• IT-Karriere:
  • Services:

Sicherheitslücke: Admin-Passwort für Rettungsdienst-System ungeschützt im Netz

Über die Software Ivena werden Notfallpatienten in Krankenhäusern angemeldet. Ein Admin-Passwort ist nun öffentlich auf der Herstellerwebseite einsehbar gewesen.

Artikel veröffentlicht am ,
Mit der Software Ivena meldet der Rettungsdienst Notfallpatienten in Krankenhäusern an.
Mit der Software Ivena meldet der Rettungsdienst Notfallpatienten in Krankenhäusern an. (Bild: Alexander Heeb/Pixabay)

Die Software Ivena wird in mehreren Bundesländern und etlichen Krankenhäusern und Leitstellen eingesetzt, mit ihr werden die Kapazitäten von Krankenhäusern und Fachärzten verwaltet und beispielsweise Patienten im Rettungswagen in einem Krankenhaus angemeldet. Auf dem Webserver des Herstellers war jedoch eine Konfigurationsdatei öffentlich einsehbar, die einen alle Ivena-Instanzen gültigen Admin-Zugang enthielt.

Stellenmarkt
  1. neam IT-Services GmbH, Paderborn
  2. Hays AG, Hannover

Der Apache-Webserver, der die Webseite des Ivena-Herstellers ausliefert, war so konfiguriert, dass Dritte durch die Ordner und Dateien browsen konnten (Directory Listing). Dort entdeckte ein Leser des Computermagazins C't eine Ini-Datei, die neben einigen Einstellungen einen Benutzernamen und ein Passwort enthielt. Laut Kommentaren war dies für eine Entwicklungsinstanz von Ivena gedacht - die Zugangsdaten entpuppten sich jedoch als Admin-Zugang zu allen Ivena-Installationen, die im Webbrowser angezeigt werden und aus dem Internet erreichbar sind.

Voller Zugriff auf die Plattform

Mit dem Admin-Zugang war fast alles auf der Ivena-Plattform möglich, beispielsweise konnten Patienten angemeldet werden, wie es die Leitstellen tun. Zudem konnten die Passwörter anderer Nutzer geändert oder ganze Krankenhäuser abgemeldet werden.

Eindringlinge hätten mit dem Zugang Chaos anrichten können, im schlimmsten Fall sogar Menschenleben riskieren - etwa wenn sie Leitstellen von dem System abgeschnitten und auf den Bildschirmen in den Notaufnahmen falsche Informationen angezeigt hätten. Besonders schwerwiegend wäre eine Meldung eines "Massenanfall an Verletzten" gewesen, bei dem Verletzte nach einem Zugunglück oder Flugzeugabsturz gemeldet werden können.

Auch die dienstlichen Kontaktdaten der Angestellten in den Krankenhäusern oder Leitstellen, die einen Zugang zu der Software hatten, hätten Angreifer einsehen können. Von den Patienten werden hingegen nur Daten wie Alter, Diagnose und Geschlecht in der Datenbank verwaltet, einer konkreten Person konnten diese laut C't nicht zugeordnet werden.

Sicherheitslücke umgehend geschlossen

Der Hersteller erklärte, der Fund sei am Abend des 14. Oktober gemeldet und sofort behoben worden. "Aktuell arbeiten wir mit Hochdruck daran, mögliche Datenmanipulationen zu ermitteln und den dauerhaften Zugriff eines Unbefugten über ein anderes Login auszuschließen. Derzeit können wir ausschließen, dass es unberechtigte Benutzer mit weitreichenden Berechtigungen gibt", hieß es.

Der Fehler sei auf menschliches Versagen zurückzuführen und bei einer Covid-19-Übersichtskarte im April 2020 entstanden, die unter großer Anspannung innerhalb weniger Tage entwickelt und in Betrieb genommen worden sei. Der Hersteller forderte alle Nutzer auf, ihre Kennwörter zu ändern. An einer Zwei-Faktor-Authentifizierung mit Fido2/Webauthn und TOTP werde derzeit gearbeitet. Diese solle anschließend verpflichtet eingeführt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 7,59€
  2. 68,23€ (Release 03.12.)

TheUnichi 08. Nov 2020 / Themenstart

In Containern werden nicht einfach so Protokolle geschrieben. Vor allem nicht in der...

Kommentieren


Folgen Sie uns
       


Linux-Smartphone Pinephone im Test

Das Pinephone ist das erste echte Linux-Smartphone seit rund 5 Jahren und dazu noch von einer Community erstellt. Das ambitionierte Projekt scheitert letztlich aber an der Realität.

Linux-Smartphone Pinephone im Test Video aufrufen
Librem Mini v2 im Test: Der kleine Graue mit dem freien Bios
Librem Mini v2 im Test
Der kleine Graue mit dem freien Bios

Der neue Librem Mini eignet sich nicht nur perfekt für Linux, sondern hat als einer von ganz wenigen Rechnern die freie Firmware Coreboot und einen abgesicherten Bootprozess.
Ein Test von Moritz Tremmel

  1. Purism Neuer Librem Mini mit Comet Lake
  2. Librem 14 Purism-Laptops bekommen 6 Kerne und 14-Zoll-Display
  3. Librem Mini Purism bringt NUC-artigen Mini-PC

Macbook Air mit Apple Silicon im Test: Das beste Macbook braucht kein Intel
Macbook Air mit Apple Silicon im Test
Das beste Macbook braucht kein Intel

Was passiert, wenn Apple ein altbewährtes Chassis mit einem extrem potenten ARM-Chip verbindet? Es entsteht eines der besten Notebooks.
Ein Test von Oliver Nickel

  1. Apple Macbook Air (2020) im Test Weg mit der defekten Tastatur!
  2. Retina-Display Fleckige Bildschirme auch bei einigen Macbook Air
  3. iFixit Teardown Neue Tastatur macht das Macbook Air dicker

iPhone 12 Mini im Test: Leistungsstark, hochwertig, winzig
iPhone 12 Mini im Test
Leistungsstark, hochwertig, winzig

Mit dem iPhone 12 Mini komplettiert Apple seine Auswahl an aktuellen iPhones für alle Geschmäcker: Auf 5,4 Zoll sind hochwertige technischen Finessen vereint, ein besseres kleines Smartphone gibt es nicht.
Ein Test von Tobias Költzsch

  1. Apple Nutzer beklagen Netzabbrüche beim iPhone 12
  2. Apple Bauteile des iPhone 12 kosten 313 Euro
  3. Touchscreen und Hörgeräte iOS 14.2.1 beseitigt iPhone-12-Fehler

    •  /