Offene Router
Eklatante Lücken in der Gesundheits-IT
Dutzende Server und Router von Arztpraxen und Kliniken waren durch Konfigurationsfehler über das Internet ungeschützt zugänglich. Offiziell möchte bisher niemand die Verantwortung dafür übernehmen.
Mit einem Portscan des gesamten IPv4-Raumes mit seinen rund 4,3 Milliarden Adressen haben Sicherheitsforscher nach medizinischen Geräten gesucht, um die Sicherheit der Telematikinfrastruktur (TI) zu überprüfen. Über die Ergebnisse des Scans berichteten sie auf der Onlinekonferenz rC3 des Chaos Computer Club (CCC) unter dem Titel „Tut mal kurz weh“.
Löchrige Hardware
Unter anderem fanden die Experten bei dem Portscan im Sommer 2020 insgesamt 29 Konnektoren (VPN-Router) in der TI, die ohne Authentifizierung im Internet erreichbar waren. „Wenn die elektronische Patientenakte dagewesen wäre, hätten wir sie lesen können“, erklärte Christoph Saatjohann vom Labor für IT-Sicherheit an der FH Münster das Problem. Im Zuge einer „responsible disclosure“ hatten er und sein Team bereits die Projektgesellschaft Gematik über die Sicherheitslücke informiert.
