• IT-Karriere:
  • Services:

Medizin: Updateprozess bei Ärztesoftware Quincy war ungeschützt

In einer Software für Arztpraxen ist der Updateprozess ungeschützt über eine Rsync-Verbindung erfolgt. Der Hersteller der Software versucht, Berichterstattung darüber zu verhindern.

Ein Bericht von veröffentlicht am
In Arztpraxen werden häufig sehr private Daten verarbeitet, daher sollte deren Software besonders auf Sicherheit und Datenschutz achten.
In Arztpraxen werden häufig sehr private Daten verarbeitet, daher sollte deren Software besonders auf Sicherheit und Datenschutz achten. (Bild: Pixnio/CC0 1.0)

Eine Software namens Quincy, die in vielen Arztpraxen zur Verwaltung von Patientendaten eingesetzt wird, hat massive Sicherheitsprobleme durch einen ungeschützten Updateprozess gehabt. Der Hersteller bestritt zunächst, dass die Sicherheitslücken überhaupt existierten. Die Zeitschrift Medical Tribune, die zuerst über die Probleme berichtet hatte, hat ihren Artikel wieder entfernt. Golem.de konnte die Sicherheitsprobleme des Updateprozesses selbst nachvollziehen. Inzwischen ist die Software aktualisiert worden.

Inhalt:
  1. Medizin: Updateprozess bei Ärztesoftware Quincy war ungeschützt
  2. Update über ungeschützte Rsync-Verbindung

Die IT-Sicherheitsfirma X41 D-Sec hatte im Auftrag einer Arztpraxis die Sicherheit der dortigen Software geprüft. Dabei fand X41 mehrere Probleme in der dort verwendeten Software Quincy. Die kritischste Lücke: Der Updateprozess erfolgte über eine komplett ungeschützte Rsync-Verbindung, ein Netzwerkangreifer hätte somit einen Man-in-the-Middle-Angriff durchführen und die Updatedateien durch Schadcode austauschen können. Ein Angreifer hätte damit beispielsweise Patientendaten stehlen können. Diese Resultate stellte X41 sowohl Golem.de als auch der Zeitschrift Medical Tribune zur Verfügung.

Hersteller bestreitet Problem

Golem.de informierte daraufhin den Hersteller von Quincy, die Firma Frey, über die Lücken und bat um eine Stellungnahme. Zunächst erhielten wir keine Antwort, auf nochmalige Nachfrage bestritt der Geschäftsführer von Frey, Lars Wichmann, dass die Probleme überhaupt existierten. "Die angeblichen Sicherheitslücken können wir nicht bestätigen", schrieb Wichman in der Antwort an Golem.de. "Die aufgeworfenen Punkte und/oder deren Interpretation im Hinblick auf eine konstruierte Bedrohungslage sind nicht zutreffend und entsprechen nicht den Tatsachen."

Zu diesem Zeitpunkt hatte die Medizin-Fachzeitschrift Medical Tribune bereits über die Sicherheitslücken berichtet. Der Geschäftsführer von Frey teilte uns mit, dass die Firma gegen diese Berichterstattung bereits juristisch vorzugehen versuchte: "Wegen der erfolgten Falschdarstellungen haben wir bereits entsprechende rechtliche Schritte eingeleitet." Die Medical Tribune entfernte zwischenzeitlich den Artikel, der sowohl in der Printausgabe als auch Online erschienen war, wieder von ihrer Webseite.

Stellenmarkt
  1. HALFEN GmbH, Langenfeld
  2. SIZ GmbH, Bonn

Für unsere Berichterstattung war die Sache daher nicht ganz unproblematisch. Golem.de hatte bereits in der Vergangenheit über Funde der Firma X41 berichtet und wir hielten die Darstellung für vertrauenswürdig. Aber der Hersteller bestritt alle Probleme. Daher versuchten wir, selbst die Sicherheitsprobleme nachzuvollziehen. Wir konzentrierten uns dabei auf die unserer Ansicht nach kritischste Sicherheitslücke, den ungeschützten Updateprozess. In unseren eigenen Tests konnten wir die Beschreibung der Lücke nachvollziehen und einen entsprechenden Angriff in einem Testsystem nachstellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Update über ungeschützte Rsync-Verbindung 
  1. 1
  2. 2
  3.  
Zu den Kommentaren springen
Meistgelesen
  1. Lightning
    Apple warnt vor einheitlichem EU-Ladegerät
  2. Star Trek: Picard
    Der alte Mann und das All
  3. Mobile Games
    "Mit Furz-Apps wird man kein Millionär mehr"
  4. Zurück in die Zukunft
    Nike stellt neue Generation selbstschnürender Sneaker vor
  5. Support-Ende für ältere Sonos-Produkte
    Kundenprotest bringt Sonos nicht zum Umdenken
Anzeige
Hardware-Angebote
  1. (u. a. MSI Optix G24C für 155,00€, Asus VP278H für 125,00€, LG 27UD59-W für 209,00€ und HP...
Kommentarübersicht
Re: Speicherbegrenzung in Praxisinformationssysteme
AdrianWalterCS 12. Dez 2019 / Themenstart

Richtig. Jedoch wurde die Problematik bisher weder von den Verantwortlichen, noch von den...

Re: Kununu spricht Baende...
Potrimpo 11. Dez 2019 / Themenstart

Dein Name spricht hier Bände.

Re: Security by Obscurity in Reinkultur
minnime 11. Dez 2019 / Themenstart

Das meinte ich so nicht, ich kann aber die kommunikationstechnische Reaktion der Firma...

Re: Normal im medizinischen Bereich
FreiGeistler 11. Dez 2019 / Themenstart

Ein Hipster als Zahnarzt ist auch eher die Ausnahme. Ein Sprachassistent ist jedenfall...

Re: Möglichkeit zum Angriff
Iruwen 11. Dez 2019 / Themenstart

Also wenn man eh schon in der Praxis ist kann man auch einfach... scnr

Kommentieren

Folgen Sie uns
       
DJI Robomaster S1 - Test

Was fährt da auf dem Flur entlang? Der Robomaster S1 ist ein flinker Roboter, mit dem wir Rennen fahren oder gegen andere Robomaster im Duell antreten können. Das macht einen Riesenspaß und ist auch ein guter Einstieg ins Programmieren.

DJI Robomaster S1 - Test Video aufrufen
SpaceX
SpaceX: Der Weg in den Weltraum ist frei
SpaceX
Der Weg in den Weltraum ist frei

Das Raumschiff hob noch ohne Besatzung ab, aber der Testflug war ein voller Erfolg. Der Crew Dragon von SpaceX hat damit seine letzte große Bewährungsprobe bestanden, bevor die Astronauten auch mitfliegen dürfen.
Ein Bericht von Frank Wunderlich-Pfeiffer

  1. Raumfahrt SpaceX macht Sicherheitstest bei höchster Belastung
  2. Raumfahrt SpaceX testet dunkleren Starlink-Satelliten
  3. SpaceX Starship platzt bei Tanktest
Energiewende
Energiewende: Norddeutschland wird H
Energiewende
Norddeutschland wird H

Japan macht es vor, die norddeutschen Bundesländer ziehen nach: Im November haben sie den Aufbau einer Wasserstoffwirtschaft beschlossen. Die Voraussetzungen dafür sind gegeben. Aber das Ende der Förderung von Windkraft kann das Projekt gefährden.
Eine Analyse von Werner Pluta

  1. Energiewende Brandenburg bekommt ein Wasserstoff-Speicherkraftwerk
  2. Energiewende Dänemark plant künstliche Insel für Wasserstofferzeugung
  3. Energiewende Nordländer bauen gemeinsame Wasserstoffwirtschaft auf
Netzpolitik
Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /