c’t deckt auf: Kritisches Sicherheitsleck bei Rettungsdienst-System IVENA
Über IVENA koordinieren Krankenhäuser die Versorgung von Notfallpatienten. Ein Admin-Kennwort des lebenswichtigen Onlinesystems landete im Klartext im Netz.
- Jan Mahn
Wenn der Rettungsdienst kommen muss, entscheiden oft Sekunden – ist der Patient erst einmal untersucht, steht oft der zügige Transport in ein Krankenhaus an. Am besten in eines, das ihn auch aufnehmen und bestmöglich versorgen kann. Weil die Fahrt in eine überfüllte oder nicht richtig ausgestattete Notaufnahme nicht nur teuer, sondern schlimmstenfalls sogar lebensbedrohlich sein kann, verlassen sich viele Rettungsleitstellen und Krankenhäuser mittlerweile auf Software und vernetzte Systeme.
Ein solches System heißt IVENA, die Abkürzung steht für "Interdisziplinärer Versorgungsnachweis". Die Krankenhäuser tragen in das Onlinesystem ihre Ressourcen ein – also zum Beispiel Kapazitäten in der Notaufnahme, Ärzte nach Fachbereichen und Diagnosegeräte. Die Mitarbeiter im Rettungsdienst, die den Patienten vor Ort untersucht haben und einen Platz im Krankenhaus brauchen, geben der Rettungsleitstelle per Funk oder Handy einen sechsstelligen Code, den PZC-Code, durch. Die ersten drei Ziffern kodieren das Leiden des Patienten, die folgenden beiden Ziffern das Alter, die letzte Ziffer die Dringlichkeit.
IVENA zeigt dann für den Einzugsbereich freie Krankenhäuser mit der für den Patienten passenden Ausstattung an. Der Disponent in der Leitstelle wählt eine Klinik aus, meldet den Patienten dort an und gibt den Namen des Krankenhauses an den Rettungsdienst durch. In der Datenbank von IVENA wird vermerkt, dass der Patient auf dem Weg ist und eine Ressource für die nächste Zeit blockieren wird.
Auch im Krankenhaus läuft IVENA, nicht nur auf PC-Arbeitsplätzen, oft auch als großer Informationsbildschirm in der Notaufnahme. Das Personal sieht dort in einer Tabelle, welche Patienten gerade auf dem Weg sind, kann sich vorbereiten und dringliche Fälle priorisieren. Über verschiedene Schnittstellen kann IVENA zusätzliche Alarme auslösen, zum Beispiel per Pager oder über die Telefonanlage des Krankenhauses.
IVENA-Ăśbersichten einsehbar
Die ursprüngliche Idee zu IVENA stammt aus Hessen. Zusammen mit dem Frankfurter Gesundheitsamt entwickelt die Firma mainis IT-Service GmbH die Software seit 2009. Vertrieben wird sie mittlerweile in ganz Deutschland. Teilweise bestellen und betreiben einzelne Kommunen eine IVENA-Instanz, in vielen Bundesländern (etwa in Niedersachsen, Berlin, Brandenburg, Sachsen-Anhalt und Hessen) laufen Plattformen flächendeckend oder fast flächendeckend.
Das Programm läuft im Browser, und jeder Kunde, also eine Kommune oder ein ganzes Bundesland, muss seine Server-Instanz selbst betreiben – meist in Rechenzentren der öffentlichen Hand. IVENA generiert aus den gemeldeten Kapazitäten und den Fällen eine tabellarische Übersicht nach Krankenhäusern und zeigt nach einem Ampelsystem an, wie ausgelastet die Einrichtungen pro Zeitabschnitt sind.
Diese Übersicht kann man in vielen IVENA-Instanzen als Bürger ohne Zugangsdaten einsehen. In Niedersachsen etwa unter ivena-niedersachsen.de, in Hessen unter ivena-hessen.de. In München haben die Betreiber diesen öffentlichen Zugang 2018 sperren lassen, nachdem Datenjournalisten des Bayerischen Rundfunks anhand der frei verfügbaren Daten unbequeme Details zur Versorgungslage und zur Überlastung des Krankenhauspersonals recherchiert hatten.
GeneralschlĂĽssel ohne Schutz
Auf IVENA aufmerksam wurden wir durch den Hinweis eines Lesers. Er hatte die Software in einer TV-Reportage des Norddeutschen Rundfunks über den Rettungsdienst gesehen. Im Browserfenster eines Leitstellencomputers aus Hannover, das im Film zu sehen war, fiel ihm ein verdächtiges Detail auf: An die Adresse ivena-niedersachsen.de war eine kryptische Zeichenkette angehängt, offensichtlich eine sogenannte Session-ID. Das erinnerte den Hinweisgeber an die Anfänge der Webentwicklung: Bis etwa Anfang der 2000er war es üblich, auf Websites, die mit einer Authentifizierung versehen sind, nach erfolgreicher Anmeldung eine solche Zeichenkette an die Adresse anzuhängen. Darüber konnte der Server die Sitzung des Nutzers wiedererkennen.
Von diesem Konzept haben sich Webentwickler aber lange verabschiedet. Das Problem: Eine solche URL, also inklusive des SchlĂĽssels fĂĽr eine aktive Sitzung, landet zum Beispiel im Verlauf des Browsers oder Nutzer verschicken die URL versehentlich an andere. Wer den Link bekommt, ist automatisch angemeldet. Stattdessen speichert man die Session-ID heutzutage in Cookies.
Wer ein solch antiquiertes Sicherheitskonzept verwende, so der Gedanke des Hinweisgebers, könnte noch weitere Sicherheitsprobleme aus längst vergangenen Tagen mitschleppen. Also schaute er sich die Anwendung aus Niedersachsen, die er im Film gesehen hatte, genauer an. Außerdem sah er sich auf der Homepage des Herstellers um. In einem leicht aufspürbaren Pfad wurde er fündig: Der Betreiber hatte versäumt, auf dem Apache-Webserver das sogenannte Directory Listing abzustellen.
Auch das ist ein typisches Relikt aus vergangenen Zeiten. Navigierte man auf den Pfad eines Ordners, zeigte der Server eine Übersichtsseite über dessen Inhalte. Per Links konnte man darin bequem navigieren. Auf diese Weise fand unser Leser eine INI-Datei, die außer einigen Einstellungen auch einen Benutzernamen und ein Kennwort enthielt; laut Kommentaren war der Zugang für eine Entwicklungsinstanz von IVENA gedacht. Kurzerhand probierte er die Daten auf der niedersächsischen Plattform aus – und war angemeldet. Mit dieser Erkenntnis wandte er sich besorgt an unsere Redaktion.
c't 24/2020
Dieser Artikel stammt aus c’t 24/2020. Darin liefert die c't-Redaktion eine ausführliche PC-Kaufberatung und Bauvorschlägen für den optimalen PC. Sie hat Partnerbörsen getestet und deckt die Tricks von Parship & Co. ebenso auf wie die Sicherheitslücke im online-Rettungssystem IVENA. c't 24/2020 ist ab sofort im Heise-Shop und am gut sortierten Zeitschriftenkiosk erhältlich.