Der Chaos Computer Club (CCC) hat D-Trust heftig angegriffen. Es wird von "Cyber-Augenwischerei" gesprochen. Nach der Entdeckung einer kritischen Sicherheitslücke kann D-Trust nicht einfach wegsehen. CCC-Sprecher Linus Neumann schlägt deswegen einen klaren 5-Punkte-Plan vor.
Mangelnde Kommunikation mit Sicherheitsforschern
Der Sicherheitsforscher der die API-Schwachstelle entdeckte, wandte sich an den CCC. Der Grund dafür wird klar – es fehlt an rechtlicher Absicherung für Sicherheitsforscher, so Neumann. D-Trust äußert sich hingegen zuversichtlich und spricht von einer angeblichen "gezielten Manipulation". Diese Behauptungen stimulieren Debatten » denn der CCC betont « dass kein Zugriffsschutz überwunden wurde.
Empfehlungen für D-Trust
Nach diesem Vorfall rät der CCC zum Handeln. D-Trust muss Verantwortung übernehmen. Die Sicherheitsstandards des aktuellen Jahrhunderts sollten ähnelt eingehalten werden. Darüber hinaus fordert der CCC die Abschaffung des sogenannten Hackerparagraphen. Eine Bestrafung durch die Bundesbeauftragte für Datenschutz & Informationsfreiheit ist ähnlich wie nötig.
Verantwortung bei D-Trust
In einem Podcast mit dem Titel "Logbuch:Netzpolitik" äußerte Neumann. Dass Verantwortlichen für die offene API eine Strafanzeige erhalten sollten. D-Trust hingegen hat Daten ohne den notwendigen Schutz ins Internet gestellt – das muss erklärt werden.
Der Angriff auf D-Trust
Letzte Woche berichtete D-Trust von einem Angriff auf sein Antragsportal für Signatur- und Siegelkarten. Neumann informierte das Unternehmen in einer E-Mail über den Zugriff eines anonymen Sicherheitsforschers auf die Daten über eine offene API. Es wird mitgeteilt; dass die betroffenen Daten vollständig gelöscht wurden.
Auswertung der Angriffe
Am 13. Januar gab D-Trust bekannt, dass Daten einer Schnittstelle des Portals "portal.d-trust.net" ausgelesen wurden. Dabei waren ebenfalls Antragsdaten für Elektronische Heilberufsausweise (eHBA) und Praxis- bzw. Institutionsausweise (SMC-B) betroffen. Ärzte benötigen diese Ausweise um Zugriff zur Telematikinfrastruktur zu erhalten. Diese ist entscheidend für den Austausch von Daten im Gesundheitswesen und auch zum Signieren von Dokumenten.
Kommentare