Christian Brodowski, Christoph Saatjohann und Martin Tschirsich
stellten unter dem Titel "Tut
mal kurz weh" neue Betriebsunsicherheiten in der Gesundheits-IT
vor. Mit einem Portscan
fanden sie im Sommer 2020 29 Konnektoren in der Gesundheits-IT,
die ohne Authentifizierung im Internet erreichbar waren. Ihr Fazit
lautet: Hätte es zu diesem Zeitpunkt bereits eine elektronische
Patientenakte gegeben, so hätten Hacker die Möglichkeit
diese auszulesen. Die Projektgesellschaft Gematik wurde im Zuge
des "responsible disclosure" über die Sicherheitslücke
informiert; sie soll jetzt selbst mit Portscans nach unsicheren
Anschlüssen scannen.
Im laufe des Projekt fanden sie 200 Server, davon 30 mit unzureichendem
Datenschutz. Dabei wurden sechs Instanzen als besonders bedenklich
eingestuft, das diese zu großen medizinischen Versorgungszentren
(MZV) gehörten. Zudem fanden sie 10 GUSboxen im Internet, dabei
handelt es sich um Router für das Safenet-System der kassenärztlichen
Vereinigungen. Sie entdeckten 29 Konnektoren bezogen auf die telematische
Infrastruktur des Gesundheitswesens (TI), die ohne Authentifizierung
erreichbar waren. Christoph Saatjohann erklärt, "Wenn
die elektronische Patientenakte dagewesen wäre, hätten
wir sie lesen können". Ab dem 1. Januar startet die Akte,
zunächst nur in wenigen ausgewählten Testpraxen in Berlin
und Westfalen-Lippe.
Von einer Sicherheitslücke im Backoffice der Software Gastronovi,
über die rund 180 Restaurants in Deutschland über den
Sommer hinweg die Besuchsdaten ihrer Gäste speicherten und
damit über das Internet verfügbar machten, berichtet der
Anästhesist Christian Brodowksi.
(hv, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|