35C3: Digitale Gesundheitsakten weisen Schwachstellen auf

Ende letzten Jahres war ich auf dem 35. Chaos Communication Congress (35C3), der jährlichen Jahresendveranstaltung des Chaos Computer Clubs, die 2018 zum zweiten Mal auf dem Leipziger Messegelände stattfand.

Mit dieser Veranstaltung schafft der CCC jedes Jahr einen Raum für den Austausch über IT, IT-Sicherheit und die Implikationen für die Gesellschaft. Ein umfangreiches Vortragsprogramm wird ergänzt durch farbenfrohe Installationen und die Präsenzen vieler dem Club nahestehender Gruppen, die auf ihren Flächen Informationen und Workshops anbieten. Genauso vielfältig ist die Teilnehmerschaft, die nicht nur aus dem IT-Sektor stammt: Das einladende Motto „all creatures welcome“ macht deutlich, dass diese stark teilnehmergetriebene Veranstaltung allen Interessierten offensteht.

Die Glashalle der Leipziger Messe während der Veranstaltung. Foto: Leah Oswald unter CC-BY 2.0

Die Glashalle der Leipziger Messe während der Veranstaltung.
(Foto: Leah Oswald unter CC-BY 2.0)

Der Untertitel des 35C3 war „Refreshing Memories“. Neben der Erinnerung an frühere Chaos-Events und der technischen Bedeutung des Ausdrucks ist er auch als Aufforderung gemeint, in wissenschaftsfeindlichen Zeiten zu Fakten und Weltoffenheit zurückzufinden.

Fast alle Vorträge der Veranstaltung wurden aufgezeichnet und stehen auf media.ccc.de zum Nachschauen bereit. Auf den Beitrag mit dem Titel All your Gesundheitsakten are belong to us möchte ich an dieser Stelle besonders hinweisen.

Der vortragende IT-Sicherheitsforscher, Martin Tschirsich, untersuchte verschiedene Implementierungen einer elektronischen Gesundheitsakte und einige Softwareprodukte zur Durchführung von Videosprechstunden auf Schwachstellen. Eine elektronische Gesundheitsakte ist eine Anwendung, die der Kommunikation und dem Dokumentenaustausch zwischen Patient und Arzt dient. Diese Anwendungen sind meist als App oder als Webapplikation umgesetzt.

Aufgrund der besonders sensiblen Art der ausgetauschten Daten ist an dieser Stelle ein hohes Sicherheitsniveau unabdingbar: Gesundheitsdaten nehmen unter den personenbezogenen Daten eine Sonderrolle ein, da viele Informationen nicht veralten. Während Kreditkartennummern austauschbar sind, lässt sich die eigene Krankheitshistorie nicht ablegen. Werden Gesundheitsdaten öffentlich bekannt, hat das für die Betroffenen unter Umständen nicht finanzielle, sondern gravierende gesellschaftliche und soziale Auswirkungen.

Umso ernüchternder ist, dass der Referent in mehreren Produkten gravierende Sicherheitslücken finden konnte – von SQL-Injections und Cross-Site-Scripting-Lücken über den schwachen Schutz von Gesundheitsdaten durch zu kurze Session-IDs bis hin zu konzeptionellen Fehlern, die Offline-Cracking von Benutzerpasswörtern ermöglichen. Tschirsich mahnt die Software-Hersteller dazu, das Öffentlichwerden von Gesundheitsdaten nicht bloß als finanzielles Risiko zu sehen, sondern auch die Auswirkungen auf die Benutzer zu berücksichtigen.

Die Nutzung einer elektronischen Gesundheitsakte ist bislang zwar optional, was sich zukünftig jedoch ändern könnte – schließlich gehen mit einer solchen Anwendung auch Erleichterungen in der Praxis einher. Bis dahin sind jedoch offenbar noch massive Verbesserungen wünschenswert.

Die Ruhe nach dem Sturm

Die Ruhe nach dem Sturm <1mbNachdem einer breiteren Öffentlichkeit Anfang des Jahres die IT-Sicherheitsprobleme deutscher Krankenhäuser vor Augen geführt wurden, ist inzwischen eine (trügerische) Ruhe eingekehrt, die in solchen Fällen  leider typisch ist. Tatsächlich haben die Täter nach (inoffiziellen) Angaben des BSI allein in den USA $200.000.000 eingenommen. Es braucht keine hellseherischen Fähigkeiten, um vorauszusagen, dass ein Teil davon in die weitere Professionalisierung der Tools und das Beseitigen von Kinderkrankheiten „investiert“ wird.

So sollte man sich bei der Planung der Schutzmassnahmen besser nicht darauf verlassen, dass der Trojaner beispielsweise die Dateien weiterhin wie bisher in alphabetischer Reihenfolge verschlüsselt und gut sichtbar seine Dateiendung anfügt. Folgende Generationen von Ransomware werden sicher zufälliger und  besser getarnt vorgehen. Auch die Dauer der Verschlüsselung großer Datenmengen geht durch einige Optimierungen inzwischen so schnell, dass ein manuelles Eingreifen in den meisten Fällen zu spät sein dürfte.

Was also tun?

Continue reading

conhIT 2016: Ein Fazit aus IT-Sicherheitsperspektive

conhit2016

conhIT 2016, Berlin
© 2008-2016 Dahamoo GmbH

Letzte Woche fand die conhIT 2016 in Berlin statt. Neben zahlreichen Produkten und Vorträgen aus der Medizin- und Krankenhaus-IT war eines der zentralen Themen die IT-Sicherheit im Krankenhausumfeld.

Was wurde diskutiert? Welche Lösungen wurden präsentiert? Es folgt ein kurzer Überblick durch die IT-Sicherheitsbrille.

Continue reading

Ransomware-Angriffswelle schlägt weiter aus

ransomwareDie jüngste Angriffswelle von Verschlüsselungstrojanern nimmt nicht ab. Wie wir bereits im Februar berichteten sind von der Schadsoftware, die sich in Computersysteme einnistet und diese dann komplett verschlüsselt, nicht nur Privatleute sondern insbesondere Krankenhäuser, Behörden und Unternehmen betroffen.

Der neueste bekannte Fall zwang das Aachener Marienhospital in die Knie.

Continue reading

Locky, Teslacrypt und Co. Sind wir noch sicher?

blackmarketZurzeit überfällt die sogenannte „Ransomware“ die ganze Welt. Krankenhäuser, Institute und Privatleute werden am laufenden Band mit Malware überhäuft. Das Luxemburgische CERT meldet in ihrem Honeypot 500 Muster der Malware innerhalb von 30 Minuten. Deutschland liegt dabei mit über 5000 Neuinfektionen pro Stunde vor den USA und den Niederlanden.  Malware per Emailanhang ist nichts neues. Doch was ist anders als damals? Continue reading

Neuss: Lukaskrankenhaus durch Computer-Virus lahmgelegt!

gesundheitskontextIm Westen (leider) nichts Neues“ – ist man geneigt zu sagen, wenn das Thema nicht so ernst wäre. In der Tat dürfte dem geneigten Beobachter in den letzten Jahren nicht entgangen sein, dass die Verwundbarkeit von Medizintechnik und IT in unseren medizinischen Einrichtungen in den letzten Jahren stark zugenommen hat. Die Gründe sind aus unserer Sicht vielfältig, beginnend mit mangelndem Verständnis der Risiken auf Leitungsebene und der daraus folgenden Unterfinanzierung der IT/IT-Security. Weiterhin werden den Anwendern häufig Freiheitsgrade in der Nutzung der IT zugestanden, die andernorts seit langem nicht mehr erlaubt sind, z.B. private Hardware, private Software. Schlussendlich sind viele Medizingeräte im Grunde für einen Standalone-Betrieb konzipiert und sollten nicht ohne zusätzlichen Schutz vernetzt werden.

Was also tun? Continue reading

HIV Patienten durch falschen Umgang mit E-Mail „geoutet“

 Picture: D. Spura, Some rights reservedIn Unternehmen ist das Problem bekannt: Ein falscher Klick auf „Allen antworten“ statt „Antworten“ im E-Mail-Client und schon werden hunderte Arbeitskollegen mit einer belanglosen Antwort belästigt. Ebenfalls ist vielen der Unterschied zwischen „To“,“CC“ und „BCC“ nicht bekannt.

Leider wurde genau dies den Patienten von einem Londoner Krankenhaus zum Verhängnis. Dort wurden 780 Patienten, die hauptsächlich aufgrund Ihrer HIV-Infektion behandelt werden, per E-Mail über neue Telefonnummern zur Beratung informiert. Dabei standen im „An“-Feld alle Patienten mit vollem Namen, sodass alle Empfänger sehen konnten welche Personen ebenfalls diese E-Mail erhalten haben.

Continue reading

Masterthesis: IT-Sicherheitsgesetz – Zertifizierung/Förderung der Cyber-Sicherheit im Gesundheitswesen

h-brs

Hochschule Bonn-Rhein-Sieg, Picture: tohma, some rights reserved.

Zur Steigerung der Cyber-Sicherheit sogenannter „kritischer Infrastrukturen“ (kurz: KRITIS) trat am 25. Juli 2015 das neue IT-Sicherheitsgesetz in Kraft, siehe Bundesamt für Sicherheit in der Informationstechnik und heise.de. Zu den KRITIS-Einrichtungen zählen insbesondere auch Krankenhäuser und Kliniken. Zur Sicherstellung und Bewahrung eines „angemessen hohen“ Sicherheitsniveaus wird von den KRITIS-Einrichtungen und deren Betreibern unter anderem gefordert, dass sie innerhalb der kommenden zwei Jahre das Sicherheitsniveau durch IT-Sicherheitsaudits und -Zertifizierungen nachweisen. Weiterhin müssen die Betreiber die Einhaltung eines hohen Sicherheitsniveaus alle zwei Jahre nachweisen.

Das Anstreben einer IT-Sicherheitszertifizierung ist meist mit hohen finanziellen und organisatorischen Aufwänden verbunden. Der tatsächliche Aufwand und der Nutzen einer Zertifizierung sind dabei stark von dem genutzten Standard abhängig.

Continue reading

Fall Schuhmacher: „IP-Adresse des Krankenaktenverkäufers ermittelt“

IP Adresse

IP Adresse

Nachdem wir diesen Fall mit einem Blogeintrag kommentiert haben, wurde  in den Medien heftig spekuliert wurde, wie und wann die Daten abhanden gekommen sind. Heute gab es dazu die Meldung, dass man „die IP-Adresse des Krankaktenverkäufers“ ermittelt habe. Dieses Vorgehen folgt der klassischen Methode des Rückverfolgens, die versucht aus der Kontaktaufnahme Informationen über den Täter zu ermitteln. Selbstverständlich stehen noch viel weitergehenden Methoden zur Verfügung, um eine elektronische Spur nachzuverfolgen, beispielsweise die Analyse der Datei, welche den Auszug aus der Patientenakte beinhaltete. Handelt es sich um eine exportierte Datei einen Krankenhausinformationssystems oder um einen Scan – gibt es Spuren, die verwendete Geräte und  bestimmte Softwareversionen hinterlassen haben?

Continue reading

Schuhmacher Opfer eines „Datenklaus“ – Die Sicht der IT-Sicherheit

Medienberichten zufolge wurde die Krankenakte von Formel-1 Rennfahrer Michael Schuhmacher „gestohlen“ und zum Kauf für umgerechnet 50.000 Euro angeboten. Die Dokumente bzw. Daten sollen aus dem Klinikum Grenoble, Frankreich stammen. Medien aus Frankreich und der französischen Schweiz, Michael Schuhmachers Wahlheimat, haben die Meldung aufgenommen und um Details ergänzt. Selbstverständlich ist dieses Verhalten der Täter moralisch (und juristisch) aufs Schärfste zu verurteilen und unser Mitgefühl gilt den betroffenen Angehörigen.

Was aber bedeutet dieser Fall aus einer fachlichen, aus einer IT-Sicherheits-Sicht?

Continue reading