Sicherheitslücke: Admin-Passwort für Rettungsdienst-System ungeschützt im Netz

Die Software Ivena wird in mehreren Bundesländern und etlichen Krankenhäusern und Leitstellen eingesetzt, mit ihr werden die Kapazitäten von Krankenhäusern und Fachärzten verwaltet und beispielsweise Patienten im Rettungswagen in einem Krankenhaus angemeldet. Auf dem Webserver des Herstellers war jedoch eine Konfigurationsdatei öffentlich einsehbar, die einen alle Ivena-Instanzen gültigen Admin-Zugang enthielt.

Stellenmarkt

1. neam IT-Services GmbH, Paderborn
2. Hays AG, Hannover

Der Apache-Webserver, der die Webseite des Ivena-Herstellers ausliefert, war so konfiguriert, dass Dritte durch die Ordner und Dateien browsen konnten (Directory Listing). Dort entdeckte ein Leser des Computermagazins C't eine Ini-Datei, die neben einigen Einstellungen einen Benutzernamen und ein Passwort enthielt. Laut Kommentaren war dies für eine Entwicklungsinstanz von Ivena gedacht - die Zugangsdaten entpuppten sich jedoch als Admin-Zugang zu allen Ivena-Installationen, die im Webbrowser angezeigt werden und aus dem Internet erreichbar sind.

Voller Zugriff auf die Plattform

Mit dem Admin-Zugang war fast alles auf der Ivena-Plattform möglich, beispielsweise konnten Patienten angemeldet werden, wie es die Leitstellen tun. Zudem konnten die Passwörter anderer Nutzer geändert oder ganze Krankenhäuser abgemeldet werden.

Eindringlinge hätten mit dem Zugang Chaos anrichten können, im schlimmsten Fall sogar Menschenleben riskieren - etwa wenn sie Leitstellen von dem System abgeschnitten und auf den Bildschirmen in den Notaufnahmen falsche Informationen angezeigt hätten. Besonders schwerwiegend wäre eine Meldung eines "Massenanfall an Verletzten" gewesen, bei dem Verletzte nach einem Zugunglück oder Flugzeugabsturz gemeldet werden können.

Auch die dienstlichen Kontaktdaten der Angestellten in den Krankenhäusern oder Leitstellen, die einen Zugang zu der Software hatten, hätten Angreifer einsehen können. Von den Patienten werden hingegen nur Daten wie Alter, Diagnose und Geschlecht in der Datenbank verwaltet, einer konkreten Person konnten diese laut C't nicht zugeordnet werden.

Sicherheitslücke umgehend geschlossen

Der Hersteller erklärte, der Fund sei am Abend des 14. Oktober gemeldet und sofort behoben worden. "Aktuell arbeiten wir mit Hochdruck daran, mögliche Datenmanipulationen zu ermitteln und den dauerhaften Zugriff eines Unbefugten über ein anderes Login auszuschließen. Derzeit können wir ausschließen, dass es unberechtigte Benutzer mit weitreichenden Berechtigungen gibt", hieß es.

Der Fehler sei auf menschliches Versagen zurückzuführen und bei einer Covid-19-Übersichtskarte im April 2020 entstanden, die unter großer Anspannung innerhalb weniger Tage entwickelt und in Betrieb genommen worden sei. Der Hersteller forderte alle Nutzer auf, ihre Kennwörter zu ändern. An einer Zwei-Faktor-Authentifizierung mit Fido2/Webauthn und TOTP werde derzeit gearbeitet. Diese solle anschließend verpflichtet eingeführt werden.