication Congress (CCC) zeigten zwei IT-Sicherheitsexperten im Dezember, wie sich Unbefugte Zugang zu den Gesundheitsdaten von Patienten verschaffen könnten. In der Theorie sind so alle elektronischen Patientenakten angreifbar. Die Sicherheitslücke war bis zum Start im Januar nicht behoben, wie ZEIT ONLINE belegen konnte. Die Verantwortlichen arbeiten noch immer daran, sie zu schließen.

Der erneute Vorfall bei D-Trust ist vermutlich nicht ganz so gefährlich. Denn die Daten, die bei D-Trust zugänglich waren, reichen allein vermutlich nicht aus, damit sich Unbefugte Zugang zum System hinter der elektronischen Patientenakte verschaffen könnten. Der Vorfall verdeutlicht aber, wie wackelig das Sicherheitsversprechen der Bundesregierung in Bezug auf die elektronische Patientenakte ist – und wie leichtfertig Unternehmen wie D-Trust Vertrauen verspielen.

https://www.zeit.de/digital/datenschutz/2024-12/elektronische-patientenakte-hacking-cybersecurity-sicherheit/komplettansicht

https://www.zeit.de/digital/2025-01/elektronische-patientenakte-datenschutz-cybersicherheit-hacker/komplettansicht

Dafür muss man einmal kurz zurückspulen und sich die Zeitleiste des aktuellen Datenlecks anschauen. Als die zwei Sicherheitsexperten am 27. Dezember 2024 verschiedene Sicherheitslücken im System der elektronischen Patientenakte vorführten, bezogen sie sich auch auf die Praxisausweise. Die beiden IT-Sicherheitsexperten konnten sich diese Karten relativ einfach erschleichen.

Diese Praxisausweise, auch SMC-B Karten genannt, spielen eine zentrale Rolle bei der Frage, wieso diese Sicherheitslücke nicht sofort geschlossen wurde: Weil die Verantwortlichen den beiden Sicherheitsforschern nicht glaubten, dass es möglich sei, dass Unbefugte sich diese Karten beschaffen. Deshalb blieb die Sicherheitslücke über Monate offen. Die Gematik, eine Tochterfirma des Bundes und verantwortlich für die ePA, erklärte gegenüber ZEIT ONLINE noch am 10. Januar 2025 in Bezug auf die Praxisausweise: Wichtig sei, "dass ein sicherer Herausgabeprozess die Karten bestmöglichst schützt." Im weiteren Verlauf der Recherche stellte sich heraus, dass die Gematik offenbar davon ausging, dass der Herausgabeprozess der Praxisausweise tatsächlich sicher sei.

Zu dieser Zeit bewegte sich der anonyme Hacker bereits seit einer Woche in den Netzen der D-Trust – also eines der größten Aussteller jener Praxisausweise. Der Sicherheitsforscher hatte am 3. Januar Zugriff auf eine Datenbank des Unternehmens bekommen. Darin befinden sich nach Informationen von ZEIT ONLINE rund 170.000 Datensätze, darunter Anträge für Praxisausweise und zugehörige Daten. Das heißt, während die Gematik noch behauptete, dass es möglich sei, den Herausgabeprozess sicher zu gestalten, hatte eine der zentral daran beteiligten Institutionen bereits ein großes Sicherheitsproblem.

D-Trust selbst bemerkte die unbefugten Zugriffe angeblich erst zehn Tage später, am 13. Januar. Das Unternehmen informierte die Öffentlichkeit nicht direkt. Das kann daran liegen, dass man die Sicherheitslücke erst schließen musste. Es war aus Unternehmenssicht allerdings auch ein denkbar ungünstiger Zeitpunkt, denn zwei Tage später sollte die elektronische Patientenakte an den Start gehen, an deren Sicherheit es zu dem Zeitpunkt ohnehin schon Zweifel gab.

Erst am 16. Januar informierte das Tochterunternehmen der Bundesdruckerei schließlich die Öffentlichkeit über den "Angriff" auf das Antragsportal für Signatur- und Siegelkarten – einen Tag, nachdem die ePA in Modellregionen offiziell verfügbar war. Betroffen seien "personenbezogene Daten von Antragstellern", heißt es in einer Mitteilung. PINs, Passwörter, Zahlungsinformationen sowie andere Systeme seien nicht betroffen. D-Trust habe "Sofortmaßnahmen ergriffen, um den Schutz der Daten im Portal sicherzustellen". Und das Unternehmen stellte eine Anzeige gegen Unbekannt.

Das wiederum stellte den unbekannten IT-Sicherheitsforscher offenbar vor ein Dilemma. In der IT-Sicherheit ist es üblich, dass man betroffene Organisationen über Schwachstellen und Datenlecks in ihren Systemen informiert, bevor man damit an die Öffentlichkeit geht. Damit gibt man den Betroffenen die Möglichkeit, die Probleme zu beheben. Responsible disclosure, grob übersetzt verantwortliches Handeln, heißt das in der Fachsprache. Doch durch die Anzeige hätte der anonyme Hacker mit rechtlichen Konsequenzen rechnen müssen, wenn er sich geoutet und D-Trust jetzt noch auf die Probleme hingewiesen hätte. Es ist unklar, warum sich der Sicherheitsforscher nicht früher bei D-Trust meldete. Womöglich wollte er sich erst einen Überblick über das Ausmaß des Datenlecks verschaffen, womöglich dauerte es auch, das Ausmaß der Sicherheitslücke, wie in Sicherheitskreisen üblich, zu dokumentieren.

Der Hacker jedenfalls wandte sich an den Chaos Computer Club. Am 23. Januar meldete sich dieser bei D-Trust: Ein anonymer Sicherheitsforscher und nicht Kriminelle hätten auf die Daten zugegriffen. Dieser hätte die Ergebnisse seiner Arbeit gerne der D-Trust GmbH zur Verfügung gestellt. Aufgrund der "rechtlichen Grauzone des sogenannten Hacker-Paragraphen", der Anzeigen gegen IT-Sicherheitsexperten auch bei responsible disclosure nicht unmöglich macht, sowie der "erstatteten Strafanzeige" hätte er dies aber nicht tun können. Er habe sich stattdessen "unmittelbar" an den CCC gewandt. Der CCC weist in dem Schreiben darauf hin, dass die personenbezogenen Daten "de facto" von D-Trust veröffentlicht wurden und kein "Zugriffsschutz" umgangen wurde. Daher sei auch die Anzeige gegenstandslos. Der CCC beendet das Schreiben mit einem Wunsch: Man hoffe, dass D-Trust seine "Energie darauf verwende, sein Sicherheitsniveau auf die gängigen Standards dieses Jahrhunderts anzuheben".

Man hätte viele Fragen an D-Trust, das Unternehmen, das das Vertrauen ins Gesundheitswesen stärken möchte. Allen voran, wie es dazu kommen konnte, dass mehr als Hunderttausend Datensätze von Ärzten und medizinischem Personal offen im Netz standen, inklusive deren Anträge auf Praxisausweise. Kann das Unternehmen ausschließen, dass Unbefugte abgesehen vom Sicherheitsforscher auf die Daten zugreifen konnten? Ist die elektronische Patientenakte dennoch sicher? Können oder konnten Unbefugte die Daten nutzen, um sich Zugang zu erschleichen? Wie geht es mit der Strafanzeige weiter?

Nur leider beantwortet D-Trust diese Fragen nicht. Es verweist lediglich auf die Erklärung auf seiner Website. Doch auch darin werden die wesentlichen Punkte nicht adressiert. Eine Nachfrage, ob man davon ausgehe, dass das Nicht-Beantworten solcher Fragen das Vertrauen in die Digitalisierung stärke, ignoriert die Firma. Erst als ZEIT ONLINE das Unternehmen direkt mit der Frage konfrontiert, ob man die Öffentlichkeit erst am 16. Januar informiert habe, um den Start der ePA am 15. Januar nicht zu verderben, kommt eine umgehende Antwort: "Der Start der elektronischen Patientenakte hatte keinen Einfluss auf den Ablauf der Kommunikation vonseiten der D-Trust GmbH zum Datenschutzvorfall im Antragsportal", schreibt eine Sprecherin. Wieso der Zugriff so lange nicht bemerkt wurde, dazu will sich das Unternehmen "vor dem Hintergrund der laufenden Ermittlungen" nicht äußern.

Immerhin äußert sich das Bundesamt für Sicherheit in der Informationstechnik. Es bestätigt gegenüber ZEIT ONLINE, dass Unbefugte auf Namen, Adressen und Geburtsdaten sowie Nummern von Ausweisdokumenten zugreifen konnten. "Mithilfe dieser Daten allein" sei es "nach aktuellem Kenntnisstand" nicht möglich, sich erfolgreich einen Praxisausweis ausstellen zu lassen. "Zusätzlich muss ein Identifikationsprozess durchlaufen werden."

Auch die Gematik, das Unternehmen hinter der Telematikinfrastruktur, schreibt: "Der Datenschutzvorfall hat keine negativen Auswirkungen auf die Sicherheit der Telematikinfrastruktur und deren Anwendungen – also auch nicht auf die elektronische Patientenakte." Weitere Fragen lässt die Gematik unbeantwortet und verweist auf ein Statement auf ihrer Website.

"Die Sicherheit der Telematikinfrastruktur ist auch ohne dieses Datenleck eine Katastrophe", sagte CCC-Sprecher Linus Neumann ZEIT ONLINE. Von daher könnten die Verantwortlichen "durchaus argumentieren, dass das massenhafte Datenleck im Vergleich dazu nicht mehr sonderlich ins Gewicht fällt". Aus Sicht des CCC zeigt der Vorfall, "dass der gesamte Telematikprozess nie sinnvoll von Anfang bis Ende durchdacht und ernsthaft geprüft wurde. Dieses Leck hätte bei jedem seriösen Test sofort auffallen müssen."

Die Leidtragenden sind die betroffenen Ärztinnen und Ärzte sowie das medizinische Personal, nach MDR-Informationen sind das mindestens 65.000 Menschen. Denn Cyberkriminelle können mit Informationen wie Namen, Adresse, Geburtsdatum und Ausweisnummer viel anfangen: Sie können damit die Identität der betroffenen Person stehlen und für kriminelle Zwecke nutzen, beispielsweise für Betrug.

Haben kriminelle Hacker Interesse an den Gesundheitsdaten von Patientinnen und Patienten, können sie die Informationen über das medizinische Personal auch nutzen, um personalisierte Angriffe zu starten, Ärzte zum Beispiel dazu bewegen, weitere Daten preiszugeben, mit denen sich dann doch auf die Telematikinfrastruktur zugreifen ließe. Dafür reicht schon eine E-Mail aus, in der so etwas steht wie. "Sind Ihre Daten noch aktuell?", und ein manipulierter Link, der PINs und Passwörter verlangt. Oder ein Anruf, bei dem man bekannte Daten über die Person abfragt und so Vertrauen aufbaut – und dann nach PIN und Passwort fragt. Phishing nennt man das in der Fachsprache.

Nach Informationen von ZEIT ONLINE warnen die Ärztekammern und Kassenärztlichen Vereinigungen derzeit ihre Mitglieder, sich verstärkt auf solche Phishing-Attacken einzustellen. "Die Verletzung könnte potenziell zu einem Missbrauch Ihrer Daten, wie einem Identitätsdiebstahl führen", heißt es beispielsweise in einem Schreiben der Kassenärztlichen Vereinigung Bayerns, das ZEIT ONLINE vorliegt. Man solle keinesfalls Passwörter oder PINs am Telefon verraten.

IT-Sicherheitslecks wie diese sind nicht nur problematisch, weil sie private Daten von Menschen gefährden. Sondern auch, weil sie Vertrauen kosten – in diesem Fall nicht nur in das Unternehmen, sondern in die Digitalisierung an sich.

Der CCC hat sich schon einen neuen Spitznamen für D-Trust ausgedacht: d(on't) trust.

Aus: "Private Daten von Ärzten waren im Netz zugänglich" Eva Wolfangel (3. Februar 2025)
Quelle: https://www.zeit.de/digital/datenschutz/2025-01/elektronische-patientenakte-datenleck-aerzte-sicherheit-datenschutz/komplettansicht

Nemyris

Den CCC Talk kann ich sehr empfehlen. Ist auf YouTube zu finden. Darin wird auch gleich ein Lösungsvorschlag gemacht: Unabhängige Audits. Das ist in der Industrie bei solch sicherheitsrelevanten Anwendungen gang und gäbe. Die Ergebnisse veröffentlichen, ausbessern und dann hätte man das ganze ausrollen können. So würde man auch Vertrauen gewinnen. Aber der Bund traut sich anscheinend nicht. Oder will Geld sparen. Oder was weiß ich.

Fehler macht jeder, gerade in der Softwareentwicklung. Wichtig ist wie damit umgegangen wird.

Yammas

Ein Freund verdient sein Geld mit IT-Sicherheit. Er bringt zum Kundengespräch immer gerne sensible Daten mit ...

attitudeadjuster

wir werden noch lange im digitalen Mittelalter festsitzen...
Katastrophe mit Ansage.

...