Gesundheits-IT: Tut mal kurz weh

rC3

Röntgenbilder auf ungeschützten Servern und aus dem Internet erreichbare Praxen: Die Gesundheits-IT hat viele Sicherheitsprobleme.

Ein Bericht von veröffentlicht am
Wie impft man eigentlich Gesundheits-IT?
Wie impft man eigentlich Gesundheits-IT? (Bild: Mohamed Hassan/Pixabay)

Die Sicherheitsforscher Martin Tschirsich und Christoph Saatjohann sowie der Arzt Christian Brodowski haben erneut die Gesundheits-IT unter die Lupe genommen und wie in den Vorjahren Erschreckendes entdeckt. Konkret suchten sie im Internet nach ungeschützten medizinischen Geräten und ungeschützter Praxisinfrastruktur - und wurden trotz der Skandale der vergangenen Jahre wieder fündig. Ihre Ergebnisse stellten sie auf dem Hackertreffen rC3 vor.

Stellenmarkt
  1. System Issue Analyst (m/w/d) Fahrerassistenzsysteme
    Valeo Schalter und Sensoren, Braunschweig
  2. Sales Support Agent (m/w/d) im Bereich Sales Operations
    Controlware GmbH, Dietzenbach bei Frankfurt am Main
Detailsuche

"Wir haben den kompletten IPv4-Adressraum gescannt und geschaut, was ein Angreifer machen kann, wenn er nur Zugriff von außen über das Internet hat", erklärte Saatjohann. Zuerst hätten sie nach Dicom-Servern geschaut, auf denen beispielsweise Röntgenbilder und andere Untersuchungsdaten abgelegt werden. Das Protokoll stammt noch aus den 1980er Jahren.

Der Bayerische Rundfunk hatte 2019 Millionen Patientendaten auf ungeschützten Servern weltweit entdeckt. Trotz des Aufsehen erregenden Berichtes konnten die Forscher 2020 noch mehr ungeschützte Dicom-Server finden. Immerhin wurden die ungeschützten Server in Deutschland vom Netz genommen.

Bei manchen Servern, die zwar über das Internet erreichbar waren, aber nicht direkt Patientendaten ausgaben, konnten die Forscher auf ein Webfrontend namens Teamportal zugreifen. Über dessen Debug-Interface gelangten sie an die aktuell gültigen Session-IDs, mit denen sie sich als Arzt am System anmelden konnten und an die Röntgenbilder und Befunde kamen. Diese konnten zudem über eine weitere Sicherheitslücke mittels einer offenen Json-API abgerufen werden. Die Sicherheitslücken hätten sie bei sechs großen medizinischen Versorgungszentren entdeckt, über die potenziell Hunderttausende Untersuchungen einsehbar gewesen wären, erklärte Saatjohann.

Unsichere Arztpraxen gefährden Patientendaten

Golem Akademie
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
  2. Unity Basiswissen: virtueller Drei-Tage-Workshop
    7.–9. Februar 2022, Virtuell
Weitere IT-Trainings

Auch bei etlichen Arztpraxen wurden die Sicherheitsforscher fündig. So konnten sie zehn ungeschützte Gusboxen über das Internet erreichen. Mit diesen Mini-Servern in den Praxen lassen sich beispielsweise Faxe verschicken und Patientenstammdaten verwalten.

Beides könne bei einem Zugriff auf die Gusbox eingesehen werden, sagte Saatjohann - auch alle früheren Faxe. Mit dem Modul KV-Connect seien zudem verschlüsselte E-Mails möglich, die vom E-Mail-Programm an die Gusbox übertragen und dort verschlüsselt würden. Dies lasse sich mit Zugriff auf die Gusbox über die Sicherungsfunktion jedoch umgehen, da die Schlüssel inklusive PIN und Zugangsdaten zum E-Mailserver in der erstellten Sicherungsdatei enthalten seien.

Über 16 ungeschützt über das Internet erreichbare Praxisserver, darunter auch Gusboxen, sei es zudem möglich gewesen, dass Dritte die elektronische Arztvernetzung (eAV) nutzten. Über diese können mit ebenfalls teilnehmenden Ärzten elektronische Arztbriefe ausgetauscht werden, die als verschlüsselte Alternative zum immer noch weitverbreiteten Fax dienen, aber einen anderen Kommunikationsstandard als KV-Connect nutzen.

Neben den Gusboxen konnten die Sicherheitsforscher 200 Konnektoren im Internet finden, die Arztpraxen mit der Telematikinfrastruktur verbinden. Bei einem Zugriff auf die Soap-API sei ein Passwortschutz optional, entsprechend hätten 29 Praxen kein solches gesetzt.

Über die API sei jedoch ein Zugriff auf alle Telematik-Operationen möglich - in diesem Fall für Dritte. "Gebe es die elektronische Patientenakte bereits, hätten wir auf sie zugreifen können", sagte Saatjohann. Eine Authentifizierungspflicht werde demnächst über die IT-Sicherheitsrichtlinie festgelegt.

Fehlkonfiguration durch Bekannten des Arztes

Bei den von außen erreichbaren Geräten handelte es sich um Fehlkonfigurationen in den Praxen. In einem Fall sei den Forschern rückgemeldet worden, dass ein Bekannter des Arztes die Firewall der Praxis betreue und die entsprechenden Ports nun geschlossen habe, berichtete Saatjohann. Auch die anderen Geräte seien nach einer Meldung vom Netz genommen worden.

Hier brauche es dringend verbindliche Vorgaben und eine nicht abschaltbare Authentifizierung, denn auch wenn die Geräte nur über das Praxisnetzwerk erreichbar seien, müsse mit Angriffen gerechnet werden, betonte Saatjohann - beispielsweise wenn sich Patienten alleine im Behandlungszimmer aufhielten. Zudem seien 8 von 33 bekannten Emotet-Fällen bei Arztpraxen gewesen, ergänzte Tschirsich. Dezentrale Praxisnetzwerke seien also nicht per se sicher.

Per Machine-in-the-Middle an die Patientenakte

Doch auch bei der Telematikinfrastruktur selbst gebe es Probleme: Die Schlüssel zu den Daten, beispielsweise der elektronischen Patientenakte, liegen nicht beim Patienten, sondern werden zentral auf zwei unterschiedlichen Servern gespeichert. Um an die beiden Schlüssel der Server zu gelangen, authentifiziert sich der Patient mit seiner elektronischen Gesundheitskarte gegenüber der Telematikinfrastruktur. Allerdings authentifiziert sich diese nicht gegenüber dem Patienten.

So sei es möglich, einen Machine-in-the-Middle-Angriff (MITM) durchzuführen und dem Patienten falsche Schlüssel unterzujubeln, erklärte Tschirsich. Die so verschlüsselten Daten könnten von den Angreifern eingesehen werden. Die Gematik habe das Protokoll geändert, der Angriff solle damit nicht mehr möglich sein. Besser sei eine Ende-zu-Ende-Verschlüsselung, die aber andere Probleme mit sich bringe.

Zu Gute hält der Experte der Telematik-Infrastruktur, dass sie offen und transparent sei und so bereits etliche Sicherheitslücken vor dem Start der elektronischen Patientenakte am 1. Januar 2021 behoben werden konnten - im Gegenteil zu vielen anderen Bereichen der Gesundheits-IT. Angriffe wie die MITM-Attacke seien ohnehin vergleichsweise aufwändig und auffällig, dafür seien potentiell Millionen betroffen.

Einfacher sei es jedoch, die schlecht geschützten Arztpraxen anzugreifen. Das sei im Moment das größte Problem der Gesundheits-IT, das unbedingt angegangen werden müsse. Es brauche dringend Sicherheitsstandards und laufende externe Scans, forderte Tschirsich. Für die Telematikinfrastruktur führe die Gematik solche Scans bereits täglich durch.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Digitalisierung
500-Euro-Laptops für Lehrer "leistungsfähig und gut nutzbar"

Das Land NRW hat seine Lehrkräfte mit Dienst-Laptops ausgestattet. Doch diese äußern deutliche Kritik und verwenden wohl weiter private Geräte.

Digitalisierung: 500-Euro-Laptops für Lehrer leistungsfähig und gut nutzbar
Artikel
  1. Bundesservice Telekommunikation: Schlecht getarnte Tarnorganisation praktisch enttarnt
    Bundesservice Telekommunikation
    Schlecht getarnte Tarnorganisation praktisch enttarnt

    Inzwischen ist offensichtlich, dass der Bundesservice Telekommunikation zum Bundesamt für Verfassungsschutz gehört.

  2. Volkswagen Payments: VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken
    Volkswagen Payments
    VW entlässt Mitarbeiter wohl wegen Cybersicherheits-Bedenken

    Volkswagen entlässt einem Bericht nach einen Mitarbeiter, nachdem dieser Bedenken hinsichtlich der Cybersicherheit von Volkswagen Payments äußerte.

  3. Frequenzen: Bundesnetzagentur erfüllt Forderungen der Mobilfunkkonzerne
    Frequenzen
    Bundesnetzagentur erfüllt Forderungen der Mobilfunkkonzerne

    Jochen Homann könnte vor seinem Ruhestand noch einmal Vodafone, Deutsche Telekom und Telefónica erfreuen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3080 Ti 12GB 1.699€ • Intel i9-10900K 444,88€ • Huawei Curved Gaming-Monitor 27" 299€ • Hisense-TVs zu Bestpreisen (u. a. 55" OLED 739€) • RX 6900 1.449€ • MindStar (u.a. Intel i7-10700KF 279€) • 4 Blu-rays für 22€ • LG OLED (2021) 77 Zoll 120Hz 2.799€ [Werbung]
    •  /