»rC3: Es krankt an der Sicherheit im Gesundheitswesen
Berichte zur Digitalisierung im Gesundheitswesen gehören zu den Klassikern der Congress-Vorträge beim Jahresendtreffen des CCC. Unter dem Titel "Tut mal kurz weh" stellten Christian Brodowski, Christoph Saatjohann und Martin Tschirsich neue Betriebsunsicherheiten in der Gesundheits-IT vor. Im Sommer 2020 fanden sie mit einem Portscan 29 Konnektoren in der Gesundheits-IT, die ohne Authentifizierung im Internet erreichbar waren. Hätte es zu diesem Zeitpunkt bereits eine elektronische Patientenakte gegeben, so hätten Hacker sie auslesen können, so ihr Fazit. Im Zuge des "responsible disclosure" wurde die Projektgesellschaft Gematik über die Sicherheitslücke informiert; sie soll jetzt selbst mit Portscans nach unsicheren Anschlüssen scannen.«
Die Hacker »… fanden 200 Server, davon 30 mit unzureichendem Datenschutz. Als besonders bedenklich wurden sechs Instanzen eingestuft, die zu großen medizinischen Versorgungszentren (MZV) gehörten. Des Weiteren fanden sie 10 GUSboxen im Internet, also Router für das Safenet-System der kassenärztlichen Vereinigungen. Bezogen auf die telematische Infrastruktur des Gesundheitswesens (TI) entdeckten sie 29 Konnektoren, die ohne Authentifizierung erreichbar waren. "Wenn die elektronische Patientenakte dagewesen wäre, hätten wir sie lesen können", erklärte Christoph Saatjohann das Problem. Doch die Akte startet erst ab dem 1. Januar, zunächst nur in wenigen ausgewählten Testpraxen in Berlin und Westfalen-Lippe…«