Sicherheitslücke: Admin-Passwort für Rettungsdienst-System ungeschützt im Netz

Über die Software Ivena werden Notfallpatienten in Krankenhäusern angemeldet. Ein Admin-Passwort ist nun öffentlich auf der Herstellerwebseite einsehbar gewesen.

Artikel veröffentlicht am ,
Mit der Software Ivena meldet der Rettungsdienst Notfallpatienten in Krankenhäusern an.
Mit der Software Ivena meldet der Rettungsdienst Notfallpatienten in Krankenhäusern an. (Bild: Alexander Heeb/Pixabay)

Die Software Ivena wird in mehreren Bundesländern und etlichen Krankenhäusern und Leitstellen eingesetzt, mit ihr werden die Kapazitäten von Krankenhäusern und Fachärzten verwaltet und beispielsweise Patienten im Rettungswagen in einem Krankenhaus angemeldet. Auf dem Webserver des Herstellers war jedoch eine Konfigurationsdatei öffentlich einsehbar, die einen alle Ivena-Instanzen gültigen Admin-Zugang enthielt.

Stellenmarkt
  1. (Junior) Application Engineer Geo-Cloud (m/w/d)
    HxGN Safety & Infrastructure GmbH, Ismaning, Bonn
  2. Product Owner (m/w/d)
    QUNDIS GmbH, Erfurt
Detailsuche

Der Apache-Webserver, der die Webseite des Ivena-Herstellers ausliefert, war so konfiguriert, dass Dritte durch die Ordner und Dateien browsen konnten (Directory Listing). Dort entdeckte ein Leser des Computermagazins C't eine Ini-Datei, die neben einigen Einstellungen einen Benutzernamen und ein Passwort enthielt. Laut Kommentaren war dies für eine Entwicklungsinstanz von Ivena gedacht - die Zugangsdaten entpuppten sich jedoch als Admin-Zugang zu allen Ivena-Installationen, die im Webbrowser angezeigt werden und aus dem Internet erreichbar sind.

Voller Zugriff auf die Plattform

Mit dem Admin-Zugang war fast alles auf der Ivena-Plattform möglich, beispielsweise konnten Patienten angemeldet werden, wie es die Leitstellen tun. Zudem konnten die Passwörter anderer Nutzer geändert oder ganze Krankenhäuser abgemeldet werden.

Eindringlinge hätten mit dem Zugang Chaos anrichten können, im schlimmsten Fall sogar Menschenleben riskieren - etwa wenn sie Leitstellen von dem System abgeschnitten und auf den Bildschirmen in den Notaufnahmen falsche Informationen angezeigt hätten. Besonders schwerwiegend wäre eine Meldung eines "Massenanfall an Verletzten" gewesen, bei dem Verletzte nach einem Zugunglück oder Flugzeugabsturz gemeldet werden können.

Golem Akademie
  1. Terraform mit AWS
    14.-15. Dezember 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  3. IT-Sicherheit für Webentwickler
    2.-3. November 2021, online
Weitere IT-Trainings

Auch die dienstlichen Kontaktdaten der Angestellten in den Krankenhäusern oder Leitstellen, die einen Zugang zu der Software hatten, hätten Angreifer einsehen können. Von den Patienten werden hingegen nur Daten wie Alter, Diagnose und Geschlecht in der Datenbank verwaltet, einer konkreten Person konnten diese laut C't nicht zugeordnet werden.

Sicherheitslücke umgehend geschlossen

Der Hersteller erklärte, der Fund sei am Abend des 14. Oktober gemeldet und sofort behoben worden. "Aktuell arbeiten wir mit Hochdruck daran, mögliche Datenmanipulationen zu ermitteln und den dauerhaften Zugriff eines Unbefugten über ein anderes Login auszuschließen. Derzeit können wir ausschließen, dass es unberechtigte Benutzer mit weitreichenden Berechtigungen gibt", hieß es.

Der Fehler sei auf menschliches Versagen zurückzuführen und bei einer Covid-19-Übersichtskarte im April 2020 entstanden, die unter großer Anspannung innerhalb weniger Tage entwickelt und in Betrieb genommen worden sei. Der Hersteller forderte alle Nutzer auf, ihre Kennwörter zu ändern. An einer Zwei-Faktor-Authentifizierung mit Fido2/Webauthn und TOTP werde derzeit gearbeitet. Diese solle anschließend verpflichtet eingeführt werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Infiltration bei Apple TV+
Die Außerirdischen sind da!

Nach Foundation wartet Apple innerhalb kürzester Zeit gleich mit der nächsten Science-Fiction-Großproduktion auf. Diesmal landen die Aliens auf der Erde.
Eine Rezension von Peter Osteried

Infiltration bei Apple TV+: Die Außerirdischen sind da!
Artikel
  1. Truth Social: Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz
    Truth Social
    Trumps soziales Netz bekommt Probleme mit Hackern und Lizenz

    Hacker starten in Trumps-Netzwerk einen "Online-Krieg gegen Hass" mit Memes. Der Code scheint illegal von Mastodon übernommen worden zu sein.

  2. Krypto: NRW versteigert beschlagnahmte Bitcoin
    Krypto
    NRW versteigert beschlagnahmte Bitcoin

    Nordrhein-Westfalen hat Bitcoin im achtstelligen Eurobereich beschlagnahmt und will diese jetzt loswerden - im Rahmen einer Auktion.

  3. Rust, Deepfake, Sony, Microsoft: Konsolen-Termin für Among Us, mehr Speicher für die Xbox
    Rust, Deepfake, Sony, Microsoft
    Konsolen-Termin für Among Us, mehr Speicher für die Xbox

    Sonst noch was? Was am 22. Oktober 2021 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Seagate SSDs & HDD günstiger (u. a. ext. HDD 14TB 326,99) • Dualsense PS5-Controller Weiß 57,99€ • MacBook Pro 2021 jetzt vorbestellbar • World of Tanks jetzt mit Einsteigerparket • Docking-Station für Nintendo Switch 9,99€ • Alternate-Deals (u. a. iPhone 12 Pro 512GB 1.269€) [Werbung]
    •  /