Medicoleak

From Chaos Computer Club Lëtzebuerg

Contents 1 Plot 2 Communique 2.1 Datensicherheit muss gelernt sein 2.2 #Medicoleak - The empire strikes back 3 References 3.1 Medicoleak 3.2 Medicoleak - The empire strikes back

Plot

ATM we try to gather here all available information about #medicoleak to get an overview and have some timeline - can always be helpful at some point in time - feel free to complete.

Feel free to mail us your links or get an account: info@c3l.lu

Communique

Datensicherheit muss gelernt sein

(Published on January 20th, 2012 - http://c3l.lu/wp/2012/01/20/datensicherheit-muss-gelernt-sein/)

Der Chaos Computer Club Luxemburg zeigt sich besorgt gegenüber der heiklen Situation im Sportministerium, bei der 48.670 private und medizinische Datensätze von Sportlern ohne größere Vorsichtsmaßnahmen im Netz abrufbar waren.

Legitimation solcher Datenbanken Die sogenannte „Médico-Sportif“ Datenbank, die vom „Centre Informatique de l'Etat“ administriert wird, enthält 48.670 Datensätze. Jeder dieser Datensätze enthält privat und medizinische Informationen zu einer Person. Da ein Mitarbeiter eines „ Centre Médico-Sportif“ die Zugangsdaten zu eben dieser Datenbank auf einem Post-It auf seinem Bildschirm stehen hatte, war es der Person die den Vorfall bei den Behörden gemeldet hat ein leichtes sich Zugang zu diesen Daten zu verschaffen.

Nun stellt sich die Frage was denn eine Datenbank dieser Größenordnung legitimiert, in der solch private personenbezogene Informationen gespeichert sind und wer eigentlich legalen Zugriff darauf hat. Um der Datensparsamkeit gerecht zu werden, wäre eine Reevaluation der momentan gespeicherten Daten nötig, um festzustellen welche denn nun absolut keine oder nur sehr geringe Relevanz in Bezug zum "Médico-Sportif" haben und diese dann auch anschließend zu löschen.

Integrität des Systems Bei den Sicherheitsmaßnahmen die – für eine Datensammlung dieser Art – ergriffen worden sind, hat man fahrlässig gehandelt. Die Datenbank war nicht ausreichend vom Internet abgeschirmt und durch zwei simple Logins erreichbar. Ein solches System muss einen Zugriff von einem nicht autorisierten PC verhindern, beispielsweise durch „IP-Filtering“ oder besser durch ein geschlossenes VPN-Netzwerk. Dies einzurichten ist kein Hexenwerk und sollte die Administratoren nicht vor unlösbare Probleme stellen.

Der ausschlaggebende Angriffsvektor heißt allerdings: Mensch. Aufgrund mangelnder „Human Security Awareness“ wurde jedem die Möglichkeit gegeben sich die Login-Daten zu fotografieren, kopieren, etc. und anschließend die Datenbestände einzusehen. Identitätsfälschung, Mobbing, Kündigungen, etc. könnten direkte Konsequenzen dieser Datensätze sein, falls sie in die Hände der falschen Personen gelangen würden.

Konsequenzen für die Datensicherheit Wer kann garantieren, dass nicht bereits andere unautorisierte Zugriffe auf dieses System stattgefunden haben oder gar bereits Daten entwendet wurden, bevor diese Person Zugriff auf das System hatte und es den zuständigen Stellen gemeldet hat?!

Ob nun Datensätze kopiert wurden oder nicht, kann nur die Person sagen die hinter der Enthüllung dieses Missstandes steckt. Allerdings bedauert der Chaos Computer Club Luxemburg es stark, dass nun versucht wird ein Exempel an dieser Person durch Anklage zu statuieren, anstatt zu einem Dialog aufzurufen - welcher auch vorerst anonym stattfinden könnte - und ohne direkt mit rechtlichen Konsequenzen zu drohen.

Es ist zu begrüßen, dass auf der gestrigen Pressekonferenz Justiz- und Kommunikationsminister François Biltgen betonte, dass in Zukunft weitere Maßnahmen zu Gunsten der Datensicherheit des Luxemburger Staates investiert werden, doch waren diese sehr wage gehalten und lässt einen zum Schluss kommen, ob es denn immer zu erst zu einem Vorfall kommen muss bis entsprechende situationsangepasste Massnahmen in die Wege geleitet werden?

Chaos Computer Club Luxemburg

---

(Presse)kontakt:

E-Mail: info[at]c3l.lu / press[at]c3l.lu

Tel.: +352–691–71–77–44

Webseite: http://c3l.lu / http://c3l.lu/wiki/Medicoleak

PDF: C3L_Press_Communiquee_2012-01-20.pdf

#Medicoleak - The empire strikes back

(Published on April 11th, 2012 - http://c3l.lu/wp/2012/04/11/medicoleak-the-empire-strikes-back/)

"Datensicherheit muss gelernt sein", schlussfolgerte der Chaos Computer Club Luxemburg im Januar dieses Jahres aus der Datenpanne beim Centre médico-sportif. Hierbei wurde bekanntlich ein auf dem Bildschirm eines Arztes klebendes Passwort "kopiert", woraufhin rund 49.000 Datensätze eingesehen werden konnten. Nun geht es in die zweite Runde: die Regierung nimmt zum Gegenschlag aus und ermittelt gegen zwei Personen, die schlicht die Überbringer der schlechten Nachricht waren.

"Don't shoot the messenger!" würde sich hier wunderbar als Referenz eignen.

Als mündiger Bürger muss man sich nun allerdings die Frage stellen, warum es der Regierung innerhalb von 11 Wochen möglich war, Ermittlungen gegen 2 Personen hervorzubringen, es allerdings noch keinen offiziellen, aufschlussreichen und nachvollziehbaren Plan gibt wie die Datensicherheit auf nationalem Plan kohärent und nachhaltig gewährleistet werden soll?! Doch was rechtfertigt solche Datenbanken mit einem so hohen Anteil an personenbezogenen Daten überhaupt und wie viele gibt es noch die nicht ausreichend gesichert sind?

Ist es nicht so, dass der luxemburgische Bürger immer mehr zur "Transparenz" (gläserner Bürger) gedrängt wird, obwohl sich die Verantwortlichen das Recht herausnehmen und sich hinter ihrem schwarz/roten Vorhang zu verstecken versuchen?

Der Chaos Computer Club Luxemburg sieht ebenfalls der Arbeit der nationalen Datenschutzkommission (CNPD) kritisch entgegen, da diese weder ausreichende Präventionen noch weiterführende transparente Maßnahmen ergriffen hat um die Daten der luxemburgischen Bürger effektiver zu schützen.

Außerdem lässt es die Frage aufwerfen, wie sicher denn überhaupt die Informationsstruktur und somit auch Datenbanken mit ihren Datensätzen in Luxemburg sind. Und hätte es nicht der Auftrag einer aufmerksamen und interessierten Regierung sein müssen, in Kooperation mit der CNPD eine unabhängige externe Instanz auf ein Sicherheitsaudit einzuladen um die gesamte Informationsinfrastruktur des Luxemburger Staatsapparates zu überprüfen?

Die CNPD äußerte sich Anfang des Jahres mit Bedauern bezüglich des Vorfalls und erklärte im selben Atemzug, dass sie nicht über genügend Ressourcen verfüge und keine Sicherheitsgarantie für andere Datenbanken geben könne. Wäre es also nicht an der Zeit die Ressourcen, Möglichkeiten und Handlungsbereiche der Datenschutzkommission zu überdenken um ihrer Rolle im Sinne des Datenschutzes zeitgemäß gerechter zu werden?

Nachdem jetzt 2 Verdächtigte erfasst und deren Person und Ethik ernsthaft in Frage gestellt worden sind, zweifelt der Chaos Computer Club Luxemburg die Handlungen der Regierung an. Denn wenn man ethisch korrektes Handeln verurteilt, hemmt man doch die Förderung des Bürgermuts?!

Schlussfolgernd verzeichnet man, dass das Thema #Medicoleak viele Fragen aufwirft und doch ein wenig an ein alt bekanntes Schauspiel erinnert, nämlich an das von Georges Lucas, in dem Film "Star Wars - The Empire strikes back". Nur dass Minister Biltgen hier die Rolle des Imperators inne hat und die Verdächtigten die Rollen der jungen Rebellen, die Missstände aufdecken und verhindern zu versuchen.

Chaos Computer Club Luxemburg

---

(Presse)kontakt:

E-Mail: info[at]c3l.lu / press[at]c3l.lu

Tel.: +352–691–71–77–44

Webseite: http://c3l.lu / http://c3l.lu/wiki/Medicoleak

PDF: C3L_Press_Communiquee_2012-04-11.pdf

References

Medicoleak

Articles

• http://news.rtl.lu/news/national/185509.html
• http://www.wort.lu/wort/web/letzebuerg/artikel/2012/01/173566/48670-gesundheitsakten-entgleiten-staatlicher-kontrolle.php
• http://www.wort.lu/wort/web/letzebuerg/artikel/2012/01/173620/minister-schneider-kein-hacker-sondern-ein-dieb.php
• http://www.tageblatt.lu/nachrichten/story/Sensible-Daten-veroeffentlicht-28845495
• http://www.dp.lu/top_news.php?tn=115&lang=1
• http://www.tageblatt.lu/nachrichten/story/Schludriger-Umgang-mit-Passwoertern-15389956
• http://www.lessentiel.lu/de/news/story/Anklage-gegen-Hacker-erhoben-30459895
• http://piratepartei.lu/node/447
• http://www.deigreng.lu/actualites/zum-datenleck-im-sportsministerium
• http://www.lessentiel.lu/de/news/story/20459874 (CNPD)
• http://www.itnation.lu/news/main-story/sven-clement-perquisitionne-dans-le-cadre-de-laffaire-de-la-fuite-des-donnees-medico-sportives/
• http://www.tageblatt.lu/nachrichten/luxemburg/story/Minister--Mussten-Staatsanwalt-einschalten-15423560 Tageblatt - Minister: mussten Staatsanwalt einschalten
• http://www.wort.lu/de/view/medicoleak-biltgen-und-schneider-schiessen-zurueck-4f85bbf7e4b01da022fbc0a7
• http://news.rtl.lu/news/national/226379.html

Audio

• 100Komma7 - Dossier vum Daag (19/01/2012)

Video

• RTL Replay - Datepann beim Staat

Medicoleak - The empire strikes back

• http://piratepartei.lu/node/467
• http://www.tageblatt.lu/nachrichten/luxemburg/story/Chef-der-Piraten-steht-unter-Verdacht-18759886
• http://www.wort.lu/de/view/medicoleak-zwei-hausdurchsuchungen-4f840480e4b0aa5210634f8d
• http://news.rtl.lu/news/national/225593.html
• http://streaming.newmedia.lu/radio/radio_news/newsflash630/2012/04/10/063000_64K.wma
• http://tele.rtl.lu/waatleeft/replay/v/20120410/5/59975
• http://www.greng.lu/actualites/datenunsicherheit-regierung-versucht-eigene-inkompetenz-zu-vertuschen
• http://www.dnr.lu/dnr/web/news/mp3/news_11-04-2012_700.mp3