Logo Hannoversche Ärzte-Verlags-Union
Karl-Wiechert-Allee 18-22
30625 Hannover
info@haeverlag.de
nä 02/2020
aktualisiert am: 14.01.2020

 

  Telemedizin & Digita

„Wir brauchen einen IT-TÜV!“

IT-Experte Cedric Fischer hat vor einigen Wochen einen Datenskandal offenkundig gemacht, als er sich ohne Weiteres Zugang zu den Patientendaten einer Celler Arztpraxis verschaffen konnte. Er sieht die Sicherheitslage in vielen Praxen kritisch


 


Herr Fischer, Sie haben vor einigen Wochen in einer Celler Arztpraxis eklatante Sicherheitsmängel aufgedeckt - der Albtraum für jeden Arzt. Wieso gerade dort und warum?
Fischer: Ich hatte es nicht auf diese bestimmte Praxis abgesehen. Ich suchte eigentlich nach Servern, auf denen eine bestimmte, weit verbreitete Praxis-Software installiert ist. Ich hatte erfahren, dass bei der Installation oft Sicherheitslücken vorhanden sind, und wollte das prüfen. Dazu rief ich eine unter Spezialisten gängige Server-Suchmaschine auf und gab den Softwarenamen ein. Die Suchmaschine zeigte mir nicht nur die Server an, auf denen diese Software installiert ist, sondern auch, ob dort Ports geöffnet waren.

... also die Türen zur Online-Welt, die normalerweise verschlossen sein sollten und nur von innen geöffnet werden
Fischer: Hier war die "Tür" offen gelassen worden. Ich konnte online auf den Praxisserver gehen und alle Daten erreichen, die in einer Praxis anfallen - Behandlungsverläufe, genaue Stammdaten mit Sozialversicherungsnummer, gescannte Patientendokumente, Arbeitsverträge. Die Ordner, in denen sie abgelegt waren, sind bei Windows im Standard nicht ohne Benutzername und Passwort zu erreichen. Der Zugriff ohne Authentifizierung muss gesondert konfiguriert werden. Ob nun die Praxissoftware oder der betreffende Dienstleister diese Freigaben ohne Authentifizierung konfiguriert hat, kann ich nicht sagen. Aber sämtliche Ordner, die den Datenskandal in der Celler Arztpraxis betreffen, waren mit dem Zugriffsbenutzer "Jeder" und dem Zugriffsrecht "Vollzugriff" ausgestattet. Es konnte also jeder, der die IP-Adresse kannte, diese Ordner lesen und beschreiben. Das hätte jemand mit unlauteren Absichten für sich ausnutzen können. In Verbindung mit der Lücke im Router, welche eine Portreihe anstatt eines Ports geöffnet hat, konnte ich auf den Praxisserver zugreifen.

Mal im Ernst - dann hätte er eben gewusst, dass Fr. Meier Rückenschmerzen hat. Und?
Fischer: Das mag belanglos sein. Ok. Aber wenn Sie unter den Patienten einen Regionalpolitiker finden, der AIDS hat? Dem könnten sie damit enorm schaden.

Das wäre doch ein Zufallstreffer. Wie viele Hacker gehen deswegen zum Angriff auf Praxisserver?
Fischer: Es geht nicht um prominente Einzelfälle. Sie können über ein solches Datenleck Tausende Patienten-Stammdaten auslesen, mit den Daten der Chipkarte, mit der Sozialversicherungsnummer. Sie klauen ganze Identitäten, können Profile erstellen, die echt sind. Damit wird online gehandelt - zu enormen Preisen. Das Ganze passiert teilweise sogar durch Maschinen, welche das Netz permanent nach solchen offenen Ports abscannen und die Daten vollautomatisch kopieren.

Wer raffiniert ist, kann also eine Versichertenkarte mit echten Daten nachmachen?
Fischer: Falsche Ausweise, falsche Identitäten - das wäre eine Richtung des Missbrauchs, an die viele denken. Weniger bekannt ist eine andere Form: Sie können zum Beispiel Mail-Adressen abgreifen und dann Phishing-Mails mit so individuellem Bezug auf den Empfänger erstellen, dass sie von keinem Spamfilter und von der Person selber als solche erfasst werden. Beim öffnen lädt sich der Empfänger Schadsoftware auf seinen Rechner, mit der dann Angreifer von außen auf die Computerdaten zugreifen - oder den Computerbesitzer erpressen können.

Solche Befürchtungen werden von TI-Gegnern immer wieder geäußert. Wie viele Fälle davon kennen Sie?
Fischer: Es gab ja schon große Datenskandale, etwa, als bei der Fa. Adobe in großem Stil Bezahldaten geklaut wurden. Immer geht es darum, Geld zu generieren oder anderen zu schaden. Im medizinischen Bereich sind mir solche Fälle noch nicht bekannt. Aber ich fürchte, es ist nur eine Frage der Zeit, bis auch hier Leaks bekannt werden.

Was droht Praxen?
Fischer: Die Möglichkeiten sind vielfältig. Erpressung einzelner Patienten, Nachteile für sie bei Bekanntwerden ihrer Befunde, Erpressung der Praxis, bei Bekanntwerden Reputationsschaden für die Praxis und natürlich rechtliche Schwierigkeiten. Einerseits durch die Datenschutzbehörden in Verbindung mit sehr hohen Bußgeldern, welche sogar existenzbedrohend sein können, und durch eventuelle Schadenersatzklagen der betroffenen Patienten.

Haben Sie noch mehr Praxen gefunden, die so ungeschützt waren wie die in Celle?
Fischer: Nein. Ich fand noch einen Server in Hamburg mit dieser Installation, dort war der Port auch geöffnet, der Server jedoch mit Passwörtern gesichert. Da kam ich nicht weiter.

Kann man einen Passwortschutz nicht umgehen?
Fischer: Das geht, wenn die Software nicht aktualisiert wurde. Oder ein gängiges Wort als Passwort verwendet wird. Hacker setzen oft eine Software ein, die eine Liste von allen möglichen irgendwann mal verwendeten Passwörtern abarbeitet. Eines davon ist es dann oft, denn die meisten Passwörter werden leider sehr schlecht gewählt. Solche "brute force" - Attacken sind sehr verbreitet.

Wäre die Celler Praxis durch einen TI-Konnektor geschützt gewesen? Oder umgekehrt: Hat sie ihren Schutz durch die TI-Anbindung verloren?
Fischer: Weder noch. Die Praxis war an die TI angeschlossen, aber die war ja nicht mein Zugangsweg. Nein, bei der verwendeten Praxissoftware werden offenbar nicht standardmäßig Passwörter gesetzt und ein Port war offen. Das war bei der Installation übersehen und nicht getestet worden. Da lag der Fehler.

Kann der Konnektor selbst zum Datenleck werden? Gerade berichtet die Computerzeitschrift CT, dass die Konnektoren wegen veralteter Software angreifbar sind.
Fischer: Das beträfe die Variante der seriellen Installation - der Konnektor wird zwischen Router und das Praxisnetz gestellt. Dann kontrolliert er wie eine Firewall den ein- und ausgehenden Datenverkehr. Aber dass er genutzt wird, um von außen auf die Praxis-IT zuzugreifen, ist ziemlich unwahrscheinlich. So lange kein Port offen ist, kann man von außen erstmal nichts machen.

Diese Installation gilt als die sicherere Variante. Die haben nur 10 Prozent der Praxen. Und auch denen wird immer empfohlen, noch eine Firewall zu installieren. Ist der Konnektor doch nicht sicher?
Fischer: Datenlecks entstehen anders, nicht indem ein Bösewicht von außen den Konnektor überwindet. Beispiel: Jemand ruft am Praxis-PC eine Internetseite auf oder ruft E-Mails ab. Die Verbindung geht über den Konnektor nach ´draußen´ ins Netz. Die Internetseite oder eine Mail ist nicht sicher, lanciert auf gleichem Wege zurück Schadprogramme auf dem Rechner. Die werden vom Konnektor nicht erkannt. Die Schadprogramme installieren sich auf dem Rechner und gehen dann wieder über den Konnektor, um von ´innen´ nach ´außen´ Daten abzusenden. Der klassische Weg sind E-Mail-Anhänge, die sich unerkannt im Hintergrund installieren. Dagegen helfen nur eine professionelle Hardware-Firewall mit Filtertechniken und ein guter und aktueller Virenschutz. Das brauchen Sie aber in jedem Fall. Wenn Sie die TI-Installation nicht vornehmen, gehen Sie direkt über den Router ins Netz. Das ist ohne Firewall noch riskanter!

Bei 90 Prozent der Praxen wurde ja ohnehin eine andere Installationsart gewählt, der Parallelbetrieb ...
Fischer: Verständlich - die Praxis-IT ist in den meisten Fällen über Jahre gewachsen. Da bevorzugen die Inhaber dann eine Installationsart, bei der der Konnektor als weiteres Gerät neben die PC und etwa Kartenlesegeräte in die Struktur eingebunden wird. Dann kann der Konnektor aber nicht als Firewall genutzt werden. Vor allem lässt sich kaum kontrollieren, welche Verbindungen der Konnektor und die anderen Geräte in der Praxis untereinander eingehen. Ist also ein Rechner mit Schadsoftware infiziert, kann die ev. auch auf die Kartenlesegeräte und den Konnektor zugreifen und hier Daten absaugen. In Verbindung mit veralteter Software auf den Konnektoren und den Kartenlesegeräten wird dadurch eine noch größere Gefahr geschaffen. Ohne Firewall werden die Daten dann direkt nach außen gegeben. Oder man hat von außen, wenn ein Port geöffnet ist, direkten Zugriff auf alle Praxiskomponenten. Das war exakt die Konstellation, die bei der Celler Praxis vorlag. Der IT-Dienstleister hatte ihr eine "niedrige bis mittlere Basissicherheit" bescheinigt. Das war offensichtlich zu wenig. Eine Firewall gehört immer mit dazu. Manche Heimnetzwerke sind meiner Erfahrung nach besser gesichert als viele Praxen.

Aber alle Verbindungen laufen über den Router. Kann man den nicht sicherheitstechnisch aufrüsten?
Fischer. Nur bedingt. Man könnte den Router so einstellen, dass nur bestimmte IP-Adressen zugelassen werden, die ausschließlich von der TI-Infrastruktur genutzt werden. Das können die meisten Standard-Router jedoch nur sehr eingeschränkt. Dazu müssten die Hersteller oder die Gematik auch einmal offenlegen, welche IP-Adressen ihre TI nutzt. Doch dazu sind die bislang nicht bereit. Für mich unverständlich.

Der Gesetzgeber verlangt nun mal von den Praxen die Anbindung an die TI-Infrastruktur. Wenn der vorgeschriebene Konnektor es nicht schafft, die Verbindungen sicher zu machen - was muss ein Praxisinhaber darüber hinaus noch machen?
Fischer: Es geht nicht ohne Firewall. Damit meine ich nicht etwa die vom Home-Netzwerk bekannte Fritzbox. Für Praxen ist wie allgemein im Business-Bereich eine Hardware-Firewall unerlässlich. Die muss natürlich auch korrekt installiert werden. Dazu braucht man einen verlässlichen IT-Servicepartner. Der muss nach der Installation unter anderem einen Portscan durchführen, um zu verifizieren, dass alle denkbaren Ports von außen geschlossen sind. Und ganz wichtig: Die eingesetzten Programme müssen regelmäßig aktualisiert werden. Lücken entstehen, wenn neue Angriffstechniken auf ältere Software stoßen, die darauf nicht vorbereitet ist. Und beim Parallelbetrieb sollte man die verschiedenen Geräteklassen, also die PCs und die Kartenlesegeräte, in eigenen Netzen zusammenschließen. Dann ist ein sicherer Betrieb grundsätzlich möglich.

Derzeit ist auf ärztlicher Seite das Misstrauen gegenüber der staatlich angeordneten Vernetzung sehr hoch. Was sollte denn geschehen, um den Online-Datenbetrieb sicherer zu machen?
Fischer: Machen wir uns nichts vor - das Internet entwickelt sich rasant, und damit treten auch immer wieder neue Gefahren auf. Hacker und Programmierer von Schadsoftware sind in der Regel der Abwehrtechnik immer einen Schritt voraus. Man kann von Praxisinhabern nicht verlangen, sich zu Computerspezialisten ausbilden zu lassen, um dieser Bedrohung eigenes Wissen entgegenzusetzen. Aber ich frage mich - warum gibt es nicht für Praxen eine Art ´IT-Sicherheits-TüV´? Eine bestimmte Installationsarchitektur, bestimmte Einstellungen, Sicherheitsüberprüfungen und Software-Aktualisierungen lassen sich genauso definieren wie die Standards für die Verkehrssicherheit von Autos. Und in vorgeschriebenen Abständen müssen sich die Praxen TüV-zertifizieren lassen. Das gäbe ihnen rechtliche Sicherheit - das TüV-Siegel garantiert, dass sie alles technisch Mögliche unternommen haben, um Datenmissbrauch zu verhindern. Wenn dann eine neue Lücke entdeckt und ausgenutzt wird, ist die Praxis nicht dafür verantwortlich. Und wir müssen uns eingestehen - absolute Sicherheit wird es im Netz nicht geben.

Mit Cedric Fischer sprach Dr. Uwe Köster

Verfasser/in:
Dr. Uwe Köster
Pressestelle der KVN
Berliner Allee 22, 30175 Hannover



inhalt 02/ 20
service
anzeigenaufgabe
leserbrief
umfragen
archiv
 



"Ärzte und Psychotherapeuten sind keine Computerspezialisten"
KVN sieht Kostenlawine für IT-Sicherheit auf Arztpraxen zurollen. Investitionskostenzuschlag gefordert


Der Vorstand der Kassenärztlichen Vereinigung Niedersachsen (KVN) hat für Arzt- und Psychotherapeutenpraxen einen Investitionszuschlag für die Umsetzung der Datensicherheit in den Praxen gefordert. "Die Kosten für weitere IT-Sicherheitslösungen in Praxen sind noch gar nicht abzusehen. Ich befürchte, dass auf Praxisinhaber in naher Zukunft mit der neuen Richtlinie eine weitere Kostenlawine zurollen wird", befürchtet KVN-Chef Mark Barjenbruch.

IT-Experten schätzen die Investitionskosten je nach Praxisgröße auf einen vierstelligen Betrag. "Diesen finanziellen Aufwand sollen Praxen alleine stemmen, ohne einen wirklichen effektiven Nutzen durch die IT zu verzeichnen", so Barjenbruch. Die KVN fordert, dass die Zusatzkosten durch einen Investitionskostenzuschlag für Praxen abgebildet werden.

Hintergrund für diese Entwicklung ist das vom Bundestag verabschiedete Digitale-Versorgung-Gesetz (DVG), in dem die KBV aufgefordert wird, "bis zum 30. Juni 2020 in einer Richtlinie die Anforderungen zur Gewährleistung der IT-Sicherheit in der vertragsärztlichen und vertragszahnärztlichen Versorgung" festzulegen. Die Richtlinie soll unter anderem Anforderungen an die sichere Installation und Wartung von Komponenten und Diensten der Telematikinfrastruktur (TI) umfassen, die in der kassenärztlichen Versorgung genutzt werden. Sie muss laut Gesetz jährlich an den Stand der Technik und das Gefährdungspotenzial angepasst werden.

An der Ausarbeitung der neuen IT-Sicherheitsrichtlinie arbeiten zurzeit unter anderem die Kassenärztliche Bundesvereinigung (KBV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Zusätzlich haben Medienberichte, Aktionen des Chaos-Computer-Clubs und Einschätzungen von externen IT-Fachleuten in den vergangenen Wochen in der öffentlichkeit den Eindruck erweckt, dass zahlreiche Arztpraxen nur ungenügend vor Hacker-Angriffen geschützt sind. "Dies hat zu einer großen Verunsicherung bei Ärzten und Psychotherapeuten geführt. Wir versuchen, mit unserem Beratungsangebot Ärzte und Psychotherapeuten bei Fragen rund um den sicheren Anschluss an die TI zu unterstützen. Teilweise mussten Praxen schon jetzt in IT-Sicherheit investieren", sagte der KVN-Vorstandsvorsitzende.

Barjenbruch warnte davor, den niedergelassenen Ärzten und Psychotherapeuten einseitig die Schuld für angebliche Sicherheitsmängel in den Praxen zuzuweisen. "Ärzte und Psychotherapeuten sind keine Computerspezialisten. Sie müssen sich auf die Aussagen ihrer IT-Dienstleister verlassen können. Es ist Aufgabe der Politik, klare Vorgaben für die sichere Anbindung an die Telematikinfrastruktur zu machen. Es muss dringend eine gesetzliche Regelung geschaffen werden, um zu klären, in welchem Umfang die gematik - die Betreibergesellschaft der TI-Struktur im Gesundheitswesen - für die Sicherheit verantwortlich ist. Es muss einen Sicherheits-TüV für Arztpraxen geben", forderte der KVN-Chef.

An der Ausarbeitung einer neuen IT-Sicherheitsrichtlinie arbeiten zurzeit unter anderem die Kassenärztliche Bundesvereinigung (KBV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI). Sie werden Details festgelegen, wie Praxis-IT auf einen sicheren Stand gebracht werden muss.


Freundlicher Hacker


Cedric Fischer betreibt das Computerunternehmen CeFiSystems. CeFiSystems unterstützt Unternehmen und Einrichtungen von der Netzwerkeinrichtung und -wartung über Client-Arbeitsplätze sowie modernster VoIP-Telefonie bis hin zu umfassenden Client/Server-Lösungen und Sicherheitseinrichtungen für ihr Arbeitsnetzwerk.

Dabei steht die Datensicherheit immer im Vordergrund. Als "freundlicher Hacker" ist Cedric Fischer auch in der Lage, im Auftrag von außen und innen die Sicherheit von Netzwerkinstallationen zu testen. Er treibt in einem eigenen technischen Labor auch eigene Forschungen zur IT-Sicherheit voran.

http://www.cefisystems.de


Alle Inhalte © Hannoversche Ärzte-Verlags-Union 1998-2020. Diese Seite wurde zuletzt aktualisiert am: 14.01.2020.
Design by webmaster[at]haeverlag[punkt]de, Support. | Impressum & Datenschutzerklärung