Zugang zu KV-Safenet.de
nach der Dokumentation https://www.kvberlin.de/fileadmin/user_upload/it_arztpraxis/2023-01-31_Anleitung_Zugang_OnlinePortal_TI_SNK.pdf ist für den Zugang ein /15 Netzwerksegment freizugegen. Damit entfällt für dieses Netzwerk der gesamte Perimeter-Schutz und die Praxisnetze sind praktisch aus dem gesamten /15 Subnet erreichbar. Was zu einem hohen Angriffsvektor für Arztpraxen führen dürfte. Auf der anderen Seite sind naürtlich, die gelegentlich schlecht gesicherten Praxen ein erheblicher Angriffsvektor für die TI.
Damit dürften die Ärzt:innen weder die Anforderungen der ISO 27001 noch die Anforderungen aus Kapitel 4 DSGVO erfüllen können.
Nach dem Vortag von Christina Lekati unter https://god.owasp.de/2023/schedule/slides/Christina%20Lekati%20--%20What%20if%20the%20User%20Opens%20Back%20Door%20to%20Strangers.pdf werden regelmäßig weiche Ziele, wie Personen, häufig Admins, von Dienstleistern durch einen Angriff auf deren soziales Umfeld kompromititert. Danach werden typischerweise die Netzwerke der Dienstleister und dann die Netzwerke der Targets selber übernommen. Oft geschieht dies durch die VPN-Zugänge der Dienstleister. Das BfV verweist unter https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2023-02-bfv-cyber-brief.pdf?__blob=publicationFile&v=2 auf erhebliche Risiken aus den obigen Szenarien hin.
Durch die Anweisung zur Öffnung des /15 Subnets dürfte klar sein, dass der Perimeter-Schutz der KVB lediglich in Richtung internet wirksam sein dürfte. Backdoor-Angriffe über Dienstleister sind damit einfach möglich, da innerhalb des Netzes kein Perimeterschutz auf Basis konkreter P2P und einer Limitierung der Ports und eine konsequenten Umsetzung einer Zero-Trust-Architektur mehr besteht. Eine Multifaktor - Authentifizierung auf der Basis von z.B. FIDO2 ist dabei nicht mehr wirksam vorhanden. Die Zertifikatsinfrastruktur sichert dabei nur den Zugang ab, jedoch nicht die einzlenen Applikationen oder Fachverfahren im KV-Safenet.
Bitte senden Sie mir alle Unterlagen, Dokumente, eMails, Schreiben, Arbeitsanweisungen, ISO 27001-Certifkate, die Gefährdungsbeurteilung, die Datenschutzfolgenabschätzungen, alles AVV mit Dienstleistern, alle Dienstleister, alle Abwehrmaßnahmen zum SocialEngeneering, alle Notfallpläne, zum Perimeter-Schutz gegen Backdoor-Angrife und zur Detection von Netzwerk Anomalien zu, insofern diese Unterlagen keine Geheimhaltungsbedürftigen Informationen enthalten.
Antwort verspätet
-
Datum24. November 2023
-
1. März 2024
-
Ein:e Follower:in
Ein Zeichen für Informationsfreiheit setzen
FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!