Zugang zu KV-Safenet.de

Anfrage an: Kassenärztliche Bundesvereinigung

nach der Dokumentation https://www.kvberlin.de/fileadmin/user_upload/it_arztpraxis/2023-01-31_Anleitung_Zugang_OnlinePortal_TI_SNK.pdf ist für den Zugang ein /15 Netzwerksegment freizugegen. Damit entfällt für dieses Netzwerk der gesamte Perimeter-Schutz und die Praxisnetze sind praktisch aus dem gesamten /15 Subnet erreichbar. Was zu einem hohen Angriffsvektor für Arztpraxen führen dürfte. Auf der anderen Seite sind naürtlich, die gelegentlich schlecht gesicherten Praxen ein erheblicher Angriffsvektor für die TI.
Damit dürften die Ärzt:innen weder die Anforderungen der ISO 27001 noch die Anforderungen aus Kapitel 4 DSGVO erfüllen können.

Nach dem Vortag von Christina Lekati unter https://god.owasp.de/2023/schedule/slides/Christina%20Lekati%20--%20What%20if%20the%20User%20Opens%20Back%20Door%20to%20Strangers.pdf werden regelmäßig weiche Ziele, wie Personen, häufig Admins, von Dienstleistern durch einen Angriff auf deren soziales Umfeld kompromititert. Danach werden typischerweise die Netzwerke der Dienstleister und dann die Netzwerke der Targets selber übernommen. Oft geschieht dies durch die VPN-Zugänge der Dienstleister. Das BfV verweist unter https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2023-02-bfv-cyber-brief.pdf?__blob=publicationFile&v=2 auf erhebliche Risiken aus den obigen Szenarien hin.
Durch die Anweisung zur Öffnung des /15 Subnets dürfte klar sein, dass der Perimeter-Schutz der KVB lediglich in Richtung internet wirksam sein dürfte. Backdoor-Angriffe über Dienstleister sind damit einfach möglich, da innerhalb des Netzes kein Perimeterschutz auf Basis konkreter P2P und einer Limitierung der Ports und eine konsequenten Umsetzung einer Zero-Trust-Architektur mehr besteht. Eine Multifaktor - Authentifizierung auf der Basis von z.B. FIDO2 ist dabei nicht mehr wirksam vorhanden. Die Zertifikatsinfrastruktur sichert dabei nur den Zugang ab, jedoch nicht die einzlenen Applikationen oder Fachverfahren im KV-Safenet.

Bitte senden Sie mir alle Unterlagen, Dokumente, eMails, Schreiben, Arbeitsanweisungen, ISO 27001-Certifkate, die Gefährdungsbeurteilung, die Datenschutzfolgenabschätzungen, alles AVV mit Dienstleistern, alle Dienstleister, alle Abwehrmaßnahmen zum SocialEngeneering, alle Notfallpläne, zum Perimeter-Schutz gegen Backdoor-Angrife und zur Detection von Netzwerk Anomalien zu, insofern diese Unterlagen keine Geheimhaltungsbedürftigen Informationen enthalten.

Antwort verspätet

Warte auf Antwort
  • Datum
    24. November 2023
  • Frist
    1. März 2024
  • Ein:e Follower:in
  • Anfrage teilen
    Twitter Mastodon Kurzlink kopieren
  • RSS-Feed
Alle einklappen Alle ausklappen Zum Ende
<< Anfragesteller:in >>
am 24.11.2023
Antrag nach dem IFG/UIG/VIG Guten Tag, bitte senden Sie mir Folgendes zu: nach der Dokumentation https://www.kv…
An Kassenärztliche Bundesvereinigung Details
Von
<< Anfragesteller:in >>
Betreff
Zugang zu KV-Safenet.de [#293281]
Datum
24. November 2023 13:04
An
Kassenärztliche Bundesvereinigung
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem IFG/UIG/VIG Guten Tag, bitte senden Sie mir Folgendes zu:
nach der Dokumentation https://www.kvberlin.de/fileadmin/user_upload/it_arztpraxis/2023-01-31_Anleitung_Zugang_OnlinePortal_TI_SNK.pdf ist für den Zugang ein /15 Netzwerksegment freizugegen. Damit entfällt für dieses Netzwerk der gesamte Perimeter-Schutz und die Praxisnetze sind praktisch aus dem gesamten /15 Subnet erreichbar. Was zu einem hohen Angriffsvektor für Arztpraxen führen dürfte. Auf der anderen Seite sind naürtlich, die gelegentlich schlecht gesicherten Praxen ein erheblicher Angriffsvektor für die TI. Damit dürften die Ärzt:innen weder die Anforderungen der ISO 27001 noch die Anforderungen aus Kapitel 4 DSGVO erfüllen können. Nach dem Vortag von Christina Lekati unter https://god.owasp.de/2023/schedule/slides/Christina%20Lekati%20--%20What%20if%20the%20User%20Opens%20Back%20Door%20to%20Strangers.pdf werden regelmäßig weiche Ziele, wie Personen, häufig Admins, von Dienstleistern durch einen Angriff auf deren soziales Umfeld kompromititert. Danach werden typischerweise die Netzwerke der Dienstleister und dann die Netzwerke der Targets selber übernommen. Oft geschieht dies durch die VPN-Zugänge der Dienstleister. Das BfV verweist unter https://www.verfassungsschutz.de/SharedDocs/publikationen/DE/cyberabwehr/2023-02-bfv-cyber-brief.pdf?__blob=publicationFile&v=2 auf erhebliche Risiken aus den obigen Szenarien hin. Durch die Anweisung zur Öffnung des /15 Subnets dürfte klar sein, dass der Perimeter-Schutz der KVB lediglich in Richtung internet wirksam sein dürfte. Backdoor-Angriffe über Dienstleister sind damit einfach möglich, da innerhalb des Netzes kein Perimeterschutz auf Basis konkreter P2P und einer Limitierung der Ports und eine konsequenten Umsetzung einer Zero-Trust-Architektur mehr besteht. Eine Multifaktor - Authentifizierung auf der Basis von z.B. FIDO2 ist dabei nicht mehr wirksam vorhanden. Die Zertifikatsinfrastruktur sichert dabei nur den Zugang ab, jedoch nicht die einzlenen Applikationen oder Fachverfahren im KV-Safenet. Bitte senden Sie mir alle Unterlagen, Dokumente, eMails, Schreiben, Arbeitsanweisungen, ISO 27001-Certifkate, die Gefährdungsbeurteilung, die Datenschutzfolgenabschätzungen, alles AVV mit Dienstleistern, alle Dienstleister, alle Abwehrmaßnahmen zum SocialEngeneering, alle Notfallpläne, zum Perimeter-Schutz gegen Backdoor-Angrife und zur Detection von Netzwerk Anomalien zu, insofern diese Unterlagen keine Geheimhaltungsbedürftigen Informationen enthalten.
Dies ist ein Antrag auf Zugang zu amtlichen Informationen nach § 1 des Gesetzes zur Regelung des Zugangs zu Informationen des Bundes (IFG) sowie § 3 Umweltinformationsgesetz (UIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 UIG betroffen sind, sowie § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Informationen im Sinne des § 1 Abs. 1 VIG betroffen sind. Sollte der Informationszugang Ihres Erachtens gebührenpflichtig sein, möchte ich Sie bitten, mir dies vorab mitzuteilen und detailliert die zu erwartenden Kosten aufzuschlüsseln. Meines Erachtens handelt es sich um eine einfache Auskunft. Gebühren fallen somit nach § 10 IFG bzw. den anderen Vorschriften nicht an. Auslagen dürfen nach BVerwG 7 C 6.15 nicht berechnet werden. Sollten Sie Gebühren veranschlagen wollen, bitte ich gemäß § 2 IFGGebV um Befreiung oder hilfsweise Ermäßigung der Gebühren. Ich verweise auf § 7 Abs. 5 IFG/§ 3 Abs. 3 Satz 2 Nr. 1 UIG/§ 4 Abs. 2 VIG und bitte Sie, mir die erbetenen Informationen so schnell wie möglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Kann diese Frist nicht eingehalten werden, müssen Sie mich darüber innerhalb der Frist informieren. Ich bitte Sie um eine Antwort per E-Mail gemäß § 1 Abs. 2 IFG. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an behördenexterne Dritte. Sollten Sie meinen Antrag ablehnen wollen, bitte ich um Mitteilung der Dokumententitel und eine ausführliche Begründung. Ich möchte Sie um eine Empfangsbestätigung bitten und danke Ihnen für Ihre Mühe! Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 293281 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/293281/ Postanschrift << Antragsteller:in >> << Antragsteller:in >> << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>
Noch keine Kommentare. Please login to write a comment.
Kassenärztliche Bundesvereinigung
am 28.11.2023
Intern Sehr << Antragsteller:in >> wir bestätigen den Eingang Ihres Antrags. Sie verweisen darin auf…
Details
Von
Kassenärztliche Bundesvereinigung
Betreff
AW: <<Extern>> Zugang zu KV-Safenet.de [#293281]
Datum
28. November 2023 14:02
Status
Warte auf Antwort
Intern Sehr << Antragsteller:in >> wir bestätigen den Eingang Ihres Antrags. Sie verweisen darin auf den Zugang zum Online-Portal der Kassenärztlichen Vereinigung Berlin. Ihr Antrag ist an <<E-Mail-Adresse>> gerichtet und erreicht damit die Kassenärztliche Bundesvereinigung erreicht. Bei beiden genannten Organisationen handelt es sich um zwei verschiedene Körperschaften des öffentlichen Rechts. Wir gehen davon aus, dass es sich um eine Fehladressierung handelt und würden den Antrag nicht weiterbearbeiten, sofern wir von Ihnen nichts Gegenteiliges hören. Mit freundlichen Grüßen
Noch keine Kommentare. Please login to write a comment.
<< Anfragesteller:in >>
am 29.11.2023
Sehr << Anrede >> herzlichen Dank für Ihre Antwort. Die KVB verweist in der Antwort auf die inhaltlich…
An Kassenärztliche Bundesvereinigung Details
Von
<< Anfragesteller:in >>
Betreff
AW: <<Extern>> Zugang zu KV-Safenet.de [#293281]
Datum
29. November 2023 11:54
An
Kassenärztliche Bundesvereinigung
Status
E-Mail wurde erfolgreich versendet.
Sehr << Anrede >> herzlichen Dank für Ihre Antwort. Die KVB verweist in der Antwort auf die inhaltliche gleiche Anfrage auf die KBV. Unter https://fragdenstaat.de/anfrage/zugang-zu-kv-safenet-de/ finden Sie den Schriftverkehr mit der KVB. Meine Anfrage ist keine Irrläufer, sondern bewusst und gewollt an die KBV gerichtet. Mit freundlichen Grüßen << Antragsteller:in >> << Antragsteller:in >> Anfragenr: 293281 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/293281/
Noch keine Kommentare. Please login to write a comment.

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Kassenärztliche Bundesvereinigung
am 20.12.2023
Extern-Vertraulich Sehr << Antragsteller:in >> das Sichere Netz der KVen (SNK) ist als sogenanntes …
Details
Von
Kassenärztliche Bundesvereinigung
Betreff
AW: <<Extern>> Zugang zu KV-Safenet.de [#293281]
Datum
20. Dezember 2023 10:22
Status
Warte auf Antwort
image001.gif
1,9 KB
Extern-Vertraulich Sehr << Antragsteller:in >> das Sichere Netz der KVen (SNK) ist als sogenanntes Bestandsnetz an die Telematikinfrastruktur (TI) angebunden. Die gematik nennt diese Art der Anbindung WANDA-Basic. In dem angeführten Dokument der KV-Berlin handelt es sich nicht um vorzunehmende (Firewall-)Freischaltungen, sondern um die Umsetzung einer Routingregel. Diese ist notwendig, um aus einem Netz wie bspw. der TI eine Verbindung in ein anderes Subnetz bzw. Bestandsnetz, bspw. das SNK, zu realisieren. Hiermit werden keine Sicherheitseinstellungen geändert oder gar Firewall-Regeln eingerichtet. Wenn das Routing etabliert ist, kann ein TI-Nutzer Dienste im SNK erreichen. Weiterhin können die in der Routingregel verwendeten IP-Adressen mittels Firewall-Regeln beregelt werden. Die Spezifikationen und weitere Informationen zu WANDA-Basic können hierzu bei der gematik (www.gematik.de<http://www.gematik.de>) eingesehen werden. Nach den Spezifikationen zu WANDA-Basic ist ein Verbindungsaufbau aus dem SNK in die TI nicht erlaubt und wird am Netzübergang durch ein von der gematik vorgeschriebenes Sicherheitsgateway (SGW) verhindert. Die von Ihnen befürchtete Gefährdung ist durch technische Mittel (das SGW) ausgeschlossen. Für weitere Informationen hierzu wenden Sie sich bitte an die gematik. Die von Ihnen erwähnte Zertifikatsinfrastruktur oder auch so genannte Publik Key Infrastruktur (PKI) wird von der gematik spezifiziert und betrieben. Für weitere Informationen hierzu wenden Sie sich bitte an die gematik. Informationen zum SNK sind online unter folgendem Link verfügbar: https://www.kbv.de/html/5536.php. Freundliche Grüße
Noch keine Kommentare. Please login to write a comment.