Offener Praxisserver durch fehlerhafte Konfiguration – drei Telekom-Router betroffen
Ein Router der Telekom wies eine Schwachstelle auf, die dazu geführt hat, dass 30 000 Patientendatensätze sowie Arbeitsverträge und betriebswirtschaftliche Daten einer Arztpraxis in Celle über das Internet abrufbar waren, meldete das c‘t-Magazin. Die Lücke sei serienmäßig, auch bei regelmäßig upgedateten Routern. Und ergänzte wenige Tage später, dass zwei weitere Geräte der Telekom betroffen seien: Neben der „Digitalisierungsbox Premium“ auch die Schwestermodelle „Digitalisierungsbox Standard“ und „Smart“.
Zugriff auf die Praxisdaten konnte haben, wer immer die IP-Adresse der Praxis kannte: Die Zugriffsrechte des Servers standen auf „Jeder“. Und die IP-Adresse sei kein Geheimnis gewesen, sie habe sich über eine Suchmaschine herausfinden lassen, so c‘t.
Grund für das ungewöhnliche Verhalten der Router: Legt man über das Webinterface eine Port-Weiterleitung für HTTPS-Dienste an (443), gibt der Router gleich alle Ports von 440 bis 449 frei. Das ist fatal, da so auch das Standardprotokoll für Dateifreigaben für Windows geöffnet wird (445).
Die betroffenen Router würden überwiegend bei kleinen und sehr kleinen Unternehmen eingesetzt, sagte dazu ein Sprecher der Telekom. Tabakläden, Friseure – und eben Arztpraxen. Wie viele Arztpraxen betroffen seien, wisse man nicht. Kontakt habe man nur zu den IT-Dienstleistern. Die habe man jetzt informiert.
Hätte der IT-Dienstleister die offenen Ports sehen müssen?
Die betreffende Portweiterleitung würden nur 5 % der Kunden einrichten, so der Telekomsprecher weiter, die würden die meisten gar nicht brauchen. Das mag stimmen – Arztpraxen brauchen sie aber, etwa wenn von außen zugegriffen wird für Homeoffice oder Fernwartung, oder wenn die Praxis ihre Website auf dem Server liegen hat.
Das Offenliegen der Daten sei aber durch eine Verkettung unglücklicher Umstände passiert. So hätte der IT-Dienstleister merken müssen, dass die Ports offen sind, bekommt er doch an einer Stelle des Installationsmenüs einen tabellarischen Überblick eingespielt. Und die Zugangsberechtigung eines Rechners, auf dem sich Patientendaten befinden, auf „Jeder“ einzustellen, sei sowieso ein No-go, so der Telekom-Sprecher.
Stimmt schon. Richtig ist aber auch: Das Problem war der Telekom seit Mai bekannt. Im Sommer habe der Hersteller das Sicherheitsproblem mit einem Hotfix gelöst. Allerdings habe dieser keine bereits getroffenen Einstellungen korrigiert. Das sei auch nicht üblich, so die Telekom richtigerweise, sonst müsse man ja nach jedem Update alle Einstellungen neu treffen. „Allerdings hätten zu dem damaligen Zeitpunkt die Bestandskunden informiert werden sollen“, so der Telekom-Sprecher.
Das wird jetzt nachgeholt: Das jetzige Software-Update – bei entsprechender Einstellung automatisch eingespielt – wird nicht nur das Problem beheben, sondern auch alle betreffenden Ports schließen. Das Öffnen der benötigten Ports muss dann erst wieder händisch vorgenommen werden. Ob das Problem in Ihrer Praxis über die Aktualisierung „gefixt“ wurde, werden Sie also vielleicht daran merken, dass etwas nicht mehr richtig funktioniert.
Für die Celler Praxis ist die Sache auch noch nicht zu Ende. Sie hat die Panne der Datenschutzbehörde gemeldet. Jetzt muss geklärt werden, ob die Telekom oder die Praxis haften muss.
Medical-Tribune-Bericht