Wieder Konfigurations-Panne: 200 Konnektoren von Arztpraxen online erreichbar

Erneut haben Sicherheitsforscher eine Sicherheitslücke in der telematischen Infrastruktur des Gesundheitswesens gefunden. Details gibt es in ein paar Tagen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 59 Beiträge

(Bild: Herlanzer/Shutterstock.com)

Update
Von
  • Detlef Borchers

In der telematischen Infrastruktur des Gesundheitswesens (TI) haben Sicherheitsforscher erneut eine Sicherheitslücke gefunden. Rund 200 Arztpraxen sollen laut einer Meldung der Tagesschau über das Internet erreichbar gewesen sein. In 30 Fällen soll es den Forschern gelungen sein, der TI eine Arztpraxis vorzutäuschen und Zugriff auf Patientenakten zu bekommen, die ohne Passwortschutz im Praxisverwaltungssystem gespeichert waren.

[Update 15.12.2020 16:20] Nach Darstellung der Sicherheitsforscher gegenüber heise online konnte eine Praxis so vorgetäuscht werden, dass sie auf eine elektronische Patientenakte hätten zugreifen können, wie sie zum Jahresanfang 2021 in den Umlauf kommen soll. [/Update]

In Deutschland sind aktuell etwa 145.000 Praxen an die TI angebunden. Über die gefundenen Sicherheitslücken wollen die Forscher auf dem Jahreskongress des Chaos Computer Clubs informieren, der dieses Jahr als "remote chaos experience" (rc3) nur virtuell stattfindet.

Bereits auf dem Kongress 36C3 im Dezember 2019 hatte Christoph Saatjohann vom Labor für IT-Sicherheit der FH Münster in einem Vortrag die telematische Infrastruktur des Gesundheitswesens als löchrig bezeichnet. Nun behauptete er gegenüber der Tagesschau, dass in etwa 200 Fällen die Konnektoren (VPN-Router) von Arztpraxen so konfiguriert waren, dass sie über das Internet sichtbar und erreichbar waren.

Noch gravierender soll eine Sicherheitslücke sein, in der der TI eine Arztpraxis vorgegaukelt werden konnte. So soll es den Sicherheitsforschern gelungen sein, Arztbriefe, Diagnosebefunde und Röntgenbilder einzusehen. Details dieser Pentests sollen dann auf dem Chaos Computer Congress vorgestellt werden.

(mho)