Vortrag über "Autopsie einer IT-Anwendung"
Es war wieder der zweite Donnerstag im Monat und alle kamen - so hatten wir zumindest den Eindruck. Es waren so rund 80 Leute da, darunter meiner Zählung nach 3 Ärzte, 2 Journalisten und mindestens ein Anwalt. Grund: Thomas Maus wiederholte heute seinen Vortrag bei uns, den er bereits beim Chaos Communication Congress 2004 in Berlin gehalten hatte zum Thema
"Autopsie einer IT-Anwendung für die elektronische Patientenakte -
Sicherheits- und Kryptoanalyse: Ein Beispiel aus der Praxis".
Thomas ist Sicherheitsanalytiker, das heisst er versucht erst einmal in Spezifikationen Löcher zu finden - und später in den sogenannten Implementationen dieser Spezifikation. Also, er schaut erst einmal "ist in der Beschreibung von dem, was erreicht werden soll, irgendwo ein Fehler, den ich finde oder gibt es Möglichkeiten, mit Hilfe dieser Spezifikation etwas anderes zu machen als erlaubt sein sollte", und später schaut er sich an, wie diese Spezifikation umgesetzt wurde. Bei dem Beispiel was er uns zeigte war ihm vom Auftraggeber explizit erlaubt worden, diese Studie teilweise zu veröffentlichen. Sehr brisant ist auch, dass dieses Projekt von der öffentlichen Hand finanziert wurde (Patientenkarte) und daher große Aufmerksamkeit haben sollte. Er erklärt auch dass das von ihm untersuchte System "nur" auf dem Stand von Mitte 2003 war - aber mit echten Patientendaten gearbeitet wurde. Zuerst dachte ich ja, er würde auf schwache Sicherheitsmechanismen abzielen und dass einfach mit alten Methoden gearbeitet würde, aber was er erklärt und erzählt hat liess eher den Schluß zu dass der Hersteller (der nicht der Auftraggeber der Analyse war) dieses Systems (er hatte für seine Tests ein Testsystem zur Verfügung gestellt bekommen) niemanden in seinem Team hat der sich mit Sicherheit und Verschlüsselung wirklich auskennt. Der Kern des Vortrags wurde dann, dass man - bei geeignetem Test - nur drei Versuche braucht um die Quasi-PIN zu raten, um an eine Patientenakte zu gelangen. Was natürlich Einbruchsversuchen Tür und Tor öffnet, besonders weil es hierbei nicht "nur" um Geld geht (das kann man verschmerzen), sondern um die Gesundheit des Patienten.
Nachdem Simon heute tatsächlich auch das neue T-Shirt mitbringen konnte hatte ich die Idee aufgrund des Schriftzuges (Wissen schafft Verantwortung) dieses gleich Thomas zu überreichen. Hier ist das Beweisfoto:
"Autopsie einer IT-Anwendung für die elektronische Patientenakte -
Sicherheits- und Kryptoanalyse: Ein Beispiel aus der Praxis".
Thomas ist Sicherheitsanalytiker, das heisst er versucht erst einmal in Spezifikationen Löcher zu finden - und später in den sogenannten Implementationen dieser Spezifikation. Also, er schaut erst einmal "ist in der Beschreibung von dem, was erreicht werden soll, irgendwo ein Fehler, den ich finde oder gibt es Möglichkeiten, mit Hilfe dieser Spezifikation etwas anderes zu machen als erlaubt sein sollte", und später schaut er sich an, wie diese Spezifikation umgesetzt wurde. Bei dem Beispiel was er uns zeigte war ihm vom Auftraggeber explizit erlaubt worden, diese Studie teilweise zu veröffentlichen. Sehr brisant ist auch, dass dieses Projekt von der öffentlichen Hand finanziert wurde (Patientenkarte) und daher große Aufmerksamkeit haben sollte. Er erklärt auch dass das von ihm untersuchte System "nur" auf dem Stand von Mitte 2003 war - aber mit echten Patientendaten gearbeitet wurde. Zuerst dachte ich ja, er würde auf schwache Sicherheitsmechanismen abzielen und dass einfach mit alten Methoden gearbeitet würde, aber was er erklärt und erzählt hat liess eher den Schluß zu dass der Hersteller (der nicht der Auftraggeber der Analyse war) dieses Systems (er hatte für seine Tests ein Testsystem zur Verfügung gestellt bekommen) niemanden in seinem Team hat der sich mit Sicherheit und Verschlüsselung wirklich auskennt. Der Kern des Vortrags wurde dann, dass man - bei geeignetem Test - nur drei Versuche braucht um die Quasi-PIN zu raten, um an eine Patientenakte zu gelangen. Was natürlich Einbruchsversuchen Tür und Tor öffnet, besonders weil es hierbei nicht "nur" um Geld geht (das kann man verschmerzen), sondern um die Gesundheit des Patienten.
Nachdem Simon heute tatsächlich auch das neue T-Shirt mitbringen konnte hatte ich die Idee aufgrund des Schriftzuges (Wissen schafft Verantwortung) dieses gleich Thomas zu überreichen. Hier ist das Beweisfoto: