Wo wir gerade beim BSI waren: Die Gematik hatte ja versucht, ihr umfangreiches Versagen dem BSI in die Schuhe zu schieben. So ala "wir arbeiten in dem Projekt ja eng mit dem BSI zusammen" und implizit mitschwingend das wäre deren Job gewesen, uns auf unsere Sicherheitslücken hinzuweisen.
Auf der einen Seite: Klar. Wenn das BSI was mit Security zu tun hätte. Haben sie aber nicht. Das BSI macht Compliance. Klar bringt das nichts am Ende. Dafür kriegst du einen tollen Sticker, dass der Hersteller versichert, ordentlich gearbeitet zu haben.
Aber das BSI legt jetzt doch Wert darauf [0], hier nicht als so inkompetent dargestellt zu werden, wie sie waren.
>"Die Frage, ob die für das Angriffsszenario notwendigen zusätzlichen Patienteninformationen strukturell angemessen geschützt sind, entzieht sich dem Aufgabenbereich des BSI", teilt eine Sprecherin der Bonner Behörde auf Anfrage mit.
Mein Name ist Hase, ich weiß von nichts!
Das muss ja eine brutalstmögliche Prüfung gewesen sein, wenn das BSI am Ende nicht sagen kann, ob angemessene Schutzmaßnahmen getroffen wurden.
Aber hey, keine Sorge. Das BSI hat für solche Fälle eine Geheimwaffe! Diffuse, nebulöse Warnungen von "Restrisiken"!
>Die IT-Sicherheitsbehörde weist zudem darauf hin: "Das BSI hatte auf ein bestehendes Restrisiko für gezielte Angriffe auf die ePA durch ein solches potentielles Szenario hingewiesen und seine Stakeholder darüber vor dem bundesweiten ePA-Rollout informiert."
Und damit ist dann ja wohl eine Sache völlig klar: Das BSI wäsche seine Hände in Inkompetenz Unschuld!
>Damit sieht das BSI die Verantwortung klar bei den Betreibern der Infrastruktur der elektronischen Patientenakte
Hey, liebes BSI? Was macht ihr nochmal beruflich? Wieso, würdet ihr sagen, wurdet ihr hier hinzugezogen? Wenn nicht um zu prüfen, ob die Betreiber das ordentlich machen?
Ein Flohzirkus, dieser ganze Laden, ey. Mann Mann Mann.
[0] https://heise.de/-10369099
https://blog.fefe.de/?ts=96ea5649