Medizin: Updateprozess bei Ärztesoftware Quincy war ungeschützt

In einer Software für Arztpraxen ist der Updateprozess ungeschützt über eine Rsync-Verbindung erfolgt. Der Hersteller der Software versucht, Berichterstattung darüber zu verhindern.

Ein Bericht von veröffentlicht am
In Arztpraxen werden häufig sehr private Daten verarbeitet, daher sollte deren Software besonders auf Sicherheit und Datenschutz achten.
In Arztpraxen werden häufig sehr private Daten verarbeitet, daher sollte deren Software besonders auf Sicherheit und Datenschutz achten. (Bild: Pixnio/CC0 1.0)

Eine Software namens Quincy, die in vielen Arztpraxen zur Verwaltung von Patientendaten eingesetzt wird, hat massive Sicherheitsprobleme durch einen ungeschützten Updateprozess gehabt. Der Hersteller bestritt zunächst, dass die Sicherheitslücken überhaupt existierten. Die Zeitschrift Medical Tribune, die zuerst über die Probleme berichtet hatte, hat ihren Artikel wieder entfernt. Golem.de konnte die Sicherheitsprobleme des Updateprozesses selbst nachvollziehen. Inzwischen ist die Software aktualisiert worden.

Inhalt:
  1. Medizin: Updateprozess bei Ärztesoftware Quincy war ungeschützt
  2. Update über ungeschützte Rsync-Verbindung

Die IT-Sicherheitsfirma X41 D-Sec hatte im Auftrag einer Arztpraxis die Sicherheit der dortigen Software geprüft. Dabei fand X41 mehrere Probleme in der dort verwendeten Software Quincy. Die kritischste Lücke: Der Updateprozess erfolgte über eine komplett ungeschützte Rsync-Verbindung, ein Netzwerkangreifer hätte somit einen Man-in-the-Middle-Angriff durchführen und die Updatedateien durch Schadcode austauschen können. Ein Angreifer hätte damit beispielsweise Patientendaten stehlen können. Diese Resultate stellte X41 sowohl Golem.de als auch der Zeitschrift Medical Tribune zur Verfügung.

Hersteller bestreitet Problem

Golem.de informierte daraufhin den Hersteller von Quincy, die Firma Frey, über die Lücken und bat um eine Stellungnahme. Zunächst erhielten wir keine Antwort, auf nochmalige Nachfrage bestritt der Geschäftsführer von Frey, Lars Wichmann, dass die Probleme überhaupt existierten. "Die angeblichen Sicherheitslücken können wir nicht bestätigen", schrieb Wichman in der Antwort an Golem.de. "Die aufgeworfenen Punkte und/oder deren Interpretation im Hinblick auf eine konstruierte Bedrohungslage sind nicht zutreffend und entsprechen nicht den Tatsachen."

Zu diesem Zeitpunkt hatte die Medizin-Fachzeitschrift Medical Tribune bereits über die Sicherheitslücken berichtet. Der Geschäftsführer von Frey teilte uns mit, dass die Firma gegen diese Berichterstattung bereits juristisch vorzugehen versuchte: "Wegen der erfolgten Falschdarstellungen haben wir bereits entsprechende rechtliche Schritte eingeleitet." Die Medical Tribune entfernte zwischenzeitlich den Artikel, der sowohl in der Printausgabe als auch Online erschienen war, wieder von ihrer Webseite.

Stellenmarkt
  1. Referent (m/w/d) Datenmanagement
    TransnetBW GmbH, Stuttgart
  2. Junior Consultant Controlling / Berichtswesen (m/w/d)
    Lidl Dienstleistung GmbH & Co. KG, Bad Wimpfen
Detailsuche

Für unsere Berichterstattung war die Sache daher nicht ganz unproblematisch. Golem.de hatte bereits in der Vergangenheit über Funde der Firma X41 berichtet und wir hielten die Darstellung für vertrauenswürdig. Aber der Hersteller bestritt alle Probleme. Daher versuchten wir, selbst die Sicherheitsprobleme nachzuvollziehen. Wir konzentrierten uns dabei auf die unserer Ansicht nach kritischste Sicherheitslücke, den ungeschützten Updateprozess. In unseren eigenen Tests konnten wir die Beschreibung der Lücke nachvollziehen und einen entsprechenden Angriff in einem Testsystem nachstellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Update über ungeschützte Rsync-Verbindung 
  1. 1
  2. 2
  3.  


AdrianWalterCS 12. Dez 2019

Richtig. Jedoch wurde die Problematik bisher weder von den Verantwortlichen, noch von den...

Potrimpo 11. Dez 2019

Dein Name spricht hier Bände.

minnime 11. Dez 2019

Das meinte ich so nicht, ich kann aber die kommunikationstechnische Reaktion der Firma...

FreiGeistler 11. Dez 2019

Ein Hipster als Zahnarzt ist auch eher die Ausnahme. Ein Sprachassistent ist jedenfall...

Iruwen 11. Dez 2019

Also wenn man eh schon in der Praxis ist kann man auch einfach... scnr



Aktuell auf der Startseite von Golem.de
Lightning ade
EU will USB-C als alleinige Handy-Ladebuchse vorschreiben

Die EU-Kommission will eine einheitliche Ladebuchse einführen. USB-C soll zum Aufladen aller möglichen Kleingeräte verwendet werden.

Lightning ade: EU will USB-C als alleinige Handy-Ladebuchse vorschreiben
Artikel
  1. Amazon plant Kaufhäuser: Umkleidekabinen mit viel Technik und einer Geheimtür
    Amazon plant Kaufhäuser
    Umkleidekabinen mit viel Technik und einer Geheimtür

    Neue Details zu Amazons Kaufhaus-Plänen: In Umkleidekabinen sollen Touchscreens vorhanden sein, um sich Kleidung dorthin bringen zu lassen.

  2. Malware: Mehrere Kliniken nach Hackerangriff vom Netz genommen
    Malware
    Mehrere Kliniken nach Hackerangriff vom Netz genommen

    Neben den Kliniken seien auch Bildungseinrichtungen von dem Malware-Angriff betroffen. Sicherheitshalber wird nun mit Papier und Stift gearbeitet.

  3. Y - The Last Man: Eine Welt der Frauen
    Y - The Last Man
    Eine Welt der Frauen

    Vor knapp 20 Jahren wurde das erste Comic-Heft veröffentlicht, einige Jahre war die Fernsehserie Y - The Last Man in Entwicklung. Jetzt ist sie endlich bei Disney+.
    Eine Rezension von Peter Osteried

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus TUF Gaming Geforce RTX 3080 V2 OC 1.177,34€ • Alternate-Deals (u. a. Acer Nitro 27" FHD 159,90€) • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • PS5 Digital + 2. Dualsense + FIFA 22 mit o2-Vertrag bestellbar • Gran Turismo 7 25th Anniv. 99,99€ [Werbung]
    •  /