Offene Router

Eklatante Lücken in der Gesundheits-IT

Dutzende Server und Router von Arztpraxen und Kliniken waren durch Konfigurationsfehler über das Internet ungeschützt zugänglich. Offiziell möchte bisher niemand die Verantwortung dafür übernehmen.

Von Detlef Borchers

Mit einem Portscan des gesamten IPv4-Raumes mit seinen rund 4,3 Milliarden Adressen haben Sicherheitsforscher nach medizinischen Geräten gesucht, um die Sicherheit der Telematikinfrastruktur (TI) zu überprüfen. Über die Ergebnisse des Scans berichteten sie auf der Onlinekonferenz rC3 des Chaos Computer Club (CCC) unter dem Titel „Tut mal kurz weh“.

Wieder dabei, wieder fündig: Christoph Saatjohann, Christian Brodowski und Martin Tschirsich (v.l.) befassten sich auf dem rC3 mit Lücken in der Gesundheits-IT.

Bild: Chaos Computer Club, CC-BY 4.0 International, media.ccc.de

Löchrige Hardware

Unter anderem fanden die Experten bei dem Portscan im Sommer 2020 insgesamt 29 Konnektoren (VPN-Router) in der TI, die ohne Authentifizierung im Internet erreichbar waren. „Wenn die elektronische Patientenakte dagewesen wäre, hätten wir sie lesen können“, erklärte Christoph Saatjohann vom Labor für IT-Sicherheit an der FH Münster das Problem. Im Zuge einer „responsible disclosure“ hatten er und sein Team bereits die Projektgesellschaft Gematik über die Sicherheitslücke informiert.