Security des tages

c’t deckt auf:
Sicherheitslücke in elektronischer Patientenakte

2022 bekommt jeder Kassenpatient eine elektronische Patientenakte. Darin gespeicherte Dateien könnten Viren enthalten und Arztpraxen und Kliniken infizieren

Um die clickbäjht gleich mal ein bisschen weniger lecker zu machen: man kann dort in eine krankenakte mit einem bisschen trickserei auch ZIP-archive hochladen, weil nur der mimetype geprüft wird. Und ein ZIP-archiv kann natürlich alles enthalten. Schadsoftwäjhr zum beispiel. Auch mal mit irreführendem namen, damit ein medizinspezjalist, der kein kompjuterspezjalist ist, auch darauf klicki-klicki macht, ist ja ein sicheres system. Oder eine ZIP-bombe. (Wer nicht weiß, was das ist, kann ja mal versuchen, die eben verlinkte datei vollständig zu entpacken. Sie enthält übrigens keine schadsoftwäjhr, kann aber trotzdem einen kompjuter lahmlegen.)

Und wie man daran sieht, dass nur der mimetype geprüft wird, wurde auf security überhaupt kein wert gelegt. Einem solchen system kann man alles unterjubeln. (Mal schauen, wann ärzte damit beginnen, über ein solches system kinderraubfickmordkopien zu tauschen.) Deshalb ist der artikel auch nicht nur clickbäjht, obwohl die überschrift ein bisschen… na ja… ist. Ich hätte sie auf die schnelle aber auch nicht viel anders formuliert, nur das unappetitlich-bildzeitungige „deckt auf“ weggelassen. Die möglichkeit, dass krankenhäuser mit schadsoftwäjhr übernommen werden können, ist übel genug.

Diese ganzen digitalen leuchtturmprojekte in der BRD aber auch immer!!1!

Eine Antwort zu “Security des tages

  1. Gähn. Wenn ZIP nicht erlaubt wäre, dann könnte man immer noch PDF mit JavaScript versehen. Das heißt also bloß, dass Patientendaten wie alle anderen Arten externer Eingaben behandelt werden müssen: Man darf keine Gutartigkeit voraussetzen und muss bei der Software darauf achten, dass „Anzeigen“ wirklich nur „anzeigt“ und nicht Daten abgreift oder ändert, wo man das nicht erwartet.

    Die Gefahr ist jetzt eher, dass panische Regulierungsbehörden verpflichtend vorschreiben, alle Gesundheitsdaten vor jeglicher Verarbeitung durch Microsofts Cloud-Virenscanner zu schieben…

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.