Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.
Categories
Tags
Authors
Teams
Archives
Categories:   All Categories
Suggested keywords
x
  Drucken

Nach Sicherheitslücke bei D-Trust: CCC spricht von "Cyber-Augenwischerei"

66 Aufrufe

Der Chaos Computer Club (CCC) wirft dem Vertrauensdiensteanbieter D-Trust "Cyber-Augenwischerei" vor, statt sich seiner Verantwortung nach Entdeckung eines Sicherheitslecks zu stellen. Deswegen schlägt CCC-Sprecher Linus Neumann dem Unternehmen einen 5-Punkte-Plan vor.

Anzeige

Der Entdecker der API-Schwachstelle hatte sich an den CCC gewandt, statt direkt mit D-Trust zu kommunizieren. Grund sei die fehlende rechtliche Absicherung für Sicherheitsforscher, so Neumann. Während D-Trust von einer "gezielten Manipulation" spricht und Strafanzeige erstattete, betont der CCC, dass kein Zugriffsschutz umgangen wurde.

Der CCC empfiehlt nach diesem Vorfall einen 5-Punkte-Plan, nachdem das Unternehmen unter anderem Verantwortung tragen, den Stand der Technik und damit "Sicherheitsstandards des aktuellen Jahrhunderts" einhalten müsse. Zudem fordert der CCC erneut eine Abschaffung des Hackerparagraphen und eine Bestrafung durch die Bundesbeauftragte für Datenschutz und Informationsfreiheit.

Im Podcast "Logbuch:Netzpolitik" sagte Neumann, dass seiner Ansicht nach diejenigen eine Strafanzeige erhalten müssten, die für die offene API Verantwortung tragen. Stattdessen seien die Daten ohne angemessenen Schutz ins Internet gestellt worden, was D-Trust laut Neumann erklären müsse.

Nachdem D-Trust vergangene Woche über einen Angriff auf sein Antragsportal für Signatur- und Siegelkarten berichtet hatte, meldete sich Neumann in einer E-Mail bei dem Unternehmen und informierte darüber, dass ein anonymer Sicherheitsforscher über eine offene API auf die Daten zugegriffen hatte. Die Daten seien restlos gelöscht worden.

Am 13. Januar hatte D-Trust darüber informiert, dass Daten einer Schnittstelle des Portals "portal.d-trust.net" ausgelesen wurden und dass das Unternehmen eine Strafanzeige erstellt hatte. Auch "Antragsdaten für Elektronische Heilberufsausweise (eHBA) und Praxis- bzw. Institutionsausweise (SMC-B)" waren betroffen. Diese speziellen Ausweise benötigen Ärzte, um Zugriff zur Telematikinfrastruktur – die für den Austausch von Daten im Gesundheitswesen gedacht ist – zu erhalten und Dokumente zu signieren.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Marie-Claire Koch)
0
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Urteil: Google haftet bei betrügerischen Anzeigen ...
Malvertising: Mac-Homebrew-User im Visier

Über den Autor

comadmin

comadmin

Updates abonnieren Abo von Updates dieses Autors beenden comadmin
Neueste Beiträge des Autors
Mehr Beiträge vom Autor
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Samstag, 15. März 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image
ImpressumAGBDisclaimerDatenschutzerklärung