Verbreitete US-Patientendaten-App weist Hintertür auf

Eine von vielen Ärzten und Pflegepersonal in den USA genutzte Software für Zugriff auf Patientendaten weist eine Hintertür auf. Darüber lassen sich die vertraulichen Angaben – etwa zu Operationen und deren Vorbereitung – nicht nur auslesen, sondern auch modifizieren, wie in einer Warnung des CERT-Sicherheitsteams der Universität Carnegie Mellon steht.

Operationsbegleitende Software PIMS (Bild: Medhost)Demnach sieht das Perioperative Information Management System (PIMS) der Firma Medhost einen Standardzugang mit nicht änderbarem Nutzernamen und Passwort zu. Sie erlauben jedermann, der sie kennt, Zugriff auf Daten von Patienten, die kürzlich operiert wurden oder vor einer Operation stehen.

Den Zugang hat Daniel Dunstedter entdeckt und Medhost über die Bedrohung informiert. Kliniken, die die Software einsetzen, sollten auf Version 2015R1 aktualisieren, die die Hintertür nicht mehr enthält. Für die Aktualisierung benötigte Medhost zwei Monate.

Medhost wollte keinen weiteren Kommentar abgeben. Seine Produktseiten für PIMS lassen aber Rückschlüsse zu, welche Daten Angreifer einsehen und manipulieren könnten. Dort steht etwa, die Anwendung gewähre „Echtzeit-Zugriff auf Patientendaten und Kliniksysteme“, vom „Beratungsgespräch und Anästhesieplan“ bis zu Operationsentscheidungen und Entlassungsplänen.

Das Unternehmen zählt rund 1000 medizinische Einrichtungen zu seinen Kunden. Zur Zahl der möglicherweise betroffenen Patienten gibt es bisher keine Schätzung.

IM März hatte eine Kette von US-Krebskliniken den Verlust von 2,2 Millionen Datensätzen melden müssen. Der Angriff ereignete sich im November 2015. Die Unbekannten griffen auf eine „Schlüssel-Datenbank“ zu. Dort konnten sie die Namen der Patienten und des Pflegepersonals, Sozialversicherungsnummern, Versicherungsdaten, Diagnosen und Behandlungsverlauf einsehen.

Kurz zuvor meldete eine weitere auf Krebsbehandlung spezialisierte Einrichtung einen Sicherheitsvorfall, nämlich das City of Hope Cancer Treatment Center in Duarte (Kalifornien). Diese Attacke ereignete sich am 18. Januar. Die Angreifer drangen in E-Mail-Konten von vier Mitarbeitern ein, von denen drei auch Patientendaten enthielten.

Zusätzlich wurden in diesem Jahr schon mehrere Krankenhäuser und Behörden Opfer von Ransomware, die wichtige Daten verschlüsselt und nur gegen Lösegeld herausgibt. Die US-Einrichtung Hollywood Presbyterian Medical Center zahlte die geforderten 17.000 Dollar, um schnell wieder den Betrieb aufnehmen zu können, ebenso wie die unterfränkische Stadt Dettelbach. Dagegen blieben einige Krankenhäuser in Nordrhein-Westfalen, darunter das Lukaskrankenhaus in Neuss, standhaft. Die Patientendaten wurden dort auf Basis eines Backups wiederhergestellt.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de