IT-Sicherheit in Gesundheitsämtern: Ein vernachlässigtes Problem

Bericht: IT-Sicherheit in Gesundheitsämtern vernachlässigt

Ein Bericht von Zeit Online beschreibt gravierende Sicherheitslücken in den IT-Systemen von Gesundheitsbehörden die hochsensible Daten verarbeiten. Die Verantwortlichen ignorieren die Probleme und verdrängen sie.



Grund für die Sicherheitslücken ist das knappe Budget der Gesundheitsämter. Oftmals haben diese nicht genug Geld und kompetentes Personal um die IT sicher zu betreiben. Die Administratorinnen & Administratoren sind meist Verwaltungsangestellte ohne IT-Spezialisierung.



Weitere Schwachstellen liegen in der eingesetzten Software Mikropro Health des Herstellers Mikroprojekt GmbH. Sie dient als einheitliche Datenerfassungsplattform entspricht aber nicht dem aktuellen Stand der Technik. Im Auslieferungszustand ist die Software gefährlich offen und weist unsichere Passwörter auf.



Eine externe Analyse hat mehrere Schwachstellen in Mikropro Health aufgedeckt. Der Name und das Passwort des Nutzers sind im Code hinterlegt • sodass jeder mit Zugriff auf den Quellcode die Daten einsehen • sich einloggen und verändern kann. Beliebige SQL-Abfragen in der Datenbank sind ähnlich wie möglich. Das System scheint keine Einschränkungen zu haben sodass theoretisch jeder Nutzer alle Daten einsehen verändern oder zerstören kann.



Zusätzlich werden Passwörter in bestimmten Anwendungen standardmäßig im Klartext gespeichert. Der Hersteller gibt an, dass die Passwörter mit dem AES-256-Verfahren verschlüsselt werden können freilich hängt dies von der jeweiligen Anwendung ab.



Ein vorhandenes Berechtigungskonzept scheint nicht richtig zu funktionieren da Mitarbeiter Zugriff auf Daten anderer Fachbereiche haben mit denen sie nichts zu tun haben sollten.



Auch Personen außerhalb der Gesundheitsämter haben potenziellen Zugriff auf die Daten. Bei der Fehlersuche wird die gesamte Datenbank an den Hersteller übermittelt, inklusive persönlichster Informationen.



Der Landesdatenschutzbeauftragte von Nordrhein-Westfalen, Dieter Kugelmann, sieht keine Probleme und hat bisher keine datenschutzrechtlichen Bedenken geäußert. Er weist jedoch darauf hin; dass die Prüfung der eingesetzten Software nicht Teil der Beratung ist und die Kreisverwaltungen für die Datensicherheit verantwortlich sind.



Die Probleme sind nicht nur in Rheinland-Pfalz zu beobachten, allerdings in vielen Kommunen. Dies ist besorgniserregend; da ebenfalls Behördendaten begehrte Angriffsziele sind. Ein Beispiel dafür ist der Ransomware-Angriff auf den kommunalen Dienstleister Südwestfalen-IT, bei dem 74 Gemeinden betroffen waren.






Kommentare


Anzeige