mirror of
https://github.com/theoleuthardt/hwr-notes.git
synced 2026-06-06 01:21:09 +00:00
docs: add obsidian hwr docs
This commit is contained in:
theoleuthardt
parent
b2636f4b92
commit
850aa3455d
245 changed files with 30757 additions and 0 deletions
BIN
IT-Sicherheit/Vortrag Sicherheitsvorfall D-Trust 2025/.DS_Store
vendored
Normal file
BIN
IT-Sicherheit/Vortrag Sicherheitsvorfall D-Trust 2025/.DS_Store
vendored
Normal file
Binary file not shown.
Binary file not shown.
|
|
@ -0,0 +1,124 @@
|
|||
# Kurzvortrag: Sicherheitsvorfall D-Trust
|
||||
**Datum des Vorfalls:** 13. Januar 2025
|
||||
**Betroffenes Unternehmen:** D-Trust GmbH (Tochterunternehmen der Bundesdruckerei-Gruppe)
|
||||
|
||||
---
|
||||
## 1. Was ist passiert?
|
||||
### Hintergrund: Wer ist D-Trust?
|
||||
Die D-Trust GmbH ist ein Tochterunternehmen der Bundesdruckerei-Gruppe und seit 2016 als qualifizierter Vertrauensdiensteanbieter gemäß der eIDAS-Verordnung bei der Bundesnetzagentur gelistet. Das Unternehmen stellt unter anderem digitale Zertifikate, elektronische Signaturen sowie elektronische Heilberufsausweise (eHBA) und Praxis- bzw. Institutionsausweise (SMC-B) her – Produkte also, die für den Zugriff auf die Telematikinfrastruktur und damit auch auf die elektronische Patientenakte (ePA) benötigt werden.
|
||||
|
||||
### Der Vorfall
|
||||
Am 13. Januar 2025 wurde festgestellt, dass das **Antragsportal für Signatur- und Siegelkarten** (portal.d-trust.net) Ziel eines Angriffs geworden war. Eine Schnittstelle (API) des Portals wurde gezielt manipuliert, wodurch Daten aus dem Antragsbearbeitungssystem ausgelesen werden konnten.
|
||||
|
||||
### Wer steckte dahinter?
|
||||
Es handelte sich **nicht** um einen kriminellen Angriff. Ein anonymer **Sicherheitsforscher (White-Hat-Hacker)** hatte Anfang Januar 2025 eine Schwachstelle in der API des Portals entdeckt. Er meldete das Datenleck unmittelbar an den **Chaos Computer Club (CCC)** und versicherte die restlose Löschung aller abgerufenen Daten. Der Forscher wandte sich bewusst nicht direkt an D-Trust, sondern an den CCC – aus Angst vor strafrechtlicher Verfolgung aufgrund des sogenannten „Hackerparagraphen" (§ 202a StGB).
|
||||
|
||||
### Welche Daten waren betroffen?
|
||||
Potenziell entwendet wurden personenbezogene Daten von Antragstellern, darunter:
|
||||
|
||||
- Vor- und Nachname
|
||||
- E-Mail-Adresse
|
||||
- Telefonnummer
|
||||
- Geburtsdatum
|
||||
- Teilweise Adressdaten
|
||||
- Teilweise Daten des Ausweisdokuments (Dokumentennummer, Gültigkeitsdatum, ausstellende Behörde)
|
||||
|
||||
**Nicht betroffen** waren laut D-Trust: Login-Daten (Passwörter), PINs, Zahlungsinformationen und bereits ausgegebene Signatur- und Siegelkarten.
|
||||
|
||||
### Wer war betroffen?
|
||||
Da D-Trust als Dienstleister für zahlreiche Landesärztekammern, Kassenärztliche Vereinigungen und Apothekerkammern tätig ist, betraf der Vorfall potenziell Tausende Ärztinnen und Ärzte, Psychotherapeuten sowie Apothekerinnen und Apotheker in ganz Deutschland, die einen eHBA oder SMC-B-Ausweis beantragt hatten.
|
||||
|
||||
---
|
||||
|
||||
## 2. Einschätzung der Situation
|
||||
|
||||
### Schwere des Vorfalls
|
||||
Der Vorfall ist als **gravierend** einzustufen – weniger wegen des unmittelbaren Schadens, sondern wegen der strukturellen und symbolischen Dimension:
|
||||
|
||||
- **Vertrauensbruch:** Ein Unternehmen, das sich als „Vorreiter für sichere digitale Identitäten" positioniert und Vertrauensdienste nach höchsten Sicherheitsstandards verspricht, hat hochsensible personenbezogene Daten unzureichend geschützt.
|
||||
- **Kritische Infrastruktur:** D-Trust ist Teil der Sicherheitsarchitektur des deutschen Gesundheitswesens (Telematikinfrastruktur, ePA). Ein Sicherheitsvorfall bei einem solchen Anbieter erschüttert das Vertrauen in die gesamte digitale Gesundheitsinfrastruktur.
|
||||
- **Art der Schwachstelle:** Der CCC bezeichnete den Vorfall als Ergebnis einer „Kombination aus Versehen, Inkompetenz und mangelnder Sorgfalt". Es wurden nach CCC-Darstellung keine aufwändigen Schutzmaßnahmen umgangen – die Daten waren faktisch über eine ungesicherte Schnittstelle zugänglich.
|
||||
|
||||
### Reaktion von D-Trust
|
||||
D-Trust reagierte nach der Entdeckung mit folgenden Maßnahmen:
|
||||
|
||||
- Sofortige Auswertung und Sicherung des Portals
|
||||
- Benachrichtigung der Aufsichtsbehörden
|
||||
- Zusammenarbeit mit einem spezialisierten IT-Sicherheitsteam und den Behörden
|
||||
- Individuelle Information der Betroffenen
|
||||
- **Strafanzeige gegen Unbekannt**
|
||||
|
||||
### Kritik an der Reaktion
|
||||
Die Strafanzeige gegen den Sicherheitsforscher stieß auf massive Kritik. Der CCC warf D-Trust vor, mit „bedeutungsschwangerer Cyber-Rhetorik" von der eigenen Verantwortung ablenken zu wollen. CCC-Sprecher Linus Neumann formulierte einen **5-Punkte-Plan** an D-Trust, der u.a. forderte:
|
||||
|
||||
1. **Verantwortung übernehmen** für die Sicherheitslücke
|
||||
2. **Förmliche Entschuldigung** gegenüber Strafverfolgungsbehörden, Aufsichtsbehörden und dem CCC
|
||||
3. Erreichung von **Sicherheitsstandards des aktuellen Jahrhunderts**
|
||||
4. **Abschaffung der Hackerparagraphen** (§ 202a StGB)
|
||||
5. **Empfindliche Strafe** durch die Bundesdatenschutzbeauftragte
|
||||
|
||||
---
|
||||
|
||||
## 3. Konsequenzen
|
||||
|
||||
### Für die Betroffenen
|
||||
- **Erhöhtes Risiko für Phishing und Identitätsdiebstahl:** Kombination aus Name, Geburtsdatum, E-Mail und teilweise Ausweisdaten bietet Angreifern eine breite Grundlage für gezielte Social-Engineering-Angriffe.
|
||||
- **Langfristige Wachsamkeit nötig:** Betroffene wurden von D-Trust und den Kammern aufgefordert, in den kommenden Monaten besonders aufmerksam bei E-Mails und Telefonanrufen zu sein.
|
||||
- **Möglichkeit zur Strafanzeige:** Betroffene können bei der Polizei Anzeige erstatten, insbesondere wenn ein Missbrauch ihrer Daten festgestellt wird.
|
||||
|
||||
### Für D-Trust und die Bundesdruckerei
|
||||
|
||||
- **Reputationsschaden:** Als Vertrauensdiensteanbieter wiegt ein solcher Vorfall besonders schwer und gefährdet das Geschäftsmodell.
|
||||
- **Mögliche aufsichtsrechtliche Konsequenzen:** Die Bundesdatenschutzbeauftragte und die Bundesnetzagentur könnten Maßnahmen oder Bußgelder verhängen.
|
||||
- **DSGVO-Relevanz:** Der Vorfall fällt unter die Meldepflicht gemäß Art. 33/34 DSGVO und könnte zu Schadensersatzansprüchen Betroffener führen.
|
||||
|
||||
### Für das Gesundheitswesen
|
||||
- **Vertrauensverlust in die Telematikinfrastruktur:** Der Vorfall kam zeitlich ungünstig kurz vor der breiten Einführung der elektronischen Patientenakte (ePA 3.0) und nährt bestehende Vorbehalte.
|
||||
- **Grundsatzdebatte über Datensicherheit:** Der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber wies darauf hin, dass die ePA 3.0 in einigen Bereichen niedrigere Sicherheitsstandards als ihre Vorgängerversion aufweist.
|
||||
|
||||
### Für die Sicherheitsforschung
|
||||
- **Erneute Debatte über den Hackerparagraphen (§ 202a StGB):** Der Fall verdeutlicht das Dilemma von Sicherheitsforschern in Deutschland, die Schwachstellen entdecken, aber fürchten müssen, dafür strafrechtlich verfolgt zu werden.
|
||||
- **Der CCC kritisierte, dass die Ampel-Koalition** es versäumt habe, die Hacker-Paragraphen abzuschaffen und Sicherheitsforschung zu entkriminalisieren.
|
||||
|
||||
---
|
||||
|
||||
## 4. Was kann getan werden, um zukünftige Fälle zu vermeiden?
|
||||
|
||||
### Technische Maßnahmen
|
||||
- **API-Sicherheit:** Regelmäßige Sicherheitsaudits und Penetrationstests aller öffentlich erreichbaren Schnittstellen – insbesondere bei Systemen, die sensible personenbezogene Daten verarbeiten.
|
||||
- **Zugriffskontrolle (Access Control):** Implementierung robuster Authentifizierungs- und Autorisierungsmechanismen auf API-Ebene (z.B. Rate Limiting, Token-basierte Zugriffskontrolle, Least-Privilege-Prinzip).
|
||||
- **Datenminimierung:** Nur die für den jeweiligen Vorgang zwingend notwendigen Daten sollten im Portal vorgehalten und über APIs zugänglich sein. Sensible Daten wie Ausweisdaten sollten nicht dauerhaft online bereitgestellt werden.
|
||||
- **Monitoring und Anomalie-Erkennung:** Echtzeit-Überwachung von API-Zugriffen, um ungewöhnliche Abfragemuster frühzeitig zu erkennen.
|
||||
- **Security by Design:** Sicherheit muss von Anfang an in die Softwareentwicklung integriert werden, nicht erst nachträglich aufgesetzt werden.
|
||||
|
||||
### Organisatorische Maßnahmen
|
||||
|
||||
- **Responsible-Disclosure-Programm:** Einrichtung eines transparenten und rechtlich abgesicherten Meldeverfahrens für Sicherheitsforscher (Bug-Bounty-Programme), damit Schwachstellen ohne Angst vor Strafverfolgung gemeldet werden können.
|
||||
- **Regelmäßige externe Sicherheitsaudits:** Unabhängige Überprüfung der gesamten Infrastruktur durch externe Experten.
|
||||
- **Incident-Response-Plan:** Klare Prozesse für den Umgang mit Sicherheitsvorfällen, einschließlich einer transparenten und verhältnismäßigen Kommunikation.
|
||||
- **Schulung und Sensibilisierung:** Regelmäßige Sicherheitsschulungen für alle Mitarbeitenden, die an der Entwicklung und dem Betrieb von Portalen beteiligt sind.
|
||||
|
||||
### Regulatorische und politische Maßnahmen
|
||||
|
||||
- **Reform des § 202a StGB (Hackerparagraph):** Die Kriminalisierung von gutgläubiger Sicherheitsforschung muss beendet werden. Sicherheitsforscher, die Schwachstellen verantwortungsvoll melden, brauchen Rechtssicherheit. Der Koalitionsvertrag der aktuellen Bundesregierung sollte hierzu klare Zusagen machen.
|
||||
- **Stärkung der Aufsichtsbehörden:** Die Bundesdatenschutzbeauftragte und die Bundesnetzagentur müssen über ausreichende Ressourcen und Durchsetzungsinstrumente verfügen, um Vertrauensdiensteanbieter effektiv zu kontrollieren.
|
||||
- **Verbindliche Sicherheitsstandards für kritische Infrastruktur:** Anbieter, die im Gesundheitswesen oder in der Sicherheitsinfrastruktur tätig sind, sollten verpflichtend regelmäßige Sicherheitszertifizierungen durchlaufen.
|
||||
- **Transparenzpflichten:** Unternehmen wie D-Trust sollten verpflichtet werden, Sicherheitsvorfälle zeitnah und umfassend zu kommunizieren – ohne beschönigende Rhetorik.
|
||||
|
||||
---
|
||||
|
||||
## Quellen
|
||||
|
||||
|Quelle|Link|
|
||||
|---|---|
|
||||
|D-Trust GmbH – Offizielle Meldung|[d-trust.net](https://www.d-trust.net/de/newsroom/news/information-datenschutzvorfall-13-januar-2025)|
|
||||
|Chaos Computer Club – Stellungnahme & 5-Punkte-Plan|[ccc.de](https://www.ccc.de/de/updates/2025/dont-trust)|
|
||||
|Heise Online – CCC spricht von „Cyber-Augenwischerei"|[heise.de](https://www.heise.de/news/Nach-Sicherheitsluecke-bei-D-Trust-CCC-spricht-von-Cyber-Augenwischerei-10256537.html)|
|
||||
|Security Insider – Cyberangriff auf D-Trust|[security-insider.de](https://www.security-insider.de/cyberangriff-d-trust-white-hat-hacker-datenklau-a-ef2fa8f79845393e1a8c45ef004043d1/)|
|
||||
|Ärztekammer Niedersachsen – Information zum Vorfall|[aekn.de](https://www.aekn.de/detail/wichtige-information-zum-datenschutzvorfall-bei-d-trust)|
|
||||
|Landesärztekammer Baden-Württemberg|[aerztekammer-bw.de](https://www.aerztekammer-bw.de/achtung-datenschutzvorfall-bei-d-trust-87b2c4d3f6918f21)|
|
||||
|KV Sachsen – Datenschutzvorfall|[kvsachsen.de](https://www.kvsachsen.de/fuer-praxen/aktuelle-informationen/praxis-news/datenschutzvorfall-bei-der-bundesdruckerei-d-trust)|
|
||||
|Apothekerkammer Nordrhein|[aknr.de](https://www.aknr.de/kammer/aktuelles/datenschutzvorfall-bei-der-bundesdruckerei-d-trust-gmbh)|
|
||||
|Borns IT- und Windows-Blog|[borncity.com](https://www.borncity.com/blog/2025/01/17/datenschutzvorfall-bei-der-d-trust-gmbh-13-1-2025/)|
|
||||
|Pharmazeutische Zeitung – CCC-Stellungnahme|[pharmazeutische-zeitung.de](https://www.pharmazeutische-zeitung.de/hackerangriff-war-laut-ccc-hausgemachtes-datenleck-152746/)|
|
||||
|DSGVO-Portal – Sicherheitsvorfalls-Datenbank|[dsgvo-portal.de](https://www.dsgvo-portal.de/sicherheitsvorfaelle/sicherheitsvorfall-d-trustbundesdruckerei-DE-8107.php)|
|
||||
111
IT-Sicherheit/Vortrag Sicherheitsvorfall D-Trust 2025/skript.md
Normal file
111
IT-Sicherheit/Vortrag Sicherheitsvorfall D-Trust 2025/skript.md
Normal file
|
|
@ -0,0 +1,111 @@
|
|||
# Vortragsskript – D-Trust Sicherheitsvorfall 2025
|
||||
**Theo Leuthardt · Modul: IT-Sicherheit · ca. 5 Minuten**
|
||||
|
||||
---
|
||||
## Folie 1 – Titel
|
||||
Ich möchte euch heute einen realen Sicherheitsvorfall vorstellen, der Anfang 2025 für Aufsehen gesorgt hat: den Datenleck bei der D-Trust GmbH.
|
||||
|
||||
> 📝 **Speaker Notes**
|
||||
> - Kurz Pause lassen, Blickkontakt herstellen bevor es losgeht
|
||||
> - „D-Trust" bewusst langsam aussprechen – viele kennen das Unternehmen nicht
|
||||
|
||||
---
|
||||
|
||||
## Folie 2 / 3 – Wer ist die D-Trust?
|
||||
|
||||
D-Trust ist eine Tochtergesellschaft der Bundesdruckerei-Gruppe – also einem Unternehmen, das direkt dem Bund gehört. D-Trust ist seit 2016 ein sogenannter **qualifizierter Vertrauensdiensteanbieter** nach der europäischen eIDAS-Verordnung.
|
||||
|
||||
Was das bedeutet: D-Trust stellt digitale Zertifikate und Ausweise aus – unter anderem den **eHBA**, den elektronischen Heilberufsausweis, und die **SMC-B-Karte**, die Praxisausweis-Karte. Damit authentifizieren sich Ärzte und Apotheker in der Telematikinfrastruktur, also dem digitalen Gesundheitsnetz Deutschlands. D-Trust hat also eine zentrale Vertrauensrolle – und genau das macht den Vorfall besonders brisant.
|
||||
|
||||
> 📝 **Speaker Notes**
|
||||
> - Auf das Organigramm zeigen: D-Trust ist nur eine von mehreren Töchtern
|
||||
> - Kernbotschaft: D-Trust ist kein kleines Startup – das ist ein staatlich geprägter Anbieter mit Vertrauensauftrag
|
||||
> - eHBA & SMC-B kurz erklären falls Fragen kommen: „Das sind quasi digitale Ausweise für Arztpraxen"
|
||||
> - „Telematikinfrastruktur" = das sichere Netz, das alle Arztpraxen, Apotheken und Krankenkassen verbindet
|
||||
|
||||
---
|
||||
|
||||
## Folie 4 / 5 – Der Vorfall
|
||||
|
||||
Am **13. Januar 2025** wurde ein schwerwiegender Datenschutzvorfall bekannt. Das Antragsportal von D-Trust hatte eine API-Schnittstelle, die **völlig ungeschützt** war – keine Authentifizierung, keine Zugangskontrolle.
|
||||
|
||||
Ein White-Hat-Hacker, also ein gutgläubiger Sicherheitsforscher, entdeckte das Problem: Durch simples Durchnummerieren von Antrags-IDs – das nennt man **IDOR**, Insecure Direct Object Reference – konnte er alle Datensätze abrufen. Kein Exploit, kein Passwort. Die Tür stand offen. Der Forscher versicherte anschließend, alle abgerufenen Daten restlos gelöscht zu haben.
|
||||
|
||||
Er wandte sich allerdings bewusst nicht direkt an D-Trust – aus Angst vor **§ 202a StGB**, dem Hackerparagraphen – sondern an den Chaos Computer Club. Der CCC fasste es treffend zusammen: „Kombination aus Versehen, Inkompetenz und mangelnder Sorgfalt." Es wurden keine aufwändigen Schutzmechanismen umgangen – die Daten waren faktisch ungeschützt.
|
||||
|
||||
> 📝 **Speaker Notes**
|
||||
> - IDOR kurz erklären: „Man hat einfach die Zahl in der URL hochgezählt – 1, 2, 3 – und jedes Mal kamen andere Nutzerdaten zurück"
|
||||
> - Betonung: Das ist kein hochentwickelter Angriff, das ist Grundschulfehler in der Webentwicklung
|
||||
> - § 202a Angst des Hackers ist wichtig für später (Prävention) – kurz im Hinterkopf behalten
|
||||
> - CCC-Zitat langsam und pointiert vorlesen
|
||||
|
||||
---
|
||||
|
||||
## Folie 6 / 7 – Betroffene Kunden & Daten
|
||||
|
||||
Betroffen waren tausende Heilberufler in ganz Deutschland – Ärztinnen und Ärzte, Psychotherapeuten und Apotheker, die über ihre Kammern einen eHBA oder SMC-B beantragt hatten.
|
||||
|
||||
Abgeflossen sind persönliche Daten wie Name, E-Mail, Telefonnummer, Geburtsdatum und teilweise sogar Ausweisdaten wie Dokumentennummer und Gültigkeitsdatum. Passwörter, PINs oder die ausgegebenen Karten selbst waren glücklicherweise nicht betroffen.
|
||||
|
||||
> 📝 **Speaker Notes**
|
||||
> - Auf die rote und grüne Karte zeigen: links was weg ist, rechts was verschont blieb
|
||||
> - „Tausende" – genaue Zahl wurde nie offiziell kommuniziert, was selbst schon Kritikpunkt war
|
||||
> - Die Datenkombination betonen: Name + Geburtsdatum + E-Mail + Ausweisdaten zusammen ist sehr gefährlich für Identitätsdiebstahl – auch wenn jedes Datum einzeln harmlos klingt
|
||||
|
||||
---
|
||||
|
||||
## Folie 8 / 9 – Reaktion & Kritik
|
||||
|
||||
D-Trust reagierte: Portal gesichert, Behörden informiert, Betroffene benachrichtigt. Allerdings stellten sie auch **Strafanzeige gegen Unbekannt** – also gegen den Hacker, der die Lücke überhaupt erst gemeldet hat. Das sorgte für erhebliche Kritik.
|
||||
|
||||
CCC-Sprecher Linus Neumann veröffentlichte einen 5-Punkte-Plan: Verantwortung übernehmen, förmliche Entschuldigung, Sicherheitsstandards des aktuellen Jahrhunderts einhalten, den Hackerparagraphen abschaffen, und eine empfindliche Strafe durch die Bundesdatenschutzbeauftragte. D-Trust wurde vorgeworfen, mit „bedeutungsschwangerer Cyber-Rhetorik" von der eigenen Verantwortung ablenken zu wollen.
|
||||
|
||||
> 📝 **Speaker Notes**
|
||||
> - Strafanzeige gegen den Hacker kurz sacken lassen – das ist die absurde Pointe: derjenige, der das Problem gefunden hat, wird angezeigt
|
||||
> - „Bedeutungsschwangere Cyber-Rhetorik" erklären falls gefragt: D-Trust sprach von „Cyberangriff" und „hochentwickelten Methoden" – obwohl es eine offene Tür war. Das klingt dramatisch, lenkt aber von der eigenen Schlamperei ab
|
||||
> - Linus Neumann = bekanntes CCC-Gesicht, Podcast „Chaos Radio"
|
||||
|
||||
---
|
||||
|
||||
## Folie 10 – Auswirkungen
|
||||
|
||||
Die Folgen sind dreifach: Für die Betroffenen besteht erhöhtes Risiko für Phishing und Identitätsdiebstahl – die Kombination aus Name, Geburtsdatum, E-Mail und Ausweisdaten ist ideal für gezielte Social-Engineering-Angriffe.
|
||||
|
||||
Für D-Trust ist es ein massiver Reputationsschaden – für einen Vertrauensdiensteanbieter besonders schwerwiegend – und es drohen DSGVO-Bußgelder nach Art. 33 und 34.
|
||||
|
||||
Und fürs Gesundheitswesen: Der Vorfall kam zeitlich ungünstig kurz vor der breiten Einführung der elektronischen Patientenakte 3.0. Der ehemalige Bundesdatenschutzbeauftragte Ulrich Kelber wies in dem Zusammenhang darauf hin, dass die ePA 3.0 in einigen Bereichen sogar niedrigere Sicherheitsstandards als ihre Vorgängerversion aufweist. Das nährt bestehende Vorbehalte erheblich.
|
||||
|
||||
> 📝 **Speaker Notes**
|
||||
> - Die drei Spalten kurz abarbeiten, nicht zu lange bei jeder verweilen
|
||||
> - Kelber-Zitat ist ein guter Aufhänger: zeigt, dass das Problem systemischer Natur ist, nicht nur ein D-Trust-Einzelfall
|
||||
> - Art. 33/34 DSGVO falls gefragt: 33 = Meldepflicht an Behörde, 34 = Informationspflicht gegenüber Betroffenen – D-Trust hat das erfüllt, aber trotzdem drohen Bußgelder wenn die Sicherheit unzureichend war
|
||||
|
||||
---
|
||||
|
||||
## Folie 11 / 12 – Präventionsmaßnahmen
|
||||
|
||||
Was hätte verhindert werden können? Technisch: regelmäßige API-Audits und Pentests, Authentifizierung, Datenminimierung und Echtzeit-Monitoring. Organisatorisch: ein Responsible-Disclosure-Programm, damit Sicherheitsforscher Lücken sicher melden können, und ein klarer Incident-Response-Plan.
|
||||
|
||||
Und regulatorisch – und das ist das eigentliche Kernproblem dieses Falls: **§ 202a StGB muss reformiert werden.** Der CCC kritisierte, dass die Ampel-Koalition es versäumt hatte, die Hackerparagraphen abzuschaffen und Sicherheitsforschung zu entkriminalisieren. Wer Lücken verantwortungsvoll meldet, darf nicht bestraft werden. Solange das so ist, werden Lücken lieber nicht gemeldet – und das ist letztlich gefährlicher als jeder Angriff.
|
||||
|
||||
> 📝 **Speaker Notes**
|
||||
> - Den Bogen zurück zu Folie 5 schlagen: genau weil § 202a existiert, ging der Hacker zum CCC statt direkt zu D-Trust
|
||||
> - Responsible Disclosure erklären falls nötig: strukturierter Prozess, bei dem Forscher Lücken vertraulich melden können, ohne Strafverfolgung zu riskieren – viele große Firmen haben das (Google, Microsoft etc.)
|
||||
> - Letzten Satz als Abschlussgedanken betonen und kurze Pause danach lassen
|
||||
|
||||
---
|
||||
|
||||
## Folie 13 / 14 – Quellen & Ende
|
||||
|
||||
Die Quellen findet ihr auf der Quellenfolie. Vielen Dank – ich bin gespannt auf eure Fragen.
|
||||
|
||||
> 📝 **Speaker Notes**
|
||||
> - Mögliche Fragen vorbereiten:
|
||||
> - *„Wurde D-Trust bestraft?"* → Bis dato keine öffentlichen Bußgelder bekannt, Ermittlungen laufen
|
||||
> - *„Wurde der Hacker angezeigt?"* → Strafanzeige wurde gestellt, Ausgang nicht öffentlich bekannt
|
||||
> - *„Ist die ePA sicher?"* → Politisch umstritten, Kelber-Kritik als Aufhänger
|
||||
> - *„Was ist IDOR genau?"* → URL-Parameter oder ID hochzählen, um auf fremde Datensätze zuzugreifen
|
||||
|
||||
---
|
||||
|
||||
> **Zeithinweis:** ca. 20–25 Sek. pro Folie, Gesamtdauer ~5 Min.
|
||||
Loading…
Add table
Add a link
Reference in a new issue