Praxis-IT-Sicherheit im Test: Hacker finden relevante Fehler

Praxis-IT , Praxismanagement Autor: Anouschka Wasner

Sicherheitsstichprobe in einer durchschnittlichen Arztpraxis. Ergebnis: Ein echter Hacker hätte durchaus Chancen gehabt. Sicherheitsstichprobe in einer durchschnittlichen Arztpraxis. Ergebnis: Ein echter Hacker hätte durchaus Chancen gehabt. © PikePicture/Daniel Loncarevic – stock.adobe.com

Anfang des Jahres hatten wir von einem Sicherheitstester berichtet, der elektronische Gesundheitsakten unter die Lupe genommen hat – mit teils erschreckenden Ergebnissen. Wir haben uns gefragt: Welche Sicherheitslücken würde ein professioneller Hacker finden, wenn wir ihm Zugang zu einer Arztpraxis verschaffen?

Normalerweise werden Pen­tester von Unternehmen damit beauftragt, die eigene IT-Sicherheit zu checken. Wir haben uns Pentester gesucht, die sich für uns eine Arztpraxis anschauen, um uns bei unseren Recherchen zum Thema IT-Sicherheit in der Praxis zu helfen. Als Versuchsobjekt diente eine mittelgroße Gemeinschafts­praxis, gelegen im Zentrum einer mittelgroßen Stadt. Den Praxischef, ein Hausarzt, hatten wir natürlich in das Experiment einbezogen.

Nur ein paar Stunden hatten sie dann in der Arztpraxis, die Pentester des Unternehmens X41 D-Sec Gmbh. Bei einem regulären Auftrag investieren sie natürlich mehr Zeit und gehen standardisierter vor. Für unsere Zwecke war es ausreichend, stichprobenartig zu testen. In vier Folgen erzählen wir Ihnen, wie die Hacker vorgegangen sind, welche Mängel sie gefunden haben und wie diese zu bewerten sind.

Herr Sesterhenn, wir hatten Sie und Ihre Kollegen gebeten, eine Praxis – eine Gemeinschaftspraxis mit 1800 Scheinen und 300 Privatpatienten – auf IT-Sicherheitslücken abzuklopfen. Nach einem Vorgespräch mit dem Arzt waren Sie mit zwei Leuten zwei Stunden vor Ort. Wie stelle ich mir den Besuch vor? Welche Farbe hatten Ihre Kapuzenpullis?

Eric Sesterhenn: Selbstverständlich schwarz! (lacht) Nein, eigentlich sehen wir ganz normal aus ... Also, zunächst verschaffen wir uns vor Ort einen Überblick: Wo steht welcher Rechner, wie groß ist die Anlage? Einer von uns verbindet sich dann mit seinem Laptop mit dem Netzwerk. Die Geräte fangen meist direkt an zu kommunizieren. Dann gucken wir aktiv, welcher Computer welche Dienste anbietet. Jeder Computer hat eine eigene IP-Adresse und einen eigenen Port, quasi einen Briefkasten, über den Programme wie etwa der E-Mail-Server mit der Außenwelt kommunizieren. Da werfen wir dann einen Blick auf typische Schwachstellen.

Und, konnten Sie hier bereits Sicherheitslücken finden?

Leider ja. Wir sind in „unserer“ Praxis direkt bis zur Dateifreigabe gekommen, wo die gemeinsamen Dateien gespeichert werden. Sobald es also ein Hacker bis ins Netzwerk schafft, hat er auch direkten Zugriff auf diese Dateien. Und wir sind darüber gestolpert, dass die Administrationsoberfläche des Telefons mit einem Standard-Passwort erreichbar ist. Danach haben wir uns angeschaut, wie die lokalen Einstellungen und Passwort-Einstellungen aussehen. Und wie speziell und sicher die Software ist. Ist eine Sofware neu oder wird sie nur von wenigen genutzt, lohnt sich ein zweiter Blick auf die Sicherheitsstrukturen, weil sie dann noch nicht häufig auf Sicherheit untersucht wurde. Und beim Blick auf die Rechner sieht man natürlich auch, wenn ein gelber Post-it mit dem Passwort am Bildschirm klebt, wie das in unserer Praxis der Fall war.

Oh, das ist ein unschöner Klassiker! Was haben Sie noch gefunden? Das nächste war, glaube ich, dass das Arztinformationssystem und das E-Mail-Programm auf dem gleichen Rechner laufen, und dazu nur über Admin-Rechte zugänglich sind. Warum ist das gefährlich?

Malware wie etwa Erpressertrojaner kommen meist per Mail zu ihren Empfängern. Öffnet ein unbedarfter User den Anhang, startet er damit möglicherweise eine Malware. Passiert das auf diesem Rechner, hat die Schadsoftware direkt Adminrechte, kann also alles angreifen und Maximalschaden anrichten. Die Erfahrung zeigt, dass es gerade in Klein- und Mittelbetrieben Chefs gibt, die es sich nicht nehmen lassen wollen, eine Mail zu öffnen. Und vielen fällt es schwer, sich im dichtgedrängten Arbeits- bzw. Praxisbetrieb die notwendige Zeit zu nehmen, um vor dem Klick kurz zu überlegen.

Dann haben Sie entdeckt, dass der Administrator-Zugang ohne Passwort erfolgt. Aber man kommt ja trotzdem nicht von außen ins System, oder? Dann besteht hier ja wenig Gefahr?

Das stimmt so leider nicht. Das Problem ist, dass jemand, der abends in die Praxis kommt – die Putzkraft, ein Einbrecher, ein ehemaliger Mitarbeiter –, quasi nur Enter drücken muss, um sich direkten Zugang zu allen Daten und Funktionen zu verschaffen. Der Klebezettel mit dem Passwort hat einen entsprechenden Effekt. Vergleicht man das mit den Sicherheitsvorkehrungen, die man für Daten auf Papier treffen muss, wie etwa den abschließbaren Datenschrank bzw. die gesicherte Papiermülltonne, die mittlerweile in jeder Praxis Selbstverständlichkeit ist, wird das Absurde deutlich.

Und dann haben Sie ja quasi einen „Running Gag“ gefunden.

Ja, nämlich das Admin-Passwort des Routers. Es lautete tatsächlich 123456. Wer sich hier Zugang verschaffen will, dürfte nicht lange brauchen, um sich einzuhacken. Je nachdem, welche Funktion das betroffene Gerät im Netzwerk hat, kann das sehr weitreichende Folgen haben.

Die nächste Sicherheitslücke, der Sie auf die Spur gekommen sind, waren Klartext-Passwörter in den Konfigurationsdateien.

Manchmal kann es für Eindringlinge interessant sein, Passwörter auszulesen, auch wenn der Zugang an der Stelle, wo sie es lesen können, gar nicht so interessant ist. Denn viele User verwenden ein Passwort in mehreren Systemen. Hat man es ausgelesen, erhält man also den Zugang zu weiteren Systemen. Sind die Passwörter gehasht, wie man sagt, also als Rechenfunktion gespeichert, wird das Auslesen für einen Unbefugten deutlich schwieriger. Damit verschiebt sich das für einen Hacker entscheidende Verhältnis von Aufwand und Ergebnis.

Gab es in unserer Versuchspraxis auch Schwachstellen in der Anbindung nach außen?

Dass die Praxis keine Dienste nach außen anbietet, reduziert die Angriffsfläche deutlich. Eine Online-Terminvereinbarung oder der lokale Betrieb einer Website machen die Sache für einen Angreifer gleich viel spannender. Problematisch ist aber, dass die Praxis ihre E-Mails unverschlüsselt, also ohne TLS/SSL-Verbindung vom Server abruft. Mitarbeiter des Providers oder auch Strafverfolgungsbehörden können ohne diese Transportverschlüsselung die Nachrichten zwischen Netzwerk und E-Mail-Server mitlesen, was gegebenenfalls ein Aussageverweigerungsrecht des Arztes hinfällig werden lässt. Und wenn sich ein Hacker in der Praxis befindet, braucht er nur ein kleines Gerätchen zwischenschalten, um alle Mails lesen zu können.

Aber wer könnte denn so ein Gerät dort zwischenschalten, wie stelle ich mir das vor?

In den meisten Praxen wartet der Patient auch im Flur oder im Behandlungsraum. Gibt es dort einen entsprechenden Anschluss, kann er sich leicht einstöpseln. In manchen Praxen wird auch mal die Anmeldung kurz allein gelassen, wenn‘s gerade woanders brennt. So etwas lässt sich ja über einen kleinen Notfall in einem der Behandlungsräume auch provozieren. Nicht unterschätzen sollte man auch Mitarbeiter bzw. Ehemalige, die einen Weg suchen, sich für irgendetwas zu rächen. So etwas kommt nicht oft vor, aber das gibt es. Deswegen: Bei „unserer“ Arztpraxis haben wir zunächst zwar nur Lücken entdeckt, für die man vor Ort sein muss, um sie zu nutzen. Das ist natürlich gut. Aber es ist deswegen noch nicht risikofrei.

Eine auch für Nicht-Techniker leicht identifizierbare Lücke ist der Zugang zu den USB-Eingängen, der bei allen Computern gegeben war. Darüber könnte man eine Schnittstelle nach außen einrichten.

Ja, das ist quasi eine Einladung zum Missbrauch. Nicht nur, dass ein Hacker ein Virus oder eine Erpressersoftware auf einem Stick mit Röntgenbildern einschmuggeln kann. Er kann in jeder Situation, in der er mit dem Computer alleine gelassen wird, etwa wenn er im Sprechzimmer auf den Arzt wartet, etwas in das System einspielen. Zum Beispiel auch ein Programm, das alle Daten kopiert und an seine Adresse schickt, oder auch eine Schadsoftware. USB-Eingänge darf man nur auf isoliert stehenden Rechnern offen halten. Ist dann eine Schadsoftware auf einem Stick, ist nur der eine – sozusagen dafür vorgesehene – Rechner infiziert.

Hatte die getestete Praxis auch mobile Geräte im Einsatz?

Ja, es war ein iPhone im internen WLAN angemeldet, ein privat genutztes Gerät. So etwas birgt die Gefahr, dass Schadsoftware aus unsicheren Netzwerken mit in das Praxisnetz getragen wird. Das Gerät müsste auch auf jeden Fall sehr gut gegen Diebstahl und Verlust abgesichert werden. Wer es in die Finger bekommt, muss nicht mehr in die Praxis hinein, um ins System einzudringen: Das geht dann auch von der Straße aus.

Ok, jetzt ein Fazit von Ihrer Seite: Wie beurteilen Sie diese Sicherheitslücken, die Sie in der Praxis gefunden haben?

In einfachen Worten: Sie machen es einem Hacker nicht gerade schwer. Wir würden allerdings wahrscheinlich in den meisten Praxen dieser Größe und Struktur sehr ähnliche Mängel finden. Das Problem ist: Im Prinzip ist zwar der Arzt für seine IT verantwortlich und man sollte von ihm verlangen, dass er sich damit beschäftigt. So gesehen hätten einige Sicherheitslücken, die wir gefunden haben, nicht sein dürfen. Aber wie weit kann das gehen, woher soll der Arzt denn das Wissen haben? Und je größer – und oft auch überdimensioniert – die Praxis-IT ist, desto anspruchsvoller wird die Aufgabe. Wer nicht das Glück hat, einen wirklich verantwortungsbewussten ITler zu haben, müsste alles selbst können und kontrollieren. Das ist ein ganz schön hoher Anspruch.

Medical-Tribune-Recherche

 

Identifizierte Sicherheitslücken

  • Arztinformationssystem und E-Mail-Programm auf dem gleichen Rechner und nur mit Admin-Rechten zugänglich
  • Administratoraccount ohne Passwort; Post-it mit Passwörtern
  • Konfigurationsdateien mit Klartextpass-wörtern auf dem Netzwerklauferk
  • Schwache Passwörter auf Netzwerkgeräten
  • Unverschlüsselter Abruf der E-Mails vom Server (ohne TLS/SSL)
  • Zugänge für USB-Datenträger an allen Computern offen
  • Mobile Geräte mit Systemzugang unzureichend gesichert
Eric Sesterhenn, Principal Security Consultant Eric Sesterhenn, Principal Security Consultant © privat