Jemand komplett IT fremdes hat eine Web Applikation mit Hilfe von Youtube und Claude entwickelt (Vibe Coded!), welche Patientendaten speichert. Ich hab das untersucht und nach 30 Minuten hatte ich vollen Lese- und Schreibzugriff auf ALLE besonders schützenswerten Patientendaten.
Willkommen in der neuen Welt von KI, uns Informatiker braucht es bald nicht mehr, sagen sie.
Das gute: Zumindest wurde rasch reagiert, die Applikation ist nicht mehr einfach so erreichbar (HTTP Basic Auth davor) und die Daten nicht mehr direkt einsehbar.
Das schlechte: Die Antwort ist 100% KI generiert und die KI generierten Massnahmen zeigen: Die Person hat keine Ahnung was sie macht.
Rechtlich schwierig, vor allem mit Sicht auf nDSG und Berufsgeheimnis.
Die Zeiten von Responsible Disclosure sind vorbei. Es wird Zeit eine Strategie "verbrannte Erde" anzuwenden: Sofortige Meldung bei den entsprechenden Behörden, falls besonders schützenswerte personenbezogene Daten betroffen sind Anzeige wg. Verletzung des Berufsgeheimnisses.
Sobald das genügend oft, mit ausreichender Empfindlichkeit durchgezogen wird, mit entsprechend wirtschaftlich spürbaren Konsequenzen, entsteht ökonomisch-sozialer Druck solchen Blödsinn sein zu lassen.
tobru 🇨🇭 🧑🚒
Fabian ¯\_(ツ)_/¯
Mayleen
datenwolf