Stellungnahme
Cedric Fischer entdeckte Ende September 2019 einen offenen Server auf dem über 30.000 Patientendaten gespeichert waren.
Der Computerzeitung c’t des heise-Verlages haben wir diese Schwachstelle umgehend gemeldet. Dieser Datenskandal besteht mindestens seit Anfang September 2019. Im Speziellen handelt es sich dabei um alle Daten, welche in einer Praxis anfallen. Angefangen von genauen chronologischen Behandlungsverläufen, genauen Stammdaten mit Sozialversicherungsnummer über gescannte Patientendokumente, Arbeitsverträge bis hin zu Datenbankbackups.
Die Dateien liegen auf einem Windows-Server vor, der die Basis für das Praxisverwaltungssystem darstellt. Auf diesem ist die Datei- und Druckerfreigabe eingerichtet. Diese stellt u.a. Netzwerkdrucker bereit, aber eben auch Ordnerfreigaben für die Praxissoftware.
Normale Ordnerfreigaben sind durch Windows im Standard nicht ohne Benutzername und Passwort zu erreichen. Der explizite Zugriff ohne Authentifizierung muss gesondert konfiguriert werden. Ob nun die Praxissoftware oder der betreffende Dienstleister diese Freigaben ohne Authentifizierung konfiguriert hat, ist derzeit fraglich. Sämtliche Ordner, die den Datenskandal in der Celler Arztpraxis betreffen, sind mit dem Zugriffsbenutzer „Jeder“ und dem Zugriffsrecht „Vollzugriff“ ausgestattet. Es kann also jeder, der die IP-Adresse kennt, diese Ordner lesen und beschreiben. Es gibt öffentlich zugängliche Portale, welche die IP-Adressen anzeigen. Diese Portale sind ohne spezielles Fachwissen zu bedienen, ein einfacher Begriff reicht aus, um entsprechende Treffer zu erhalten.
Ein anderer IT-Experte entdeckte parallel eine Lücke in den Business-Routern der Telekom, den Digitalisierungsboxen, welche von der Telekom im Rahmen der Umrüstung auf All-IP herausgegeben wurden. Diese Lücke äußert sich darin, dass es vordefinierte Dienstprofile für die Portfreigabe gibt. Wählt man nun diese Profile in einem Einrichtungs-Wizzard aus, weil man den Port 443 (HTTPS) auf einen Rechner im lokalen Netz freigeben möchte, so wurde anstatt dem einzelnen Port 443 eine ganze Portliste (Portrange) von Port 440 bis 449 unbemerkt eingerichtet. Die Datei- und Druckerfreigabe fällt mit dem Port 445 genau in diesen Bereich. Läuft nun auf dem entsprechenden Gerät, welches man durch Port 443 von außen erreichen wollte, auch die Dateifreigabe, so kommt man genau zu dem Fall, wie er in der Celler Arztpraxis vorzufinden war.
Es ist jedoch mit aller Deutlichkeit zu erwähnen, dass die „Lücke“ im Telekom-Router keinesfalls für diesen riesigen Datenskandal verantwortlich ist. Vielmehr hätten, selbst wenn eine unbemerkte Weiterleitung auf die Datei- und Druckerfreigabe existiert hat, die Freigaben unter keinen Umständen ohne Authentifizierung betrieben werden dürfen! Dieses Verhalten ist mehr als grob fahrlässig und entspricht in keinster Weise technischen Standards. Dieser Fakt stellt den eigentlichen Skandal dar! Werden die Ordner und Dateien auch im lokalen Netz ohne Authentifizierung bereitgestellt, besteht zudem die Gefahr, dass sich Angreifer und Trojaner Zugriff auf das lokale Praxisnetz verschaffen können. Dazu reicht es aus, sich Zugang zum WLAN zu verschaffen oder unbemerkt ein Netzwerkkabel eines Gerätes in der Praxis abzuziehen und der Angreifer hat ebenfalls Vollzugriff auf alle Patientendaten. Sollte nun ein Trojaner im Netzwerk aktiv sein, so ist es diesem ebenfalls möglich, die gesamten Daten unbemerkt zu verschlüsseln.
Der Praxis wurde die Sicherheitslücke im Oktober gemeldet, innerhalb von 72 Stunden hätte eine Meldung an das Landesamt für Datenschutz in Hannover erfolgen müssen, laut Presseberichten ist dies nicht geschehen. Die weiteren Schritte bleiben nun abzuwarten.
Bad Arolsen, den 26.11.2019
Links zu Presseberichten:
https://www.heise.de/ct/artikel/Warum-eine-komplette-Arztpraxis-offen-im-Netz-stand-4590103.html
https://www.ndr.de/nachrichten/info/meldungen/nachrichten313_con-19x11x26x10y15.html
https://www.sueddeutsche.de/politik/datenschutz-celle-datenleck-durch-router-patientendaten-aus-praxis-online-dpa.urn-newsml-dpa-com-20090101-191126-99-895792
https://www.t-online.de/region/id_86884100/datenleck-durch-router-patientendaten-aus-praxis-online.html
https://www.cellesche-zeitung.de/Celle/Aus-der-Stadt/Celle-Stadt/Magazin-c-t-deckt-auf-Patientendaten-einer-Celler-Arztpraxis-im-Netz
Über CeFiSystems
CeFiSystems Cedric Fischer ist ein IT-Systemhaus und IT-Dienstleister.
Wir unterstützen unsere Kunden von der Netzwerkeinrichtung und -wartung über Client-Arbeitsplätze sowie modernster VoIP-Telefonie bis hin zu umfassenden Client/Server-Lösungen und Sicherheitseinrichtungen für Ihr Arbeitsnetzwerk.
Zuverlässig, kompetent sowie serviceorientiert betreuen und beraten wir Unternehmen und Einrichtungen aus verschiedenen Branchen, denen wir individuelle IT-Lösungen aus einer Hand bieten.
CeFiSystems Cedric Fischer berät darüber hinaus seine Kunden im Bereich der IT-Sicherheit. Dies umfasst sowohl die Beratung zu Firewall- und UTM-Systemen als auch die IT-Sicherheitsforschung.
Speziell beraten wir den gesamten Gesundheitsbereich zu aktuellen Bedrohungen und Sicherheitslücken, der Telematik-Infrastruktur sowie im Falle einer Datenpanne. CeFiSystems verfügt über eine besondere Expertise in diesem Bereich und testet Systeme in verschiedenen Stufen und mit verschiedensten Techniken auf Sicherheit sowie Integrität. Wir erstellen einen umfassenden Sicherheitsbericht und erarbeiten mit unseren Kunden individuelle Lösungen um Ihre IT auf ein Maximum an Sicherheit zu bringen.
