Christian Brodowski, Christoph Saatjohann und Martin Tschirsich stellten unter dem Titel "Tut mal kurz weh" neue Betriebsunsicherheiten in der Gesundheits-IT vor. Mit einem Portscan fanden sie im Sommer 2020 29 Konnektoren in der Gesundheits-IT, die ohne Authentifizierung im Internet erreichbar waren. Ihr Fazit lautet: Hätte es zu diesem Zeitpunkt bereits eine elektronische Patientenakte gegeben, so hätten Hacker die Möglichkeit diese auszulesen. Die Projektgesellschaft Gematik wurde im Zuge des "responsible disclosure" über die Sicherheitslücke informiert; sie soll jetzt selbst mit Portscans nach unsicheren Anschlüssen scannen.

Im laufe des Projekt fanden sie 200 Server, davon 30 mit unzureichendem Datenschutz. Dabei wurden sechs Instanzen als besonders bedenklich eingestuft, das diese zu großen medizinischen Versorgungszentren (MZV) gehörten. Zudem fanden sie 10 GUSboxen im Internet, dabei handelt es sich um Router für das Safenet-System der kassenärztlichen Vereinigungen. Sie entdeckten 29 Konnektoren bezogen auf die telematische Infrastruktur des Gesundheitswesens (TI), die ohne Authentifizierung erreichbar waren. Christoph Saatjohann erklärt, "Wenn die elektronische Patientenakte dagewesen wäre, hätten wir sie lesen können". Ab dem 1. Januar startet die Akte, zunächst nur in wenigen ausgewählten Testpraxen in Berlin und Westfalen-Lippe.

Von einer Sicherheitslücke im Backoffice der Software Gastronovi, über die rund 180 Restaurants in Deutschland über den Sommer hinweg die Besuchsdaten ihrer Gäste speicherten und damit über das Internet verfügbar machten, berichtet der Anästhesist Christian Brodowksi.

(hv, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE