Computerzeitschrift c’t: „IVENA ist angreifbar!“

(Bild: (Symbol) Markus Braendli)Hannover (pm) – Über die Plattform IVENA koordinieren Rettungsleitstellen und Krankenhäuser die Versorgung von Patienten. Die Computerzeitschrift c’t berichtet in ihrer aktuellen Ausgabe (24/2020), dass ein Admin-Kennwort im Klartext im Netz gelandet sei. Angreifer hätten dadurch nach Meinung von c’t vollen Zugriff auf das System bekommen können.

Das Kürzel IVENA steht für „Interdisziplinärer Versorgungsnachweis“. Krankenhäuser tragen in dem Online-System ihre Ressourcen ein. Die Rettungsleitstellen finden über IVENA wiederum ein aufnahmebereites Krankenhaus für Patienten.

Seit Frühjahr 2020 gibt es in IVENA zudem ein Modul mit dem Namen „Sonderlage“ für die Corona-Pandemie, das freie Kapazitäten für Covid-Patienten verwaltet. C’t berichtet, dass nach Angaben der Firma mainis IT-Service, die die Software IVENA zusammen mit dem Frankfurter Gesundheitsamt seit 2009 entwickelt, dieses Modul in der Hälfte der Bundesländer im Einsatz sei. IVENA läuft im Browser. Jeder Kunde, also eine Kommune oder ein ganzes Bundesland, muss seine Instanz selbst betreiben – meist in Rechenzentren der öffentlichen Hand.

Bei einer NDR-TV-Reportage über den Rettungsdienst in Hannover sei einem c’t-Leser ein verdächtiges Detail aufgefallen, das in einem Browserfenster eines Leitstellen-Computers zu sehen gewesen sei: An die Adresse ivena-niedersachsen.de war anscheinend eine kryptische Zeichenkette angehängt, offenbar eine sogenannte Session-ID.

„Unseren Hinweisgeber erinnerte das daran, wie Webseiten früher häufig programmiert wurden, und er wurde neugierig“, erklärt c’t-Redakteur Jan Mahn, der die Hinweise des Lesers nachrecherchierte. Auf dem Server der Entwickler fand er eine Datei mit Benutzernamen und Kennwort für das IVENA-System. „Mit den gefundenen Zugangsdaten konnte man Benutzeraccounts verwalten, Krankenhäuser abmelden und hätte somit viel Schaden anrichten können“, schätzt Mahn. Das Kennwort funktionierte, wie die Entwickler später bestätigten, nicht nur in Niedersachsen, sondern auf allen IVENA-Instanzen, unter anderem auch in Hessen, Berlin und München.

Mit diesen Beobachtungen kontaktierte c’t die Entwicklerfirma und wies darauf hin, dass auch die Nutzerkennwörter potenziell in Gefahr gewesen seien. Das Unternehmen reagierte zügig. Fünf Stunden nach dem Hinweis erhielt c’t die Information, dass das Admin-Kennwort geändert und der Fehler auf dem Webserver beseitigt sei. Alle Nutzer wurden per E-Mail aufgefordert, ihre Kennwörter zu ändern.

„Damit ist zwar die akute Gefahr gebannt, doch auch aus organisatorischer und rechtlicher Sicht weist das eHealth-Projekt Mängel auf“, sagt Mahn. Es fehle seiner Einschätzung nach an klaren Verantwortlichkeiten. Wer diese Infrastruktur genau betreibt und vor allem verantwortlich ist, sei auch auf Nachfragen bei Kliniken und Behörden nicht klar, kritisiert der c’t-Redakteur. „Wir waren überrascht, wie hemdsärmelig Krankenhäuser und Rettungsleitstellen eine solche kritische Infrastruktur betreiben.“