Das darf doch nicht wahr sein! Gesundheitskarte

Ja, so ist er halt der über alles geliebte Kapitalismus...

Und was würdest du bevorzugen?

Monarchie?

Eine Monarchie kann nicht kapitalistisch sein

Und die Bürgerversicherung kann man mit der Verräterpartei auch vergessen.

Langsam hab ich die GKV satt!

Hallo,

die mit der Gesundheitskarte zusammengeführten Daten sind sensibel und bedürfen des höchsten Schutzes, das steht für mich außer Frage. Vermutlich verfügen nur wenige Unternehmen/Konzerne über das Know-how und die Ressourcen, derartige Projekte zu stemmen. Das dürfte die Auswahl einschränken.
Ich bin übrigens absolut davon überzeugt, dass die informationelle Integration von Krankheitsdaten eine riesige Chance für Ausgabenersparnisse bietet, die man nicht liegen lassen sollte, vor dem Hintergrund der Kosten auf Grund der demographischen Entwicklung nicht liegen lassen kann. Auch der Forschung wird dieses Zusammenführen von Informationen dienen.

Grüße
Frank

Hüb' (Beitrag #7) schrieb:

Ich bin übrigens absolut davon überzeugt, dass die informationelle Integration von Krankheitsdaten eine riesige Chance für Ausgabenersparnisse bietet, die man nicht liegen lassen sollte, vor dem Hintergrund der Kosten auf Grund der demographischen Entwicklung nicht liegen lassen kann. Auch der Forschung wird dieses Zusammenführen von Informationen dienen.

Ich hab halt ein Problem damit, dass man meine persönlichen "Gesundheitsdaten" speichert, ohne dass ich was (im Rahen der Mitgliedschaft bei der GKV) dagegen machen kann.

Hm, diese Daten werden allerdings heute in ganz ähnlichem Umfang über Dich gespeichert, allerdings dezentral und sicher teils von Akteuren, die Dir vermutlich nicht einmal geläufig sind. Mit Hilfe der zentralen Verbindung und Verügbarkeit werden diese Informationen für Behandlungszwecke allerdings erst so richtig wertvoll.

Das Problem ist ja die zentrale Speicherung! Die trägt einer bei bedarf auf dem USB-Stick raus und verkauft die an dritte. Der Erlös wird bei der Menge entsprechend sein, dass es sich richtig lohnt!

Und für wen sollen die Infos wertvoll sein, im Sinne von finanziell wertvoll? Von der privaten Krankenversicherung mal ab.

Das Risiko mit der Weitergabe solcher Daten aufzufliegen tut sich doch niemand an.

Hüb' (Beitrag #11) schrieb:

Und für wen sollen die Infos wertvoll sein, im Sinne von finanziell wertvoll? Von der privaten Krankenversicherung mal ab.

Pharmaunternehmen.

Hüb' (Beitrag #11) schrieb:

Das Risiko mit der Weitergabe solcher Daten aufzufliegen tut sich doch niemand an.

Damit dürften sich ein paar Mio. machen lassen, solle als Anreiz reichen.

Pharmaunternehmen

Welche Infos aus der Krankengeschichte von Lieschen Müller können denn Deiner Ansicht nach - bspw. für ein Pharmaunternehmen wie Bayer-Schering - interessant sein? Wo ist da der Ansatzpunkt für eine kommerzielle Nutzung - mal völlig losgelöst von Compliance-Überlegungen und konkreter Vorstandshaftung?

Hüb' (Beitrag #13) schrieb:

Pharmaunternehmen Welche Infos aus der Krankengeschichte von Lieschen Müller können denn Deiner Ansicht nach - bspw. für ein Pharmaunternehmen wie Bayer-Schering - interessant sein? Wo ist da der Ansatzpunkt für eine kommerzielle Nutzung - mal völlig losgelöst von Compliance-Überlegungen und konkreter Vorstandshaftung? :prost

Was mir spontan einfällt:

Wenn du einen Datensatz der GKV-Versicherten hast, kennst du den potentiellen Markt, kannst deine Produkte, deren Entwicklung und deren Preise optimieren. Vor allem, wenn du die Daten alleine hast.

Wenn du mehrere Datensätze in gewissen zeitlichen Abständen bekommst, kannst du deine Produkte auf eine verbesserte Therapiezeit hin optimieren.

btw. Vorstandshaftung für einen Pharmariesen? Wenn Ostern und Weihnachten zusammenfällt?

Soundscape9255 (Beitrag #14) schrieb:

Wenn du einen Datensatz der GKV-Versicherten hast, kennst du den potentiellen Markt, kannst deine Produkte, deren Entwicklung und deren Preise optimieren. Vor allem, wenn du die Daten alleine hast. Wenn du mehrere Datensätze in gewissen zeitlichen Abständen bekommst, kannst du deine Produkte auf eine verbesserte Therapiezeit hin optimieren.

Nein, das funktioniert so nicht. Selbst wenn im von Dir erfundenen (Abrechnungs-)Datensatz Behandlungs- oder Medikamentionspreise enthalten wären, so gäben diese keinen Aufschluss über die Herstellungskosten der Mitbewerber. Wie hier zum Nachteil der Patienten agiert werden könnte - wie gesagt, dann auf dem Boden verbrecherischer Illegalität - ist mir auch nicht klar. Meines Wissens soll die Gesundheitskarte auch gar keine direkten, abrechnungsbezogenen Daten enthalten. Diese dürften auch weiterhin nur bei den Leistungserbringern und Kostenträgern erzeugt werden und gelangen gar nicht in die Daten-Sphäre der eGK.

kannst du deine Produkte auf eine verbesserte Therapiezeit hin optimieren

Das wäre doch super!

btw. Vorstandshaftung für einen Pharmariesen? Wenn Ostern und Weihnachten zusammenfällt?

Na, wenn Du meinst. Ich empfehle einen Blick auf § 93 AktG - neben einer ganzen Reihe weiterer Gesetze, auch ggf. ausstrahlender Regelungen.

Hüb' (Beitrag #7) schrieb:

Hallo, die mit der Gesundheitskarte zusammengeführten Daten sind sensibel und bedürfen des höchsten Schutzes, das steht für mich außer Frage. Vermutlich haben nur wenige Unternehmen/Konzerne über das Know-how und die Ressourcen, derartige Projekte zu stemmen. Das dürfte die Auswahl einschränken. ... Grüße Frank :prost

Ob die da gerade mit Arvato nicht den Bock zum Gärtner gemacht haben?

Was mich wundert, warum lassen die das nicht bei denen bauen, die schon Erfahrung mit der Entwicklung von ELENA haben? Die Servicegesellschaft des Spitzenverbandes betreibt schließlich auch das Rechenzentrum für den allgemeinen Datenaustausch im Gesundheitswesen, dazu das Trust Center für die Zertifikate und sie sind unter Kontrolle der Öffentlichkeit. Auswertungstechnisch wären sie auch eigentlich der richtige Ansprechpartner, denn es gibt ja bereits Schnittstellen zum statistischen Bundesamt.

Warum also ein Wirtschaftsunternehmen, und viel wichtiger für mich: warum gerade die? Schlimmer gehts doch kaum.

Ich habe da sowohl moralische, wie auch technische Bedenken. Aus gutem Grund und eigener Erfahrung sage ich: Meine Daten sind auf den Servern der NSA sicherer als in Händen von denen.

Hüb' (Beitrag #11) schrieb:

Das Risiko mit der Weitergabe solcher Daten aufzufliegen tut sich doch niemand an. :prost

Schallendes Gelächter. Die deutschen Steuerfahnder profitieren zur Zeit massiv von solchen Leuten.

hier stand quoteschrott....

Soundscape9255 (Beitrag #18) schrieb:

Hüb' (Beitrag #15) schrieb: Soundscape9255 (Beitrag #14) schrieb: Wenn du einen Datensatz der GKV-Versicherten hast, kennst du den potentiellen Markt, kannst deine Produkte, deren Entwicklung und deren Preise optimieren. Vor allem, wenn du die Daten alleine hast. Wenn du mehrere Datensätze in gewissen zeitlichen Abständen bekommst, kannst du deine Produkte auf eine verbesserte Therapiezeit hin optimieren. Nein, das funktioniert so nicht. Selbst wenn im von Dir erfundenen (Abrechnungs-)Datensatz Behandlungs- oder Medikamentionspreise enthalten wären, so gäben diese keinen Aufschluss über die Herstellungskosten der Mitbewerber. Wie hier zum Nachteil der Patienten agiert werden könnte - wie gesagt, dann auf dem Boden verbrecherischer Illegalität - ist mir auch nicht klar. Du brauchst die Herstellungskosten doch garnicht. Es reicht die eigenen zu kennen, den eigenen Marktanteil und den potentiellen Marktanteil der Patienten, sowie dessen Entwicklung und du kannst Preisgestaltung und Produktentwicklung dahingehend optimieren. Hüb' (Beitrag #15) schrieb: Soundscape9255 (Beitrag #14) schrieb: kannst du deine Produkte auf eine verbesserte Therapiezeit hin optimieren Das wäre doch super! Denk mal aus Sicht der Pharmahersteller! Das Optimum ist ein Patient mit Behandlunsgabo, der Regelmäßig und über einen möglichst langen Zeitraum ein Präparat mit möglichst hoher Marge braucht. Das meinte ich mit Therapiezeit optimieren. Hüb' (Beitrag #15) schrieb: btw. Vorstandshaftung für einen Pharmariesen? Wenn Ostern und Weihnachten zusammenfällt? Na, wenn Du meinst. Ich empfehle einen Blick auf § 93 AktG - neben einer ganzen Reihe weiterer Gesetze, auch ggf. ausstrahlender Regelungen. :prost In der Praxis sind solche Konzerne einfach eine Nummer zu groß, denen passiert wenig bis nichts, zumal ein solcher Datenmissbrauch kaum auffliegen wird.

Soundscape9255 (Beitrag #14) schrieb:

Wenn du einen Datensatz der GKV-Versicherten hast, kennst du den potentiellen Markt, kannst deine Produkte, deren Entwicklung und deren Preise optimieren. Vor allem, wenn du die Daten alleine hast.

Du weißt, ob sie Rheuma oder Depressionen haben, oder ADHS, oder irgendetwas anderes, was zwar bei einer Anstellung nicht angegeben werden muss, sich aber direkt auf die Chancen einer Bewerbung auswirken kann wenn es bekannt ist.

Was mich wundert, warum lassen die das nicht bei denen bauen, die schon Erfahrung mit der Entwicklung von ELENA haben?

Ich würde auf Basis eigener professioneller Erfahrungen davon ausgehen, dass die im Gesundheitswesen generierten Daten wahrscheinlich noch komplexer und vielschichtiger sind, als die dem ELENA-Verfahren zugrunde liegenden Informationen.

Paggel (Beitrag #17) schrieb:

Schallendes Gelächter. Die deutschen Steuerfahnder profitieren zur Zeit massiv von solchen Leuten.

Danke für die offenkundig höchst fundierte Abqualifizerung meiner Äußerung.

Wo liegt noch gleich der finanzielle Nutzen einer Auswertung und wer kann diesen generieren? Ohne auf diese Frage eine plausible Antwort zu haben, gibt es gar keine vernünftige Begründung hinsichtlich der Motivation. Dass Mißbrauch möglich wäre steht ja außer Frage.

Paggel (Beitrag #20) schrieb:

Du weißt, ob sie Rheuma oder Depressionen haben, oder ADHS, oder irgendetwas anderes, was zwar bei einer Anstellung nicht angegeben werden muss, sich aber direkt auf die Chancen einer Bewerbung auswirken kann wenn es bekannt ist.

Klar. Dafür gibt ein potenzieller Arbeitgeber, sich dabei strafbar machend, Geld aus, bei einem im Vorhinein unklaren Nutzen.

Diese Haltung ist IMHO recht paranoid.

Das der einzelnen AG an die Daten kommt (Außer sie landen öffentlich im Netz) ist eher unwahrscheinlich. Begründen braucht er eine abgelehnte Bewerbung damit nicht.

Also zu glauben, ein Arbeitgeber kaufe Gesundheitsdaten potenzieller Arbeitnehmer auf dem Wege der Illegalität ein grenzt für mich ans Wahnhafte, auch wenn diese Möglichkeit natürlich nicht völlig auszuschließen ist.

Hüb' (Beitrag #24) schrieb:

Also zu glauben, ein Arbeitgeber kaufe Gesundheitsdaten potenzieller Arbeitnehmer auf dem Wege der Illegalität ein grenzt für mich ans Wahnhafte, auch wenn diese Möglichkeit natürlich nicht völlig auszuschließen ist. :prost

Was wäre mit einem ausländischen Dienstleister, der die Kandidaten über einen Waschabgleich aussortiert? Wie Infoscore es mit Bonitätsdaten macht. Datei mit Namen und Adressen per sftp hin, Datei mit Namen und Adressen wieder zurück, die Gestrichenen sind die Wackelkandidaten. Für den sind diese Daten Gold wert.

Bertelsmann hat seinerzeit für eine frische Adresse, mit zusätzlichen Informationen (wie viele Kinder in welcher Klasse/Schule und Bonität positiv), mehr bezahlt als jetzt eine Schachtel Zigaretten kostet.


Für eine Adresse...

Keine kommerziellen Möglichkeiten?

Ich bin zu lange im Geschäft, habe zu viel gesehen um deinen Optimismus zu teilen.

... und danke für das wahnhafte...

Die Gesundheitsdaten sind nicht für Pharmaunternehmen interessant, sondern z.B. für Versicherungen.

Beispielsweise Krankenzusatzversicherungen.
Die fragen mal kurz deine Krankheitsgeschichte ab und kalkulieren dann auf deren Basis die Versicherungstarife.

Auch für Arbeitgeber sind solche Informationen interessant.
Beispielsweise wenn man einen neuen Job sucht und sich irgendwo bewirbt.
Da prüft dann der Arbeitgeber erst einmal die Krankheitsgeschichte des Bewerbers.
etc. etc.
Oder bei der KFZ-Versicherung:
Oh, der Versicherungsnehmer ist häufig krank, da ist das Unfallrisiko aus Sicht der Versicherung höher als bei gesunden Menschen, ergo gibts da einen Krankheitszuschlag.
etc. etc.
Es gibt viele denkbare Scenarien, bei denen die Krankheitsgeschichte eines Menschen interessant ist.

Aber:
Auch bisher konnte man sich Zugriff auf die Daten verschaffen, man musste nur wissen, wo jemand GKV versichert ist

Und die allermeisten Leute scheint das nicht zu stören, geben die doch sehr viel mehr von sich freiwillig z.B. im Fratzenbuch preis.

Grüße
Roman

Soundscape9255 (Beitrag #10) schrieb:

Das Problem ist ja die zentrale Speicherung! Die trägt einer bei bedarf auf dem USB-Stick raus und verkauft die an dritte. Der Erlös wird bei der Menge entsprechend sein, dass es sich richtig lohnt!

Das sind aber schon reichlich kindische Ansichten.

Bei Bedarf "auf einem USB-Stick" funktioniert schon bei vielen Firmen schon lange nicht mehr.
Wenn ich Daten von den besonders gesicherten Verzeichnissen meines Unternehmens klauen wollte, ginge das nur über Monitor abfotografieren...

Hier sind schon ein wenig paranoide Züge erkennbar...

Versuch mal als Arbeitgeber von Krankenkassen oder gesetzl. Unfallversicherungen Informationen über Versicherte zu bekommen: keine Chance.

Selbst der eigene Betriebsarzt sagt dir als Arbeitgeber (und Auftraggeber!) -richtigerweise!-:
"Entweder gibt Ihnen der Mitarbeiter die Informationen selber oder er gibt mir eine schriftliche Vollmacht, die Daten weiter zu geben."

Apalone (Beitrag #27) schrieb:

Bei Bedarf "auf einem USB-Stick" funktioniert schon bei vielen Firmen schon lange nicht mehr. Wenn ich Daten von den besonders gesicherten Verzeichnissen meines Unternehmens klauen wollte, ginge das nur über Monitor abfotografieren...

Nur weil du es nicht kannst....

Wie Patienten-Daten verschachert werden, zeigt folgendes Beispiel aus meinem Leben:

Ich bekam einen Brief einer Spezialklinik, in dem mir eine Behandlung meines Augenleidens angepriesen wurde.
Da mich der personalisierte und exakt auf meine Bedürfnisse zugeschnittene Brief mißtrauisch machte, recherchierte ich und kam darauf, dass mein Augenarzt meine Augendaten an einen Adresshändler gespielt hatte. Dieser wiederum verkaufte die einschlägigen Daten an die Augenklinik.

Der Adresshändler war erst mit sanftem Druck (dezenter Hinweis auf meine russischen Freunde ) dazu zu bewegen, meine einschlägigen Daten nicht noch einige Dutzend mal weiter zu verkaufen.

Eigentlich kein großes Ding sollte man meinen.
Eingefleischte Gutmenschen werden jetzt gar behaupten es sei doch alles zu meinem Vorteil gelaufen.
Da bin ich aber anderer Meinung!

Denn wenn man jetzt das ganze mit Psychopharmaka mal durchspielen würde, wäre auf diesem Wege jederzeit auch eine Stigmatisierung psychisch kranker Patienten möglich (verletzte Sendung des Briefes auf dem Postweg, etc...)
Unde sowas hatten wir ja schon mal (siehe Drittes Reich).
Nur so als Denkanstoss...

Denonenkult (Beitrag #29) schrieb:

recherchierte ich und kam darauf, dass mein Augenarzt meine Augendaten an einen Adresshändler gespielt hatte.

Hast du das wenigstens zur Anzeige gebracht?

Soundscape9255 (Beitrag #28) schrieb:

Apalone (Beitrag #27) schrieb: Bei Bedarf "auf einem USB-Stick" funktioniert schon bei vielen Firmen schon lange nicht mehr. Wenn ich Daten von den besonders gesicherten Verzeichnissen meines Unternehmens klauen wollte, ginge das nur über Monitor abfotografieren... Nur weil du es nicht kannst.... :L

Wenn die es mit dem Datenschutz Ernst meinen, dann haben die entsprechende Schutzsoftware auf jedem PC drauf.
Und damit ist die Geschichte mit dem USB-Stick schlicht unmöglich.

Haben wir auch in der Firma.
Das wird da zentral verwaltet.
Jeder USB-Stick, der benutzt werden soll, wird dem System explizit bekannt gemacht.
Man kann sogar angeben, an welchen PCs im Netzwerk er benutzt werden darf.
Die Daten werden auf dem Stick verschlüsselt abgespeichert und sind daher von PCs außerhalb des Netzwerkes nicht lesbar.
Fremde USB-Sticks werden von den PCs im Netzwerk nicht akzeptiert.

Wenn jetzt jemand auf die Idee kommen sollte, einfach einen fremden PCs ans Netzwerk anzustöpseln:
Funktioniert auch nicht, Fremd-PCs haben keinen Zugriff auf das Netzwerk.
Auch per Boot-CD ein anderes BS zu starten funktioniert nicht, da die PCs keine optischen Laufwerke haben.

Die Software kann auch USB-Anschlüsse für Datenträger sperren, Netzwerkweit oder pro PC.
USB-Mäuse/Drucker/Tastaturen sind von der USB-Sperre nicht betroffen.

So kann niemand per USB-Datenträger Daten klauen oder Daten einspielen.
Das jeder Einsteckvorgang von USB-Datenträgern ausführlich protokolliert wird, etc. versteht sich da von selbst.

Grüße
Roman

Hallo Roman,

die meisten Sicherheitsmaßnamen halten leider nur die DAUs ab, habt ihr mal jemand externes in der Firma gehabt, der eure Sicherheitsmaßnamen gegen geprüft hat?

Ein "Loch" genügt!

Btw. im Zweifel ist es der BOfH, der die Daten nach draußen transportiert...

Soundscape9255 (Beitrag #32) schrieb:

habt ihr mal jemand externes in der Firma gehabt, der eure Sicherheitsmaßnamen gegen geprüft hat? Ein "Loch" genügt!

...und man findet immer eins. Manchmal zwei oder drei. Ziemlich doofe zum Teil. Ich kenne einen Laden, wo jeder Sachbearbeiter unbemerkt Datenabzüge eines kompletten dwh herstellen und ebenso unbemerkt aus dem Laden hätte schmuggeln können. Durch geschickten Umgang mit den Bordmitteln eines Standardarbeitsplatzes.

@Hüb noch mal, ich musste mich eben beeilen wegen eines Vortrags bei der KVWL, daher noch ein paar nachgeschobene Worte.

Das Beispiel Arbeitgeber, Bewerbung ist nur ein Beispiel für gruppenspezifische Interessen.

Was mich bei der Sache mit Arvato Systems stört ist, dass hier ein Unternehmen beauftragt wurde, dessen andere Konzerngesellschaften überaus aktiv im Adresshandel sind und dass solche Massendaten in dieser Präzision und Zusammenstellung für die Veredelung und damit Verteuerung von Adressmaterial extrem gut geeignet sind.

Wenn sie die Ausschreibung gewonnen haben, sind sie die billigsten, was ich nicht ganz verstehe. So weit ich informiert bin, stecken die noch in einem anderen großen Projekt, das ihre Ressourcen bindet. Auch da rekrutieren sie schon eine Weile immer mal wieder. Sie werden also Manpower einkaufen müssen. Eingekaufte Leute sind teuer, wie geht dann bei denen billig? Warum geht es bei denen billig?

Die Datenschutzgesetze verlangen unmittelbar nach einem Waschabgleich zur Bonitätsprüfung das Löschen der Datensätze mit negativer Bonität aus allen Datenbanken. Ich bin mehrfach von Adresskunden genau nach diesen Daten gefragt worden, auch von Vertretern großer Unternehmen. Seitdem ist mir eines klar: Je höher die gläsernen Türen, um so größer der rechtsfreie Raum dahinter.

Wie soll ich also sicher sein, dass die Daten nicht zur Verdelung von Adressdaten herangezogen werden? Als erster von vielen Anbietern die Anschriftenänderungen berücksichtigen ist doch ein Vorteil am Markt, und merken würde das niemand... Ich will das jetzt niemand unterstellen, sehe aber doch eine gewisse Gefahr, und wenn dafür Schnittstellen geschaffen werden, die kein Sicherheitsbeauftragter je zu sehen bekommt, reißt das unter Umständen weitere Löcher.

Hältst du mich wirklich für paranoid?

Soundscape9255 (Beitrag #28) schrieb:

Apalone (Beitrag #27) schrieb: Bei Bedarf "auf einem USB-Stick" funktioniert schon bei vielen Firmen schon lange nicht mehr. Wenn ich Daten von den besonders gesicherten Verzeichnissen meines Unternehmens klauen wollte, ginge das nur über Monitor abfotografieren... Nur weil du es nicht kannst.... :L

Das würde mich ja mal interessieren, wie das gehen soll.

USB ist komplett gesperrt, Neustart mit anderem BS geht nicht, da keine optischen Laufwerke; Systemdateien komplett gesperrt, Zugriff auf C: nicht möglich usw. usf.

Das geht so ohne Weiteres nicht, du "Schlaumeier"!

Kommt der Anwender an das PC-Gehäuse ran?

Soundscape9255 (Beitrag #35) schrieb:

Kommt der Anwender an das PC-Gehäuse ran?

Nö.

Aber selbst wenn:
was soll man denn dann machen? Mit einer komplett anderen Festplatte kann ich mich ja nicht mehr im Netz anmelden. Die Daten sind natürlich nicht auf den lokalen Platten, sondern im Netz.

Wie soll ich mir das vorstellen? PC über KVM-Extender in sicheren Räumlichkeiten?

Spontaner Ansatz: USB-BOOT über Bios freischalten, vorher ggf. Bios-Passwort über Jumper zurücksetzen.

ROTFL.

In Geschäftsumgebungen steht der Server und die Storages (Festplattenarrays) in einem gesicherten Raum, zu dem nur authorisierte Personen Zutritt haben.
Und auf den Client-PCs ist der BIOS-Zugang natürlich passwortgeschützt und die Gehäuse sind per Schloß abgeschlossen.
Oder man verwendet Thin-Clients, d.h. PCs ohne eigene Festplatte.
Diese PCs holen sich das Betriebsystem beim Bootvorgang übers Netzwerk vom Server.

Grüße
Roman

Wenn man an die Netzwerkbuchse rankommt, kann man auch ggf, ein NAS zwischenhängen.

Soundscape9255 (Beitrag #39) schrieb:

Wenn man an die Netzwerkbuchse rankommt, kann man auch ggf, ein NAS zwischenhängen.

Ja und was macht man dann damit????

Über den Client die Daten auf das NAS schreiben.

Das Einbinden eines fremden Gerätes in ein Netzwerk sollte eigentlich sofort einen Alarm auslösen.

Daten einfach per Mail raus schicken? Die meisten Mailserver scannen zwar die Anlagen, aber verschlüsselte Anlagen werden ohne Alarm durchgelassen.

Oder per Upload auf einen Webserver spielen, geht auch. Per https sogar naturverschlüsselt, zumindest wenn kein Proxy dazwischen liegt.

Paggel (Beitrag #42) schrieb:

Das Einbinden eines fremden Gerätes in ein Netzwerk sollte eigentlich sofort einen Alarm auslösen.

Nope! Nur wenn das Gerät Broadcasts ect. macht, es kann ja auch erst mal ruhig bleiben, bzw. nur auf Anfragen einer Bestimmten Adresse antworten.

Paggel (Beitrag #42) schrieb:

Daten einfach per Mail raus schicken? Die meisten Mailserver scannen zwar die Anlagen, aber verschlüsselte Anlagen werden ohne Alarm durchgelassen.

Hinterlässt auf jeden Fall Spuren, das macht man nur, wenn es nicht der eigene Account ist.

Paggel (Beitrag #42) schrieb:

Oder per Upload auf einen Webserver spielen, geht auch. Per https sogar naturverschlüsselt, zumindest wenn kein Proxy dazwischen liegt.

Das siegt man in der Regel auch und geht u.u. zu langsam.

Natürlich kann man das sehen, aber es wird mit Sicherheit kein Alarm ausgelöst, fällt also erst bei der forensischen Analyse auf.

Die NAS bräuchte eine IP um angesprochen zu werden und der Switch bekäme auf jeden Fall ein arp Paket. Was der damit macht, weiß ich nicht, aber hier wäre die Stelle, so etwas zu unterbinden.

Paggel (Beitrag #44) schrieb:

Die NAS bräuchte eine IP um angesprochen zu werden und der Switch bekäme auf jeden Fall ein arp Paket. Was der damit macht, weiß ich nicht, aber hier wäre die Stelle, so etwas zu unterbinden.

Ich bin nicht wirklich tief in der Materie drin, aber mit einem etwas mächtigerem Switch kann man da ein paar üble Schweinereien machen, z.B. die Kommunikation vom NAS nur zum Client durchlassen.

Wie schon geschrieben: Fremdgeräte bekommen kein Zugriff aufs Netzwerk.
Das NAS würde nicht einmal per DHCP eine IP-Adresse zugewiesen bekommen.
Man könnte zwar manuell eine IP vergeben, aber auch das würde nichts helfen, da z.B. die MAC des NAS dem Netzwerk nicht bekannt ist und daher das NAS geblockt wird.

Und wie man die Daten auf ein NAS kopiert, musst du mir einmal zeigen. Die Daten liegen i.d.R. in Datenbanksystemen.
Da kommt man an die eigentliche Datenbank auf Dateiebene gar nicht heran.

Und die entsprechende Zugriffssoftware hat i.d.R. auch keine Exportfunktion, da sie innerhalb des Unternehmens nicht gebraucht wird.

Grüße
Roman

Passat (Beitrag #46) schrieb:

Wie schon geschrieben: Fremdgeräte bekommen kein Zugriff aufs Netzwerk. Das NAS würde nicht einmal per DHCP eine IP-Adresse zugewiesen bekommen. Man könnte zwar manuell eine IP vergeben, aber auch das würde nichts helfen, da z.B. die MAC des NAS dem Netzwerk nicht bekannt ist und daher das NAS geblockt wird.

Was passiert, wenn man einen Switch zwischen Client und Netzwerk einbaut? Der Client sollte doch nach wie vor auf das Netzwerk zugreifen können?

Passat (Beitrag #46) schrieb:

Und wie man die Daten auf ein NAS kopiert, musst du mir einmal zeigen. Die Daten liegen i.d.R. in Datenbanksystemen. Da kommt man an die eigentliche Datenbank auf Dateiebene gar nicht heran.

Das wäre wieder eine andere Baustelle - bisher konnten wir in der Diskussion ja Dateien kopieren.

Hüb' (Beitrag #22) schrieb:

[ Klar. Dafür gibt ein potenzieller Arbeitgeber, sich dabei strafbar machend, Geld aus, bei einem im Vorhinein unklaren Nutzen. Diese Haltung ist IMHO recht paranoid.

Wobei ich die Annahme, das da so ein Dealer herumfährt und illegale Daten feilbietet und der einzelne AG dafür blecht, nicht paranoid, aber recht naiv finde. Man stelle sich vielmehr vor, das ein Fremdzugriff, vielleicht auch ein geduldeter (nein, der BND weiß nichts von der NSA ), den Zugriff auf sensible Daten ermöglicht. Vielleicht könnte ein wichtiger Interessenvertreter der Industrie solche Daten zum reinen Selbstzweck erwerben und "kostenlos" zur Verfügung stellen. Die INSM böte sich da an. Das auch sensible Daten ein Unternehmen verlassen können, ist doch nun wirklich kein Hexenwerk. Bei der Mitarbeiterselektion sehe ich eine weitere Rosinenpickerei. Das wäre ein eklatanter Wettbewerbsvorteil, wenn man in der Lage ist, sicherzustellen, nur stramme Kerle einstellen zu müssen, die nur alle 7 Jahre mal einen leichten Schnupfen hatten. Aber vielmehr sind das sehr interessante Daten für Entlassungsgespräche, bzw. um solche gezielter einleiten zu können. Natürlich sind diese Daten dann nicht Gesprächsgegenstand, das wäre ja selten dämlich. "Herr Müller, ich weiß, sie haben ein chronisches Rückenleiden, ich kann sie nicht mehr gebrauchen." So läuft das nicht. Man weiß dann aber, wen man sich am besten herauspickt, um ihn zielstrebig mit einem Aufhebungsvertrag beglücken zu können.

Wissen ist Macht! Damit ist nicht gemeint, das die Schlauen mächtig sind, sondern das steht für entstandene Machtverhältnisse durch Geheimnishortung. Das Obamas Hausmädchen über ihren Hausmüllträger Pofallallalla die NSA Geschichte für beendet erklären wollte, wäre da der doofe Snowden nicht gewesen, der Muttis Handyspionage publizieren ließ, ist ein Paradebeispiel dafür. Und das Mutti nichts davon wusste, ist wohl auch nur den SPON Lesern zu verklickern.

Etwas globaler gesehen, geht es also um einen Wissenspool. Wirtschaftliche Aspekte spielen eine Hauptrolle. Warum sollte jemand mit einem speziellen Leiden, nicht mit spezieller, perfekt zugeschnittener Werbung zugemüllt werden? Können Krankenkassen dann auch Patienten einfach so abweisen, weil sie Zugang zu den Patientendaten haben? Die Privaten Krankenkassen sind also der primäre Nutznießer einer "offenen" Kartei, denn die können sich dann die Rosinen herauspicken, also ebenfalls Wettbewerbsvorteile. Es geht also, wie immer, ums Geld. Nur ums Geld. Wenn man einfach nur mal ein ganz klein wenig darüber nachdenkt, wer von was warum finanziell profitiert, dann lösen sich auch die ganzen vermeintlichen Widersprüche auf.

In Zeiten von NSA und dem Gesundheitsdatenskandal auf der Regeninsel ernsthaft von Datensicherheit zu reden, kann ich echt nicht nachvollziehen. Es gibt immer einen, der Zugriff auf die Datenbanken hat. Das es nicht wie im Kino abläuft, wo jemand unbemerkt schnell die Datenbank auf eine Diskette zieht, ist klar.

Warum wurde Paggel gesperrt?

Bezgl. Paggel:
Fake eines Nutzers mit Hausverbot.

Grüße
Frank

Soundscape9255 (Beitrag #47) schrieb:

Passat (Beitrag #46) schrieb: Wie schon geschrieben: Fremdgeräte bekommen kein Zugriff aufs Netzwerk. Das NAS würde nicht einmal per DHCP eine IP-Adresse zugewiesen bekommen. Man könnte zwar manuell eine IP vergeben, aber auch das würde nichts helfen, da z.B. die MAC des NAS dem Netzwerk nicht bekannt ist und daher das NAS geblockt wird. Was passiert, wenn man einen Switch zwischen Client und Netzwerk einbaut? Der Client sollte doch nach wie vor auf das Netzwerk zugreifen können?

Und was hilft ein Switch zwischen Client und Netzwerk?

Grüße
Roman