• IT-Karriere:
  • Services:

Sicherheitslücke: Admin-Passwort für Rettungsdienst-System ungeschützt im Netz

Über die Software Ivena werden Notfallpatienten in Krankenhäusern angemeldet. Ein Admin-Passwort ist nun öffentlich auf der Herstellerwebseite einsehbar gewesen.

Artikel veröffentlicht am ,
Mit der Software Ivena meldet der Rettungsdienst Notfallpatienten in Krankenhäusern an.
Mit der Software Ivena meldet der Rettungsdienst Notfallpatienten in Krankenhäusern an. (Bild: Alexander Heeb/Pixabay)

Die Software Ivena wird in mehreren Bundesländern und etlichen Krankenhäusern und Leitstellen eingesetzt, mit ihr werden die Kapazitäten von Krankenhäusern und Fachärzten verwaltet und beispielsweise Patienten im Rettungswagen in einem Krankenhaus angemeldet. Auf dem Webserver des Herstellers war jedoch eine Konfigurationsdatei öffentlich einsehbar, die einen alle Ivena-Instanzen gültigen Admin-Zugang enthielt.

Stellenmarkt
  1. über duerenhoff GmbH, Stuttgart
  2. Sika Holding CH AG & Co KG, Stuttgart

Der Apache-Webserver, der die Webseite des Ivena-Herstellers ausliefert, war so konfiguriert, dass Dritte durch die Ordner und Dateien browsen konnten (Directory Listing). Dort entdeckte ein Leser des Computermagazins C't eine Ini-Datei, die neben einigen Einstellungen einen Benutzernamen und ein Passwort enthielt. Laut Kommentaren war dies für eine Entwicklungsinstanz von Ivena gedacht - die Zugangsdaten entpuppten sich jedoch als Admin-Zugang zu allen Ivena-Installationen, die im Webbrowser angezeigt werden und aus dem Internet erreichbar sind.

Voller Zugriff auf die Plattform

Mit dem Admin-Zugang war fast alles auf der Ivena-Plattform möglich, beispielsweise konnten Patienten angemeldet werden, wie es die Leitstellen tun. Zudem konnten die Passwörter anderer Nutzer geändert oder ganze Krankenhäuser abgemeldet werden.

Eindringlinge hätten mit dem Zugang Chaos anrichten können, im schlimmsten Fall sogar Menschenleben riskieren - etwa wenn sie Leitstellen von dem System abgeschnitten und auf den Bildschirmen in den Notaufnahmen falsche Informationen angezeigt hätten. Besonders schwerwiegend wäre eine Meldung eines "Massenanfall an Verletzten" gewesen, bei dem Verletzte nach einem Zugunglück oder Flugzeugabsturz gemeldet werden können.

Auch die dienstlichen Kontaktdaten der Angestellten in den Krankenhäusern oder Leitstellen, die einen Zugang zu der Software hatten, hätten Angreifer einsehen können. Von den Patienten werden hingegen nur Daten wie Alter, Diagnose und Geschlecht in der Datenbank verwaltet, einer konkreten Person konnten diese laut C't nicht zugeordnet werden.

Sicherheitslücke umgehend geschlossen

Der Hersteller erklärte, der Fund sei am Abend des 14. Oktober gemeldet und sofort behoben worden. "Aktuell arbeiten wir mit Hochdruck daran, mögliche Datenmanipulationen zu ermitteln und den dauerhaften Zugriff eines Unbefugten über ein anderes Login auszuschließen. Derzeit können wir ausschließen, dass es unberechtigte Benutzer mit weitreichenden Berechtigungen gibt", hieß es.

Der Fehler sei auf menschliches Versagen zurückzuführen und bei einer Covid-19-Übersichtskarte im April 2020 entstanden, die unter großer Anspannung innerhalb weniger Tage entwickelt und in Betrieb genommen worden sei. Der Hersteller forderte alle Nutzer auf, ihre Kennwörter zu ändern. An einer Zwei-Faktor-Authentifizierung mit Fido2/Webauthn und TOTP werde derzeit gearbeitet. Diese solle anschließend verpflichtet eingeführt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
In eigener Sache: IT-Trainings zu Infrastruktur-, Development- und Security-Themen mit der Golem Akademie.
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Polestar 2 im Test
    Lädst du noch oder fährst du schon?
  2. Telekom-Chef
    Kabelnetz erreicht "nirgendwo ein Gigabit"
  3. Notebook
    Beim Framework Laptop sind selbst die Anschlüsse tauschbar
  4. Game Freak
    Neue Pokémon-Abenteuer für Nintendo Switch angekündigt
  5. Mac Mini mit M1-CPU
    Apple baut das fast perfekte ARM-Entwicklungsmonster
Anzeige
Hardware-Angebote
  2. (u. a. Ryzen 5 5600X für 359€, Ryzen 7 5800X für 489€)
Kommentarübersicht
Re: Passwort im Klartext in ini Datei?
TheUnichi 08. Nov 2020

In Containern werden nicht einfach so Protokolle geschrieben. Vor allem nicht in der...

Folgen Sie uns
       
Surface Duo - Fazit

Das Surface Duo ist Microsofts erstes Smartphone seit Jahren - und ein ungewöhnliches dazu. Allerdings ist das Gerät in Deutschland viel zu teuer.

Surface Duo - Fazit Video aufrufen
Bill Gates
Bill Gates: Mit Technik gegen die Klimakatastrophe
Bill Gates
Mit Technik gegen die Klimakatastrophe

Bill Gates' Buch über die Bekämpfung des Klimawandels hat Schwächen, es lohnt sich aber trotzdem, dem Microsoft-Gründer zuzuhören.
Eine Rezension von Hanno Böck

  1. Microsoft-Gründer Bill Gates startet Podcast
Onlinedurchsuchung
Verschlüsselung: Auch das BKA nutzt Staatstrojaner nur ganz selten
Verschlüsselung
Auch das BKA nutzt Staatstrojaner nur ganz selten

Die neue Zitis-Behörde soll bei Staatstrojanern eine wichtige Rolle spielen. Quantennetzwerke zum eigenen Schutz lehnt die Regierung ab.
Ein Bericht von Friedhelm Greis

  1. Staatstrojaner-Statistik Aus 368 werden 3
  2. Untersuchungsbericht Mehrere Fehler führten zu falscher Staatstrojaner-Statistik
  3. Staatstrojaner Ermittler hacken jährlich Hunderte Endgeräte
Podcast
Wissen für ITler: 11 tolle Tech-Podcasts
Wissen für ITler
11 tolle Tech-Podcasts

Die Menge an Tech-Podcasts ist schier unüberschaubar. Wir haben ein paar Empfehlungen, die die Zeit wert sind.
Von Dennis Kogel

    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /