c’t deckt auf

Hannover, 6. November 2020 – Über die Plattform IVENA koordinieren Rettungsleitstellen und Krankenhäuser die Versorgung von Patienten. Durch mehrere leicht vermeidbare Fehler beim Entwicklerteam landete ein Admin-Kennwort im Klartext im Netz, Angreifer hätten vollen Zugriff auf das System bekommen können. Eine Sabotage hätte Menschenleben gefährdet, berichtet Europas größtes IT- und Tech-Magazin c’t in Ausgabe 24/2020. Die Redaktion fand nicht nur leicht behebbare technische Probleme, sondern stieß vor allem auf einen organisatorischen und juristischen Flickenteppich bei dieser kritischen Infrastruktur.

Viele Rettungsleitstellen und Krankenhäuser verlassen sich bei der Koordination von Notfällen mittlerweile auf Software und vernetzte Systeme. Eines der verbreitetsten Systeme heißt IVENA, kurz für „Interdisziplinärer Versorgungsnachweis“ – es wird mittlerweile in ganz Deutschland vertrieben. Die Krankenhäuser tragen im Online-System ihre Ressourcen ein und die Rettungsleitstellen finden über IVENA ein freies Krankenhaus für Patienten.

Seit Frühjahr 2020 gibt es in IVENA zudem ein Modul mit dem Namen „Sonderlage“ für die Corona-Pandemie, das freie Kapazitäten für Covid-Patienten verwaltet. Nach Angaben der Firma mainis IT-Service, die die Software IVENA zusammen mit dem Frankfurter Gesundheitsamt seit 2009 entwickelt, ist dieses Modul in der Hälfte der Bundesländer im Einsatz. IVENA läuft im Browser und jeder Kunde, also eine Kommune oder ein ganzes Bundesland, muss seine Instanz selbst betreiben – meist in Rechenzentren der öffentlichen Hand.

Bei einer NDR-TV-Reportage über den Rettungsdienst in Hannover fiel einem c’t-Leser ein verdächtiges Detail auf, das in einem Browserfenster eines Leitstellen-Computers zu sehen war: An die Adresse ivena-niedersachsen.de war eine kryptische Zeichenkette angehängt, offenbar eine sogenannte Session-ID. „Unseren Hinweisgeber erinnerte das daran, wie Webseiten früher häufig programmiert wurden und er wurde neugierig“, erklärt c’t-Redakteur Jan Mahn, der die Hinweise des Lesers nachrecherchierte. Auf dem Server der Entwickler fand er eine Datei mit Benutzernamen und Kennwort für das IVENA-System. „Mit den gefundenen Zugangsdaten konnte man Benutzeraccounts verwalten, Krankenhäuser abmelden und hätte somit viel Schaden anrichten können“, berichtet Mahn. Das Kennwort funktionierte, wie die Entwickler später bestätigten, nicht nur in Niedersachsen, sondern auf allen IVENA-Instanzen, unter anderem auch in Hessen, Berlin und München.

Mit diesen Beobachtungen kontaktierte c’t sofort die Entwicklerfirma und wies darauf hin, dass auch die Nutzerkennwörter potenziell in Gefahr waren. Das Unternehmen reagierte zügig. Fünf Stunden nach dem Hinweis erhielt c’t die Information, dass das Admin-Kennwort geändert und der Fehler auf dem Webserver beseitigt sei. Alle Nutzer wurden per E-Mail aufgefordert, ihre Kennwörter zu ändern.

„Damit ist zwar die akute Gefahr gebannt, doch auch aus organisatorischer und rechtlicher Sicht weist das eHealth-Projekt Mängel auf“, sagt Mahn. Es fehle es an klaren Verantwortlichkeiten. Wer diese Infrastruktur genau betreibt und vor allem verantwortlich ist, sei auch auf Nachfragen bei Kliniken und Behörden nicht klar. „Wir waren überrascht, wie hemdsärmelig Krankenhäuser und Rettungsleitstellen eine solche kritische Infrastruktur betreiben.“

Für die Redaktionen: Gerne stellen wir Ihnen die Artikelstrecke kostenlos zur Rezension zur Verfügung.

Über die Heise Gruppe GmbH & Co KG

Die Computerzeitschrift c’t steht seit 1983 für eine anspruchsvolle, redaktionell unabhängige und fachlich fundierte Berichterstattung. Als Europas größtes IT- und Tech-Magazin greift c’t im vierzehntäglichen Rhythmus vielfältige Themen auf – praxisnah und stets auf Augenhöhe mit den Lesern.

Mit herstellerunabhängigen und plattformübergreifenden Produkttests, Praxis-Berichten, Hintergrundinformationen und Grundlagenartikeln legt das 78-köpfige Team um Chefredakteur Dr. Jürgen Rink die Basis für vielfältige Kaufentscheidungen im privaten und professionellen Umfeld. Das Themenspektrum bewegt sich zwischen Mobile Computing, IT-Sicherheit, Social Media, Internet-Technologien, Software- und App-Entwicklung, Internet of Things, Wearable User Interfaces, IT-Netze, Betriebssysteme, Hardware-Technologien, bis hin zu IT im Unternehmen, IT-Markt, Ausbildung & Beruf.

Mehrmals im Jahr gibt c’t Sonderpublikationen zu bestimmten Themen heraus. In der Reihe c’t Wissen sind z. B. Ausgaben zu den Themen Bloggen, Virtual Reality und Windows erschienen. Die ebenfalls mehrmals jährlich erscheinenden Hefte der Reihe c’t Special bündeln mit Tests, Praxisartikeln und Reportagen relevante Inhalte zu einem Thema.

Firmenkontakt und Herausgeber der Meldung:

Heise Gruppe GmbH & Co KG
Karl-Wiechert-Allee 10
30625 Hannover
Telefon: +49 (511) 5352-0
Telefax: +49 (511) 5352-129
http://www.heise-gruppe.de

Ansprechpartner:
Sylke Wilde
Presse- und Öffentlichkeitsarbeit
Telefon: +49 (511) 5352-290
E-Mail: sy@heise.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel