Praxis-IT-Sicherheit im Test: Hacker finden relevante Fehler

Anfang des Jahres hatte ich von einem Sicherheitstester berichtet, der elektronische Gesundheitsakten unter die Lupe genommen hat – mit teils erschreckenden Ergebnissen. Dann habe ich mich gefragt: Welche Sicherheitslücken würde ein professioneller Hacker finden, wenn wir ihm Zugang zu einer Arztpraxis verschaffen?

Normalerweise werden Pen­tester von Unternehmen damit beauftragt, die eigene IT-Sicherheit zu checken. Wir haben uns Pentester gesucht, die sich für uns eine Arztpraxis anschauen, um uns bei unseren Recherchen zum Thema IT-Sicherheit in der Praxis zu helfen. Als Versuchsobjekt diente eine mittelgroße Gemeinschafts­praxis, gelegen im Zentrum einer mittelgroßen Stadt. Den Praxischef, ein Hausarzt, hatten wir natürlich in das Experiment einbezogen.

Nur ein paar Stunden hatten sie dann in der Arztpraxis, die Pentester des Unternehmens X41 D-Sec Gmbh. Bei einem regulären Auftrag investieren sie natürlich mehr Zeit und gehen standardisierter vor. Für unsere Zwecke war es ausreichend, stichprobenartig zu testen. In mehreren Folgen erzählen wir, wie die Hacker vorgegangen sind, welche Mängel sie gefunden haben und wie diese zu bewerten sind.

>> Zur Medical-Tribune-Serie: Praxis-IT-Sicherheit im Test

Berufs-Hacker deckt Sicherheitsmängel in E-Health-Anwendungen auf

Auf dem Chaos-Computer-Club-Kongress 2018 erläutert ein IT-Sicherheitsexperte alte und neue Sicherheitslücken der Gesundheitsapp Vivy. Dann lieber zur Konkurrenz? Teleclinic, CGM life, meinarztdirekt – keine der getesteten Anwendungen ist frei von Mängeln. Unzureichender Datenschutz kocht also auch bei E-Health-Anwendungen bedrohlich hoch.

Martin Tschirsich ist ein Hacker. Aber einer von den Guten: ein Pentester. Sein Job ist es, Schwachstellen und Datenschutzlücken in Programmen zu finden. Oft macht er das im Auftrag eines Unternehmens, manchmal um die Welt der Daten ein bisschen sicherer zu machen. Als im September des letzten Jahres 13 Krankenkassen die Gesundheitsapp Vivy auf den Markt brachten und nur einen Tag später ein IT-Sicherheitsexperte schon vermeldete, dass Vivy das Benutzerverhalten auswertet und in die USA und nach Singapur weiterleitet, hat sich Tschirsich die App, die nicht nur an Impftermine erinnert, sondern auch Befunde verschickt, heruntergeladen und genauer angeschaut.

>> Den ganzen Beitrag auf medical-tribune.de lesen

>> Der Vortrag von Martin Tschirsich auf dem 35C3