Gröanzdaunf

^{„Betreiber der Website und Verantwortlicher ist: Nanz medico GmbH & Co. KG vertreten durch die persönlich haftende Gesellschafterin: Nanz medico Verwaltungsgesellschaft mbH, diese wiederum vertreten durch die Geschäftsführer: Markus Frenzer (aber Gendern können sie!), Carsten Behrenz, Harald Korb“ (auf Schalke?!)}

Nur mal kurz zwischendurch: Datenreichtum bei den ZAR-Reha-Kliniken in ganz Deutschland. „Abrufbar waren unter anderem hochsensible Patientendaten“ (via Heise und Fefe).

„Die betroffenen Reha-Zentren stehen unter dem Dach der Nanz medico, nach eigenen Angaben der größte Anbieter ambulanter Reha-Leistungen in Deutschland. Insgesamt gehören dazu 39 Reha-Kliniken.“

„Einem Nutzer der App fiel auf, dass sie unverschlüsselt mit dem Internet kommuniziert und seine Terminpläne im Klartext vom Server abgerufen hat. Dabei zählt der Einsatz einer Transportverschlüsselung (TLS) bei Apps seit vielen Jahren zum Standard und zu den rudimentären Sicherheitsmaßnahmen.“ Au weia. Noch nicht mal TLS?

„Hackerkenntnisse waren zur Einsicht der Daten nicht nötig, es reichte aus, an irgendeinem Punkt der Übertragung einen Blick auf die Verbindungen zu werfen, zum Beispiel mit der Analyse-App PCAPdroid [gleich installiert!] direkt auf dem Smartphone. Auch Sicherheitsmaßnahmen mussten dafür nicht überwunden werden. Jeder Dritte hätte die ungeschützten Klartext-Verbindungen leicht einsehen können…“

Ich weiß nicht, wer denen die App programmiert hat, aber stehen Details zur Sicherheit nicht im Pflichtenheft des Auftrags? „Bitte Daten nicht im Klartext im Internet übertragen?“ So etwas weiß sogar ich.

„Einblicke in die Diagnosen waren möglich. Der Umfang des Datenlecks ist erheblich: Allein einer der Standorte hat augenscheinlich Daten von über 80.000 Patienten ausgeliefert. Die Daten reichen über viele Jahre zurück.“

Sozusagen der GRÖßtmögliche ANZunehmende DAtenUNFall.

Wir vermuten alle ganz richtig: „Die Klinik gab den wichtigen Hinweis offenbar an ihr Mutterunternehmen Nanz medico GmbH & Co. KG weiter, die daraufhin zumindest den Datenzugriff schnell unterbinden konnte. Seitdem werden die Daten transportverschlüsselt ausgeliefert und externe Zugriffe auf die sensiblen Informationen werden mit einer Fehlermeldung unterbunden.“ Ist der „Internet-Dienstleister“ auch derjenige, der solche Schrott-Apps programmiert und ausliefert? Und prüft der Verursacher des Schadens jetzt sich selbst?

Bei Heise kommentiert jemand: „Es kann doch nicht angehen, das vollkommen ahnungslose Totalversager folgenlos auf die Daten Zig-tausender Menschen losgelassen werden und die in alle Welt verteilen. Die haben ja wirklich jeden Anfängerfehler gemacht, der sich ihnen angeboten hat. Das sieht ja schon fast wie Absicht aus. Diese Standard-Beruhigungsfloskel „Hinweise auf Datenabflüsse oder Manipulationen lägen nicht vor“ ist immerhin glaubwürdig. Wie sollten diese hochbezahlten Anfänger das denn wohl auch mitbekommen? Die kennen ja nicht mal die grundlegendsten Regeln beim Umfang mit IT.“

Und: „Wenn die Geschäftsführung nachweisen kann, dass sie sich um Datenschutz aktiv gekümmert hat, muss man die Stelle/Person finden, die der Geschäftsführung falsche Informationen gegeben hat. Ansonsten muss die Geschäftsführung unmittelbar zur Verantwortung gezogen werden … und zwar schnell.“

Das wird schwierig werden. Alles verschachtelt. Da stelle mer uns wieder janz dumm. Was haben wir auf den ersten Blick?

– Nanz medico GmbH & Co. KG, Amtsgericht Stuttgart, HRB 17320 [die richtige Registernummer ist HRA 12284]
– Nanz medico Verwaltungsgesellschaft mbH, Amtsgericht Stuttgart, HRB 17320
– medicos.AufSchalke Reha GmbH & Co. KG, Amtsgericht Gelsenkirchen Registernummer: HRA 3530 [vermutlich u.v.a.m.]

Viel Spaß beim Suchen nach dem, der den Finger hebt und sagt: Ich bin schuld!

Zar Nanz
^ChatGPT

Januar 31, 2025 | abgelegt unter Internet and Computer, Privacy

Kommentare

3 Kommentare zu “Gröanzdaunf”

Godwin am Januar 31st, 2025 7:16 pm

„es reichte aus, an irgendeinem Punkt der Übertragung einen Blick auf die Verbindungen zu werfen“

Wer würde denn so etwas nur tun?
Da bedarf es doch schon einer grundsätzlichen enormen kriminellen Energie.
Da wird doch bestimmt wieder jemand noch mehr und neue Befugnisse bekommen müssen, um dieser verwerflichen Taten endlich Herr zu werden… ;-)

„vollkommen ahnungslose Totalversager“
Was soll man sagen?
Unsere Vorfahren vom Planeten Golgafrincham waren Filmproduzenten, Telefondesinfizierer, Frisöre, Unternehmensberater und Versicherungsvertreter.
War erwartet man denn da?
Juri Nello am Februar 1st, 2025 3:09 am

Eine GmbH & CO. KG gründet man, um vorher schon die Haftung bestmöglich auszuschliessen, da der Kommanditist….

Das alleine reicht doch schon.

Der Schuldige sitzt ohnehin im Kundendienst und wird dann rausgekärchert und durch KI ersetzt.
bentux am Februar 1st, 2025 8:20 am

Datenreichtum? Das ist doch in Deutschland schon lange kein Problem mehr, da Hacken und Ausspähen verboten ist. Selbst der Versuch ist Strafbar. Drei Monate bis 5 Jahre Knast, die Strafen sollen demnächst noch verschäft werden. Soll Keiner sagen das nix getan wird. Also selbst wenn das Zeugs im Klartext über die Leitung rauscht, ist es nach deutschem Recht verboten, also quasi nicht mehr möglich…
Wie damals Bush, sagte, „Mission acomplished“, auf ganzer Linie.
So nach dem Motto. Wir haben ein Problem mit Messern? Verbieten Wir Sie, da die bösen Buben sich ja auch an die Gesetze halten.

<8*) Der Aluhut meint: Dieser Artikel beschreibt das ganz gut: https://blog.fefe.de/index.html?ts=9f993a35