• IT-Karriere:
  • Services:

Viele Fehler und ein düsterer Ausblick

CGM Life bietet in seiner Cloud verschiedene Dienste, die miteinander interagieren und auf Daten in der Cloud zugreifen können. So kann beispielsweise eine Krankenkasse ein eigenes Weblogin für ihre Kunden bereitstellen. Einige dieser Anwendungen unterstützen die Zwei-Faktor-Authentifizierung, manche setzen dies sogar zwingend voraus. Durch die verschiedenen Loginmöglichkeiten der Gesundheitsplattform kann ein Angreifer die Zwei-Faktor-Authentifikation umgehen, indem er sich auf der Webseite von CGM Life mit dem Passwort und ohne zweiten Faktor einloggt, statt sich bei der Krankenkasse einzuloggen, die einen zweiten Faktor verlangt.

Stellenmarkt
  1. Bayerische Versorgungskammer, München
  2. ING Deutschland, Frankfurt, Nürnberg

Wie bei Vivy konnten auch Patienten über CGM Life Dateien mit Ärzten austauschen. Die Akten sind mit einer sechsstelligen PIN geschützt - diese kann mit einem Brute-Force-Angriff, also mit dem Durchprobieren der Zahlenfolgen, geknackt werden.

CGM Life nutzt eine Login-Technik, die es ermöglicht, die Passwörter komplett auf dem eigenen Rechner durchzuprobieren, was einen Brute-Force-Angriff mit hoher Geschwindigkeit ermöglicht. Ein Nutzer, der sich auf der CGM-Plattform anmelden will, erhält beim Login ein zu seiner E-Mail-Adresse passendes "Secret". Dieses und das Passwort ergeben zusammen den Private-Key des Nutzers. Tschirsich konnte das zu einer E-Mail-Adresse eines Nutzers passende Secret abgreifen, den öffentlichen Schlüssel herunterladen und anschließend offline die Passwörter eines Wörterbuches ausprobieren. Das hat er auch getan: Er hat deutsche E-Mail-Adressen von Dropbox heruntergeladen, von denen drei Prozent bei CGM Life angemeldet waren. Von diesen konnte er das zur E-Mail-Adresse passende Secret herunterladen und alle Passwörter beziehungsweise Wörter eines Wörterbuches durchprobieren. So konnte er drei Prozent der Passwörter auf seinem vier Jahre alten Laptop errechnen.

Nicht einmal so sicher wie Online-Banking

Zusammengefasst sei die Sicherheit der Gesundheitsapps und -dienste nicht einmal auf dem Niveau von Online-Banking - und unsere Gesundheitsdaten sollten eigentlich besser geschützt werden als unsere Finanzdaten. "Wenn ich jetzt anfange, Bankdaten zu sammeln, dann interessieren die in 20 Jahren niemanden mehr. Gesundheitsdaten schon", sagt Tschirsich. Johannes Buchmann, Professor für Kryptographie an der TU-Darmstadt, geht davon aus, dass es keinen Datenspeicher gibt, der Daten 20 Jahre sicher aufbewahren kann. Wie sollen wir dann unsere Gesundheitsdaten sicher lagern? Dennoch werden die elektronische Gesundheitsakte und die elektronische Patientenakte kommen. Zeit, sich jetzt für eine gute und sichere Umsetzung einzusetzen, fordert Tschirsich.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Ein Gesundheitskonto voller Lücken
  1.  
  2. 1
  3. 2
  4. 3
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Verkehrswende
    Zaubertechnologie statt Citybahn
  2. Elektroautos
    Bundestag beschließt Anspruch auf private Ladestelle
  3. Winamp Skin Museum
    Musik hören wie 1999
  4. Crysis Remastered im Technik-Test
    But can it run Crysis? Hell no!
  5. iOS 14 und iPadOS 14
    Neustart löscht Standard-Apps für Browser und E-Mail
Anzeige
Top-Angebote
  1. (u. a. Gigabyte Geforce RTX 3080 Gaming OC 10G 10.240 MB GDDR6X für 825,04€, Inno3D GeForce RTX...
  2. (u. a. Marvel's Spider-Man: Miles Morales 59,99€, Horizon: Forbidden West für 79,99€, Gran...
  3. ab 749€ auf Geizhals
  4. 19,99€ bei Steam (bis 24. September)
Kommentarübersicht
Re: TÜV-geprüft?
devman 14. Jan 2019

Die Prüfen ob ein Impressum existiert, ob das Opt-In funktioniert, ob die Menüs sichtbar...

Re: Dezentral bleiben
devman 14. Jan 2019

Dezentral waren die IP-Cams, die Mitglied eines Botnets wurden. Als Betrüger kann die...

Sicherheitslücken auf Grundschulniveau (kt)
Anonymer Nutzer 11. Jan 2019

Ernsthaft. Dazu kann man nichts mehr sagen.

Folgen Sie uns
       
Golem.de
Stellenanzeige: Golem.de sucht CvD (m/w/d)
Stellenanzeige
Golem.de sucht CvD (m/w/d)

Du bist News-Junkie, Techie, Organisationstalent und brennst für den Onlinejournalismus? Dann unterstütze die Redaktion von Golem.de als CvD.

  1. Shifoo Golem.de startet Betatest seiner Karriere-Coaching-Plattform
  2. In eigener Sache Die 24-kernige Golem Workstation ist da
  3. In eigener Sache Golem pur jetzt auch per Paypal
Elektroauto
Elektrophobie: Zukunftsverweigerung oder was ich als E-Autofahrer erlebte
Elektrophobie
Zukunftsverweigerung oder was ich als E-Autofahrer erlebte

Beschimpfungen als "Öko-Idiot" oder der Mittelfinger auf der Autobahn: Als Elektroauto-Fahrer macht man einiges mit - aber nicht mit dem Auto selbst.
Ein Erfahrungsbericht von Matthias Horx

  1. Zulassungsrekord Jeder achte neue Pkw fährt elektrisch
  2. Softwarefehler Andere Marken laden gratis an Teslas Superchargern
  3. Lucid Motors Elektrolimousine Lucid Air kostet 170.000 US-Dollar
Tracking
Apple-Facebook-Streit: Die Macht der aufgeklärten Nutzer
Apple-Facebook-Streit
Die Macht der aufgeklärten Nutzer

Facebook warnt vor hohen Umsatzeinbußen bei Apps, wenn Apple die Trackingvorgaben ändert. Das zeigt den Einfluss informierter Einwilligung.
Von Christiane Schulzki-Haddouti

  1. Nutzertracking Datenschützer knöpfen sich gezielt Medien vor
  2. Tracker Radar Duck Duck Go gibt Liste für Tracker-Blocker frei
  3. Datenverkauf Avast überwacht den Browser und verkauft Nutzerdaten
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /