Verbreitete US-Patientendaten-App weist Hintertür auf

Das operationsbegleitende PIMS von Medhost gewährte einer fest einprogrammierten Kombination von Username und Passwort Lese- und Schreibzugriff. Das Programm wird an rund 1000 Einrichtungen eingesetzt. Es registriert Daten ab dem ersten Beratungsgespräch bis hin zum Anästhesieplan.

Eine von vielen Ärzten und Pflegepersonal in den USA genutzte Software für Zugriff auf Patientendaten weist eine Hintertür auf. Darüber lassen sich die vertraulichen Angaben – etwa zu Operationen und deren Vorbereitung – nicht nur auslesen, sondern auch modifizieren, wie in einer Warnung des CERT-Sicherheitsteams der Universität Carnegie Mellon steht.

Operationsbegleitende Software PIMS (Bild: Medhost)Operationsbegleitende Software PIMS (Bild: Medhost)Demnach sieht das Perioperative Information Management System (PIMS) der Firma Medhost einen Standardzugang mit nicht änderbarem Nutzernamen und Passwort zu. Sie erlauben jedermann, der sie kennt, Zugriff auf Daten von Patienten, die kürzlich operiert wurden oder vor einer Operation stehen.

Den Zugang hat Daniel Dunstedter entdeckt und Medhost über die Bedrohung informiert. Kliniken, die die Software einsetzen, sollten auf Version 2015R1 aktualisieren, die die Hintertür nicht mehr enthält. Für die Aktualisierung benötigte Medhost zwei Monate.

Medhost wollte keinen weiteren Kommentar abgeben. Seine Produktseiten für PIMS lassen aber Rückschlüsse zu, welche Daten Angreifer einsehen und manipulieren könnten. Dort steht etwa, die Anwendung gewähre „Echtzeit-Zugriff auf Patientendaten und Kliniksysteme“, vom „Beratungsgespräch und Anästhesieplan“ bis zu Operationsentscheidungen und Entlassungsplänen.

Das Unternehmen zählt rund 1000 medizinische Einrichtungen zu seinen Kunden. Zur Zahl der möglicherweise betroffenen Patienten gibt es bisher keine Schätzung.

ANZEIGE

Interview mit Samsungs SSD-Spezialist Marcel Binder

Im Interview mit ZDNet erläutert Marcel Binder, Technical Product Manager Marketing bei Samsung, die Vorteile durch den Einsatz von SSDs. Dabei geht er auch auf aktuelle Schnittstellen, Speicherdichten sowie Samsung V-NAND-Technik ein.

IM März hatte eine Kette von US-Krebskliniken den Verlust von 2,2 Millionen Datensätzen melden müssen. Der Angriff ereignete sich im November 2015. Die Unbekannten griffen auf eine „Schlüssel-Datenbank“ zu. Dort konnten sie die Namen der Patienten und des Pflegepersonals, Sozialversicherungsnummern, Versicherungsdaten, Diagnosen und Behandlungsverlauf einsehen.

Sicherheit (Bild: Shutterstock)Kurz zuvor meldete eine weitere auf Krebsbehandlung spezialisierte Einrichtung einen Sicherheitsvorfall, nämlich das City of Hope Cancer Treatment Center in Duarte (Kalifornien). Diese Attacke ereignete sich am 18. Januar. Die Angreifer drangen in E-Mail-Konten von vier Mitarbeitern ein, von denen drei auch Patientendaten enthielten.

Zusätzlich wurden in diesem Jahr schon mehrere Krankenhäuser und Behörden Opfer von Ransomware, die wichtige Daten verschlüsselt und nur gegen Lösegeld herausgibt. Die US-Einrichtung Hollywood Presbyterian Medical Center zahlte die geforderten 17.000 Dollar, um schnell wieder den Betrieb aufnehmen zu können, ebenso wie die unterfränkische Stadt Dettelbach. Dagegen blieben einige Krankenhäuser in Nordrhein-Westfalen, darunter das Lukaskrankenhaus in Neuss, standhaft. Die Patientendaten wurden dort auf Basis eines Backups wiederhergestellt.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Carnegie Mellon University, Medizin, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Florian Kalenda
Autor: Florian Kalenda
Leitender Redakteur ZDNet.de
Florian Kalenda
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Verbreitete US-Patientendaten-App weist Hintertür auf

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *