Gesundheits-IT: Tut mal kurz weh

rC3

Röntgenbilder auf ungeschützten Servern und aus dem Internet erreichbare Praxen: Die Gesundheits-IT hat viele Sicherheitsprobleme.

Ein Bericht von veröffentlicht am
Wie impft man eigentlich Gesundheits-IT?
Wie impft man eigentlich Gesundheits-IT? (Bild: Mohamed Hassan/Pixabay)

Die Sicherheitsforscher Martin Tschirsich und Christoph Saatjohann sowie der Arzt Christian Brodowski haben erneut die Gesundheits-IT unter die Lupe genommen und wie in den Vorjahren Erschreckendes entdeckt. Konkret suchten sie im Internet nach ungeschützten medizinischen Geräten und ungeschützter Praxisinfrastruktur - und wurden trotz der Skandale der vergangenen Jahre wieder fündig. Ihre Ergebnisse stellten sie auf dem Hackertreffen rC3 vor.

Stellenmarkt
  1. Junior Data Scientist (m/w/d)
    MCM Klosterfrau Vertriebsgesellschaft mbH, Köln
  2. VBA-Entwickler und IDV-Koordinator (m/w/d)
    L-Bank, Karlsruhe
Detailsuche

"Wir haben den kompletten IPv4-Adressraum gescannt und geschaut, was ein Angreifer machen kann, wenn er nur Zugriff von außen über das Internet hat", erklärte Saatjohann. Zuerst hätten sie nach Dicom-Servern geschaut, auf denen beispielsweise Röntgenbilder und andere Untersuchungsdaten abgelegt werden. Das Protokoll stammt noch aus den 1980er Jahren.

Der Bayerische Rundfunk hatte 2019 Millionen Patientendaten auf ungeschützten Servern weltweit entdeckt. Trotz des Aufsehen erregenden Berichtes konnten die Forscher 2020 noch mehr ungeschützte Dicom-Server finden. Immerhin wurden die ungeschützten Server in Deutschland vom Netz genommen.

Bei manchen Servern, die zwar über das Internet erreichbar waren, aber nicht direkt Patientendaten ausgaben, konnten die Forscher auf ein Webfrontend namens Teamportal zugreifen. Über dessen Debug-Interface gelangten sie an die aktuell gültigen Session-IDs, mit denen sie sich als Arzt am System anmelden konnten und an die Röntgenbilder und Befunde kamen. Diese konnten zudem über eine weitere Sicherheitslücke mittels einer offenen Json-API abgerufen werden. Die Sicherheitslücken hätten sie bei sechs großen medizinischen Versorgungszentren entdeckt, über die potenziell Hunderttausende Untersuchungen einsehbar gewesen wären, erklärte Saatjohann.

Unsichere Arztpraxen gefährden Patientendaten

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Auch bei etlichen Arztpraxen wurden die Sicherheitsforscher fündig. So konnten sie zehn ungeschützte Gusboxen über das Internet erreichen. Mit diesen Mini-Servern in den Praxen lassen sich beispielsweise Faxe verschicken und Patientenstammdaten verwalten.

Beides könne bei einem Zugriff auf die Gusbox eingesehen werden, sagte Saatjohann - auch alle früheren Faxe. Mit dem Modul KV-Connect seien zudem verschlüsselte E-Mails möglich, die vom E-Mail-Programm an die Gusbox übertragen und dort verschlüsselt würden. Dies lasse sich mit Zugriff auf die Gusbox über die Sicherungsfunktion jedoch umgehen, da die Schlüssel inklusive PIN und Zugangsdaten zum E-Mailserver in der erstellten Sicherungsdatei enthalten seien.

Über 16 ungeschützt über das Internet erreichbare Praxisserver, darunter auch Gusboxen, sei es zudem möglich gewesen, dass Dritte die elektronische Arztvernetzung (eAV) nutzten. Über diese können mit ebenfalls teilnehmenden Ärzten elektronische Arztbriefe ausgetauscht werden, die als verschlüsselte Alternative zum immer noch weitverbreiteten Fax dienen, aber einen anderen Kommunikationsstandard als KV-Connect nutzen.

Neben den Gusboxen konnten die Sicherheitsforscher 200 Konnektoren im Internet finden, die Arztpraxen mit der Telematikinfrastruktur verbinden. Bei einem Zugriff auf die Soap-API sei ein Passwortschutz optional, entsprechend hätten 29 Praxen kein solches gesetzt.

Über die API sei jedoch ein Zugriff auf alle Telematik-Operationen möglich - in diesem Fall für Dritte. "Gebe es die elektronische Patientenakte bereits, hätten wir auf sie zugreifen können", sagte Saatjohann. Eine Authentifizierungspflicht werde demnächst über die IT-Sicherheitsrichtlinie festgelegt.

Fehlkonfiguration durch Bekannten des Arztes

Bei den von außen erreichbaren Geräten handelte es sich um Fehlkonfigurationen in den Praxen. In einem Fall sei den Forschern rückgemeldet worden, dass ein Bekannter des Arztes die Firewall der Praxis betreue und die entsprechenden Ports nun geschlossen habe, berichtete Saatjohann. Auch die anderen Geräte seien nach einer Meldung vom Netz genommen worden.

Hier brauche es dringend verbindliche Vorgaben und eine nicht abschaltbare Authentifizierung, denn auch wenn die Geräte nur über das Praxisnetzwerk erreichbar seien, müsse mit Angriffen gerechnet werden, betonte Saatjohann - beispielsweise wenn sich Patienten alleine im Behandlungszimmer aufhielten. Zudem seien 8 von 33 bekannten Emotet-Fällen bei Arztpraxen gewesen, ergänzte Tschirsich. Dezentrale Praxisnetzwerke seien also nicht per se sicher.

Per Machine-in-the-Middle an die Patientenakte

Doch auch bei der Telematikinfrastruktur selbst gebe es Probleme: Die Schlüssel zu den Daten, beispielsweise der elektronischen Patientenakte, liegen nicht beim Patienten, sondern werden zentral auf zwei unterschiedlichen Servern gespeichert. Um an die beiden Schlüssel der Server zu gelangen, authentifiziert sich der Patient mit seiner elektronischen Gesundheitskarte gegenüber der Telematikinfrastruktur. Allerdings authentifiziert sich diese nicht gegenüber dem Patienten.

So sei es möglich, einen Machine-in-the-Middle-Angriff (MITM) durchzuführen und dem Patienten falsche Schlüssel unterzujubeln, erklärte Tschirsich. Die so verschlüsselten Daten könnten von den Angreifern eingesehen werden. Die Gematik habe das Protokoll geändert, der Angriff solle damit nicht mehr möglich sein. Besser sei eine Ende-zu-Ende-Verschlüsselung, die aber andere Probleme mit sich bringe.

Zu Gute hält der Experte der Telematik-Infrastruktur, dass sie offen und transparent sei und so bereits etliche Sicherheitslücken vor dem Start der elektronischen Patientenakte am 1. Januar 2021 behoben werden konnten - im Gegenteil zu vielen anderen Bereichen der Gesundheits-IT. Angriffe wie die MITM-Attacke seien ohnehin vergleichsweise aufwändig und auffällig, dafür seien potentiell Millionen betroffen.

Einfacher sei es jedoch, die schlecht geschützten Arztpraxen anzugreifen. Das sei im Moment das größte Problem der Gesundheits-IT, das unbedingt angegangen werden müsse. Es brauche dringend Sicherheitsstandards und laufende externe Scans, forderte Tschirsich. Für die Telematikinfrastruktur führe die Gematik solche Scans bereits täglich durch.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Glasfaser
Berliner Senat blamiert sich mit Gigabitstrategie

Der Berliner Senat ist nach Jahren aus dem Dämmerzustand hochgeschreckt und hat nun eine Gigabitstrategie. Warum haben sie nicht einfach geschwiegen?
Ein IMHO von Achim Sawall

Glasfaser: Berliner Senat blamiert sich mit Gigabitstrategie
Artikel
  1. Razer: Der erste Blade-Laptop mit Ryzen ist da
    Razer
    Der erste Blade-Laptop mit Ryzen ist da

    Wieder 14 Zoll, erstmals mit AMD-Chip: Das neue Razer Blade kombiniert einen 75-Watt-Ryzen mit der flottesten Geforce RTX.
    Ein Hands-on von Marc Sauter

  2. Selbständige: Vodafone mit neuen Tarifen ohne Preissteigerung
    Selbständige
    Vodafone mit neuen Tarifen ohne Preissteigerung

    Vodafone wird seine Preise in neuen Tarifen für Selbständige nach 24 Monaten nicht mehr anheben.

  3. Coronapandemie: Einige Microsoft-Admins schliefen direkt in Rechenzentren
    Coronapandemie
    Einige Microsoft-Admins schliefen direkt in Rechenzentren

    Um weite Arbeitswege und Verspätungen zu vermeiden, hatten es sich einige Microsoft-Mitarbeiter in den eigenen Rechenzentren bequem gemacht.

reca_cgn 10. Jan 2021

An dem 01.04.2021 gelten die ersten Richtlinien zur Absicherung der Praxis IT. Ab dann...

Profi_in_allem 31. Dez 2020

Da wird viel eher so sein: Ein Bekannter des Arztes hat mal ne Fritzbox angeschlossen und...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense 59,99€ • Battlefield 2042 PC 53,99€ • XXL Sale bei Alternate • Rainbow Six Extraction Limited PS5 69,99€ • Sony Pulse 3D-Headset PS5 99,99€ • Snakebyte Gaming Seat Evo 149,99€ • Bethesda E3 Promo bei GP [Werbung]
    •  /