+43 699 / 18199463
office@itexperst.at

Elektronische Gesundheitsakte mit Schwachstellen

Während Doug Mackey, Student an der Technischen Universität Georgia, Forschungen für seine Diplomarbeit durchführte, fand er eine sehr ernste Sicherheitslücke in einer Schlüsselstelle des Codes in  VistA, einer weit verbreiteten Plattform für elektronische Gesundheitsakten. Mackey war ziemlich erstaunt, dass die Plattform über keine wirklichen Sicherheitsvorkehrungen verfügte, da es ihm möglich war, fast die gesamte Sicherheitssoftware zu umgehen.

Kriminelle könnten diesen Makel mühelos ausnutzen, da die Plattform ohne Authentifizierung zugänglich ist. Die Schwachstelle existiert schon seit 2001 und blieb bis jetzt unbemerkt. Mackey nahm am Ende des Semesters Verbindung mit US-CERT auf. Als CERT sich aber nach Monaten immer noch nicht bei ihm gemeldet hatte, versuchte er das Büro des Generalinspekteurs zu erreichen. Auch dieser Versuch blieb erstaunlicherweise erfolglos.

Daher nahm er letztendlich Kontakt zu einer Gruppe von ehemaligen VistA-Entwicklern, genannt „Hard Hats“, die noch mit VistA vertraut sind, auf. Die Entwickler bestätigten Mackeys Fund und alarmierten den indischen Gesundheitsdienst in den USA. Ende Oktober wurde ein Patch von Sicherheitsexperten der VA und der Open Source Electronic Health Record Agent (OSEHRA) herausgegeben. Letztere koordinieren Open-Source-Leistungen für VistA.

VistA ist die größte amerikanische Gesundheitsdatenbank, die 163 Krankenhäuser, 800 Kliniken und andere Einrichtungen unterstützt. Ärzte nutzen VistA um Gesundheitsdaten und medizinische Berichte abzurufen. Jeder einzelne Anwender muss seinen Zugang autorisieren. Diese Regel stellt sicher, dass Krankenschwestern nur Zugriff auf spezielle Informationen und Werkzeuge haben und nicht denselben Umfang an Behandlungsdaten abrufen können wie Ärzte. Diese Schwachstelle würde es allerdings jedem erlauben, die unterschiedlichsten Informationen aus Patientenakten abzurufen oder darin Änderungen vorzunehmen. Statistisch sind 1,8 Millionen Amerikaner Opfer von medizinischem Identitätsbetrug.

Artikel von darkreading.com, 04.12.2013: Anatomy Of An Electronic Health Record Zero-Day

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen