Sicherheitslücke: Admin-Passwort für Rettungsdienst-System ungeschützt im Netz

Über die Software Ivena werden Notfallpatienten in Krankenhäusern angemeldet. Ein Admin-Passwort ist nun öffentlich auf der Herstellerwebseite einsehbar gewesen.

Artikel veröffentlicht am ,
Mit der Software Ivena meldet der Rettungsdienst Notfallpatienten in Krankenhäusern an.
Mit der Software Ivena meldet der Rettungsdienst Notfallpatienten in Krankenhäusern an. (Bild: Alexander Heeb/Pixabay)

Die Software Ivena wird in mehreren Bundesländern und etlichen Krankenhäusern und Leitstellen eingesetzt, mit ihr werden die Kapazitäten von Krankenhäusern und Fachärzten verwaltet und beispielsweise Patienten im Rettungswagen in einem Krankenhaus angemeldet. Auf dem Webserver des Herstellers war jedoch eine Konfigurationsdatei öffentlich einsehbar, die einen alle Ivena-Instanzen gültigen Admin-Zugang enthielt.

Stellenmarkt
  1. IT-Administrator (m/w/d) mit Schwerpunkt VMware
    Bayerische Versorgungskammer, München (Home-Office möglich)
  2. Software Integration and Test Engineer HPC (m/f / diverse)
    Continental AG, Wetzlar
Detailsuche

Der Apache-Webserver, der die Webseite des Ivena-Herstellers ausliefert, war so konfiguriert, dass Dritte durch die Ordner und Dateien browsen konnten (Directory Listing). Dort entdeckte ein Leser des Computermagazins C't eine Ini-Datei, die neben einigen Einstellungen einen Benutzernamen und ein Passwort enthielt. Laut Kommentaren war dies für eine Entwicklungsinstanz von Ivena gedacht - die Zugangsdaten entpuppten sich jedoch als Admin-Zugang zu allen Ivena-Installationen, die im Webbrowser angezeigt werden und aus dem Internet erreichbar sind.

Voller Zugriff auf die Plattform

Mit dem Admin-Zugang war fast alles auf der Ivena-Plattform möglich, beispielsweise konnten Patienten angemeldet werden, wie es die Leitstellen tun. Zudem konnten die Passwörter anderer Nutzer geändert oder ganze Krankenhäuser abgemeldet werden.

Eindringlinge hätten mit dem Zugang Chaos anrichten können, im schlimmsten Fall sogar Menschenleben riskieren - etwa wenn sie Leitstellen von dem System abgeschnitten und auf den Bildschirmen in den Notaufnahmen falsche Informationen angezeigt hätten. Besonders schwerwiegend wäre eine Meldung eines "Massenanfall an Verletzten" gewesen, bei dem Verletzte nach einem Zugunglück oder Flugzeugabsturz gemeldet werden können.

Golem Karrierewelt
  1. AZ-500 Microsoft Azure Security Technologies (AZ-500T00): virtueller Vier-Tage-Workshop
    28.11.-01.12.2022, virtuell
  2. Blender Grundkurs: virtueller Drei-Tage-Workshop
    12.-14.12.2022, Virtuell
Weitere IT-Trainings

Auch die dienstlichen Kontaktdaten der Angestellten in den Krankenhäusern oder Leitstellen, die einen Zugang zu der Software hatten, hätten Angreifer einsehen können. Von den Patienten werden hingegen nur Daten wie Alter, Diagnose und Geschlecht in der Datenbank verwaltet, einer konkreten Person konnten diese laut C't nicht zugeordnet werden.

Sicherheitslücke umgehend geschlossen

Der Hersteller erklärte, der Fund sei am Abend des 14. Oktober gemeldet und sofort behoben worden. "Aktuell arbeiten wir mit Hochdruck daran, mögliche Datenmanipulationen zu ermitteln und den dauerhaften Zugriff eines Unbefugten über ein anderes Login auszuschließen. Derzeit können wir ausschließen, dass es unberechtigte Benutzer mit weitreichenden Berechtigungen gibt", hieß es.

Der Fehler sei auf menschliches Versagen zurückzuführen und bei einer Covid-19-Übersichtskarte im April 2020 entstanden, die unter großer Anspannung innerhalb weniger Tage entwickelt und in Betrieb genommen worden sei. Der Hersteller forderte alle Nutzer auf, ihre Kennwörter zu ändern. An einer Zwei-Faktor-Authentifizierung mit Fido2/Webauthn und TOTP werde derzeit gearbeitet. Diese solle anschließend verpflichtet eingeführt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Neue Grafikkarten
Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht

Der US-Händler Newegg gibt einen Blick auf die Preise der Nvidia-Ada-Grafikkarten. Sie werden teurer als die Geforce RTX 3090 zuvor.

Neue Grafikkarten: Erste Preise für Nvidias Geforce RTX 4090 aufgetaucht
Artikel
  1. Smart Home Eco Systems: Was unterscheidet Alexa von Homekit von Google Home?
    Smart Home Eco Systems
    Was unterscheidet Alexa von Homekit von Google Home?

    Alexa, Homekit, Google Home - ist das nicht eigentlich alles das Gleiche? Nein, es gibt erhebliche Unterschiede bei Sprachsteuerung, Integration und Datenschutz. Ein Vergleich.
    Eine Analyse von Karl-Heinz Müller

  2. Hideo Kojima: Es sollte ein Death-Stranding-Spiel für Google Stadia geben
    Hideo Kojima
    Es sollte ein Death-Stranding-Spiel für Google Stadia geben

    Hideo Kojima arbeitete am Exklusivtitel für Stadia. Das wurde vorzeitig eingestellt, auch weil Google nicht an Einzelspieler-Games glaubte.

  3. Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
    Superbase V
    Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

    Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Razer DeathAdder V3 Pro 106,39€ • Alternate (u. a. Kingston FURY Beast RGB 32 GB DDR5-6000 226,89€, be quiet! Silent Base 802 Window 156,89€) • MindFactory (u. a. Kingston A400 240/480 GB 17,50€/32€) • SanDisk microSDXC 400 GB 29,99€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /