Datenleck bei Arztpraxis und Schwachstelle bei der Telekom Digitalisierungsbox

Gerade wurden ein Datenleck aufgedeckt, bei dem ein Server einer Arztpraxis mit Tausenden an Patientendaten offen im Internet erreichbar war. Mit beteiligt, eine Digitalisierungsbox der Telekom, deren Ports (wegen einer Firmware-Schwachstelle) offen standen. In diesem Zusammenhang erreichte mich die Mail eines Blog-Lesers, der bereits vor 1,5 Jahren auf das Problem hingewiesen hat. Könnte im Umkehrschluss bedeuten, dass in Deutschland tausende kleine Firmen und Mittelständler mit dieser Konstellationen einem Sicherheitsrisiko ausgesetzt sind. Hier mal ein paar Zutaten zum Gesamtbild angerührt.

Das Datenleck in der Arztpraxis

Dem IT-Experte Cedric Fischer von der Firma CeFisystems war ein ungeschützter Server einer Arztpraxis im Raum Hannover im Internet aufgefallen. Auf dem Server waren sämtliche Patientendaten, darunter circa 20.000 Stammdaten, in einer Datenbank offen zugänglich.

Datenleck in Arztpraxis (heise)

Fischer informierte die Redaktion der heise-Zeitschrift c’t, die den Fall heute im Newsticker-Beitrag Warum eine komplette Arztpraxis offen im Netz stand öffentlich gemacht hat. „In dem konkreten Fall waren sowohl alle Daten von rund 30.000 Patienten einer Celler Arztpraxis offen im Netz auffindbar, als auch Arbeitsverträge, Kündigungen, Spenden/Schuldnerlisten etc. von und über den Inhaber der Praxis einsehbar“, so der betreffende c’t-Redakteur.

Der Server ist mittlerweile zwar vom Netz genommen. Aber das ist ein Vorfall der nach der Datenschutzgrundverordnung meldepflichtig ist. Besonders brisant ist, dass hochsensible Patientendaten frei abrufbar waren.

Problem: Sicherheitslücke im Telekom-Business-Router

Im oben verlinkten heise-Artikel ist beschrieben, dass es mehrere Schritte bedurfte, um den offenen Server vom öffentlichen Netz zu nehmen. Das hat auch mit der verwendeten Infrastruktur für den Internetzugang zu tun.

In der Arztpraxis kam ein Telekom-Business-Router, als “Digitalisierungs­box Premium“ an Geschäftskunden vermarktet, zum Einsatz. Zu diesem Router war heise von IT-Experte Christian Zengel ein ungewöhnliches Verhalten gemeldet worden. Legt der Anwender über das Webinterface des Business-Routers eine Port-Weiterleitung für HTTPS-Dienste an, wurden ungewollt mehr Ports als erwartet nach außen hin freigegeben.

Christian Zengel fand heraus, dass neben dem Standardport 443 für HTTPS-Weiterleitungen die Ports 440 bis 449 freigegeben wurden. Die Infrastruktur hinter dem Business-Router war also über diesen Portbereich aus dem Internet erreichbar. Sobald Dritte, z.B. über Suchmaschinen wie Shodan, die betreffenden IP-Adressen herausgefunden hatten, ließ sich auf diese Infrastruktur zugreifen. So konnte (über Port 445) auf die SMB-Freigaben des Servers der Arztpraxis zugegriffen werden.

Bei weiteren Recherchen fiel heise auf, dass der Router auch die HTTP-Ports 80 bis 89 ungewollt freigegeben hatte. Zudem gibt es Optionen, die die Konfigurierung der Portfreigaben über einen Router-Neustart hinaus persistent vorgeben. Vergisst man diese Einstellung, werden die Standardvorgaben bei jedem Router-Neustart zurückgesetzt – was wohl beim Firmware-Update im Fall der Arztpraxis passiert war. Die Details hat heise ausführlich im Artikel beschrieben.

Gegenüber heise bestätigt die Telekom über einen Unternehmenssprecher über die Sicherheitslücke beim Port-Forwarding seit Mai 2019 informiert gewesen zu sein. Unklar ist, warum diese Schwachstelle nicht umgehend mit einem Firmware-Update des Herstellers Bintec Elmeg behoben wurde. Es ist davon auszugehen, dass weitere Business-Kunden von dieser Schwachstelle betroffen sind.

Das Problem bestand schon länger

Ich hatte die obige Geschichte heute beim schnellen Überfliegen der Nachrichtenlage gesehen und auf Beobachtung gesetzt. Gleichzeitig flatterte mir eine E-Mail von Blog-Leser Manfred S. in den Posteingang. Im Anhang war die Korrespondenz von Manfred mit der Redaktion von heise.

Anmerkung: Es soll an dieser Stelle kein heise-Bashing betrieben werden. Deren Redakteure müssen täglich zig Mal entscheiden, ob sie ein Thema aufgreifen oder eher fallen lassen. Bekomme ich natürlich auch mit, wenn ich der Redaktion Themen für Beiträge vorschlage, die als Artikel abgelehnt werden, bei mir im Blog aber kräftig abgerufen werden. Ist kein Beinbruch und es ist Mut zur Lücke gefragt. Aber ich fand die Korrespondenz von Manfred schon so interessant, dass ich einige Details hier im Blog veröffentliche.

Manfred schreibt, dass dass er schon vor 1,5 Jahren auf das Problem der falsch definierten Ports in Digi-Boxen (und vermutlich Bintec-Routern) hingewiesen habe. Manfred schreibt: ‘Ich hatte damals einen Kunden mit Petya-Befall durch den Port 445’ (das ist der Port, über den SMB-Freigaben sichtbar sind und den man tunlichst nicht für das Internet freigeben sollte). Der Blog-Leser ist der Meinung, dass das ein riesiger Fehler ist, und gerade bei Kleinkunden und Mittelständlern diese fehlerhaften Freigaben sehr häufig falsch eingetragen sein dürften.

Einige Details zum Problem

In seiner Korrespondenz legte Manfred bereits im Februar 2018 folgende Informationen offen. In einer ersten Mail machte er auf die offenen Ports aufmerksam.

Ich weiss nicht, inwieweit das bekannt ist, aber bei der Standardkonfiguration der Telekom-Digitalisierungsbox (bintec elmeg) ist der Dienst/Service http bzw. https standardmäßig jeweils mit den Ports 80-89 bzw. 440-449 vorbelegt. Ich dachte zuerst das ist ein Fehler auf einer bestehenden Digibox, aber nun habe ich schon einige für Kunden eingerichtet und dies ist auf allen Digiboxen die Voreinstellung (neben den Ports 80 und 443 haben dort aber keine anderen Ports etwas verloren).

Das ist also genau die Schwachstelle, die weiter oben im Text als Ursache für den im Internet erreichbaren Server der Arztpraxis war. Zu den Folgen schreibt Manfred:

Dies hat z.B. zur Folge, wenn der https-Zugriff auf einen Webserver, SBS oder RD-Gateway eingerichtet werden soll und der Standardeintrag für https benutzt wird, dass neben 443 auch 440-449 (also z.B. auch SMB-Problem-Port 445) mit freigegeben wird.

Ich denke, dass das schon ganz viele Klein- und Mittelständler betrifft, weil überall mit den neuen Anschlüssen Digiboxen eingerichtet werden und diese Freigaben sehr häufig genutzt werden. (sieht man z.B. ganz gut in dem Video http://digitalisierungsbox.bintec-elmeg.com/premium-externer-zugriff-auf-webserver-webcam/ bei Zeit ab 04:23 und dann siehe Ports 440-449 ab ca. 05:38).

In der Korrespondenz mit der heise-Redaktion wurde die Frage aufgeworfen, ob das oben verlinkte Video aus 2016 noch für aktuelle Firmware-Versionen gilt, oder ob es darin für das NAT/Firewall-Objekt HTTPS ggf. schon eine Korrektur auf Port 443 only statt 440 bis 449 gibt. Darauf antwortete Manfred im Februar 2018:

Problematische Standardkonfiguration der Telekom-Digitalisierungsbox

Hallo Herr xxx,

vielen Dank für Ihre Rückmeldung. Ja, ich kann bestätigen, dass das auch in der aktuellsten Firmware der Telekom-Digitalisierungsbox noch so ist (ich musste selber in den letzten zwei Wochen zwei neue konfigurieren).
[…]
Gefährdungspotential: ja, das ist schon richtig, dass nicht das ganze Netz offen ist. Ich habe allerdings aus meiner Praxis gesehen, dass sehr häufig kleine Windows-SBS-Server dranhängen, für die dann der Remote-Zugang über 443 geöffnet wird (damit dann allerdings eben auch auf SMB-Port 445).

Dies hatte letztes Jahr bei einem mir bekannten Fall zu einer Petya-Infizierung geführt. Es war lange unklar, wie der Infektionsweg gelaufen ist, erst bei der Analyse durch uns ist aufgefallen, dass irgendwann vorher der Router im Rahmen der Umstellung auf IP-Anschluss von der Telekom gegen eine Digibox ausgetauscht wurde, und hier auch vom Telekom-Techniker wieder der Eintrag für „https“ gesetzt wurde (fälschlicherweise damit auch Port 445). Daneben dürfte es für jeden problematisch sein, der z.B. ein NAS oder ähnliches ohne VPN über https zugänglich macht (NAS macht häufig ebenfalls SMB/445).

Welchen Grund gibt es, standardmäßig auf einem massenhaft verbreiteten Router den Dienst „https“ mit den Ports 440-449 zu definieren?

Auszug aus z.B. RFC1700 (https://www.ietf.org/rfc/rfc1700.txt ):

sgcp            440/tcp    sgcp
sgcp            440/udp    sgcp
#
decvms-sysmgt   441/tcp    decvms-sysmgt
decvms-sysmgt   441/udp    decvms-sysmgt
#                          Lee Barton barton@star.enet.dec.com
cvc_hostd       442/tcp    cvc_hostd
cvc_hostd       442/udp    cvc_hostd
#                          Bill Davidson billd@equalizer.cray.com
https           443/tcp    https  MCom
https           443/udp    https  MCom
#                          Kipp E.B. Hickman <kipp@mcom.com>
snpp            444/tcp    Simple Network Paging Protocol
snpp            444/udp    Simple Network Paging Protocol
#                          [RFC1568]
microsoft-ds    445/tcp    Microsoft-DS
microsoft-ds    445/udp    Microsoft-DS
#                          Arnold Miller <arnoldm@microsoft.com>
ddm-rdb         446/tcp    DDM-RDB
ddm-rdb         446/udp    DDM-RDB
ddm-dfm         447/tcp    DDM-RFM
ddm-dfm         447/udp    DDM-RFM
ddm-byte        448/tcp    DDM-BYTE
ddm-byte        448/udp    DDM-BYTE
#                          Jan David Fisher <jdfisher@VNET.IBM.COM>
as-servermap    449/tcp    AS Server Mapper
as-servermap    449/udp    AS Server Mapper

All diese Ports (außer 443) haben überhaupt nichts mit dem Dienst „https“ zu tun.

Nun lässt sich das Fazit ziehen, dass diese Schwachstelle seit mindestens Februar 2018 im Telekom Business-Router bestand und eigentlich bekannt war. Das heißt im Umkehrschluss auch: Alle diese Router, die in deutschen Firmen in Betrieb sind und kein Firmware-Update erhalten haben und danach nicht in ihrer Konfigurierung überprüft wurden, setzen die Firmen dem Risiko aus, dass deren Server gegenüber dem Internet offen wie ein Scheunentor im Hinblick auf SMB-Freigaben sind. Die Informationen liegen also offen – falls jemand für die Konfiguration solcher Router verantwortlich ist, sollte er also handeln und eine Überprüfung vornehmen.

Nachtrag: Manfred schrieb mir gerade noch ‘Im Übrigen fällt mir gerade ein, dass die Telekom mittlerweile scheinbar die Kundenanschlüsse auf offene Ports abscannt und im Falle von offenen Ports die Kunden per Brief informiert (so geschehen letzte Woche bei einem Kunden mit offenem Port 8080 für eine alte Zeiterfassungsanwendung).’

Ergänzung: Es sind wohl weitere Telekom Business-Router von dem Firmware-Bug betroffen, siehe Weitere Telekom Business-Router mit Sicherheits-Bug (27.11.2019).

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Datenleck bei Arztpraxis und Schwachstelle bei der Telekom Digitalisierungsbox

  1. 1ST1 sagt:

    Das ist eine wirklich dumme Sache, da waren bei der Router-Software wirklich Anfänger dran, und dass das nicht beim Security-Audit, den eine Telekom bei Markteinführung eines solches Produktes machen sollte, nicht auffällt, spricht schon Bände. Aber ich als Artztpraxis würde auch gleich mein PC-Systemhaus vor die Tür setzen und mir eins engagieren, wo man weiß, was man tut. Denn laut Heise war auf dem Windows-Server die Freigabe auf „Jeder“ gesetzt. Das ist sogar im Intranet problematisch, gerade wenn da personenbezogene Daten auf dem Server liegen.

    Wenn ich dann bei meinem eigenen Hausartzt sehe, wie da gearbeitet wird, wird mir ganz anders. Der z.B. hat 9 Behandlungszimmer für 3 Ärzte. Wenn man aus dem Wartezimmer aufgerufen wird, geht man in eins davon und wartet dort, bis der Artzt kommt. Da steht dann am Platz ein nicht gesperrter PC und wartet nur drauf, dass man da im Netz rumschnüffelt. Bei „Jeder“-Freigaben wird das sicher ganz spannend, schnell zippen und irgendwo uppen, bis der Arzt kommt.

    • Dekre sagt:

      Wer ist denn dafür nun verantwortlich?

      in einer Sendung im ZDF/ARD (?) zeigte ein IT-mann wie man mit Versendung eines E-Mails (mit Trojaner) dann an die Daten heran kommt. Das kann ja so (!) nicht sein, denn die reine Versendung eines E-Mails würde wohl kein Zugang auslösen.
      Da hat wohl das Fernsehen (ZDF/ARD) ihre eigene Sensationslust übertrieben und das öffnen des Trojaners nicht gezeigt (fingierte Word- oder andere Dateien).

      Unabhängig davon ist man so oder so nie sicher. Es wundert mich generell.

  2. Chris sagt:

    Also mal fernab davon das der Router mehr Ports freigegeben hat als er soll, und der Tatsache das der Router eine Booteinstellung wählt die nicht der letzten Konfiguration entspricht (Murphy läßt grüßen – der Dienstleister glaubt alles ist ok und der nächste Reboot mach alles zunichte) ist hier immer noch als Fatal anzurechenen, das eine Freigabe existierte, die keiner Authentifizierung bedurfte.

    Wenn jemand in mein Netzwerk eindringt (wie auch immer) kommt er nicht einfach auf alle Freigaben, denn die Freigaben sind Abhängig vom Login und der Zuordnung der AD Gruppen. Anscheinend gibt es dort kein Rechte- und Zugriffskonzept.

  3. Sven Fischer sagt:

    Den Artikel habe ich bei heise auch gelesen. Ist schon ein dickes Ding. Da kann man den Dienstleister auch keinen Vorwurf machen, wenn die Firmware schon Macken hat. Man verlässt sich drauf, muss den Anbieter/Hersteller vertrauen. Zumal der Router von der Tkom selbst stammt und kein Gerät ist, was gar nicht zugelassen ist/war. Bin mal gespannt, wie die Sache ausgeht.

    Grüße

    • 1ST1 sagt:

      Doch dem Dienstleister sollte man dennoch auf die Füße treten, eine Dateifreigabe auf „Jeder“ ist grob fahrlässig. Nicht nur wenn 445 von Außen erreichbar ist.

  4. Bediener 1 sagt:

    Den Strafverteidiger oder den oder die Staatsanwaeltin interessieren doch nur der die
    strafmildernderen Aspekte!!! oder den oder „Die“ wollen wir??? mal in der Realitaet sehen???:
    may be boderline… Lübke etc. Fietzeck etc. …
    No commet°_:Q
    no offence??=?!!!

    • Günter Born sagt:

      In dem Fall ist keine Staatsanwaltschaft involviert – der Fall landet vor der Datenaufsichtsbehörde, die dann einen Bescheid erteilt. Dieser kann vom Empfänger des Bußgeldbescheids dann nochmals im Rahmen eines Widerspruchs angefochten werden. Erst wenn es keine Einigung gibt, geht es vor Gericht – wo aber auch kein Staatsanwalt zugegen sein wird – imho.

  5. Das eigentliche Problem an der Sache ist ein ganz anderes:
    Der Windows-Server der dort läuft, ist weiterhin ungeschützt. Selbst wenn die Telekom-Lücke existiert, darf es nicht sein, dass man ohne Benutzer auf die Freigaben zugreifen kann. –> Die Zugriffsrechte auf die Ordner können dazu gar nicht geändert werden! <– Dann funktioniert die Praxissoftware nicht mehr. Und diese ist eine der populärsten und bekanntesten am Markt. Sollte sich jemand vor Ort Zugriff auf das Netzwerk verschaffen (WLAN-Key knacken, LAN-Kabel vom Drucker abziehen, Virus/Trojaner etc.), so hat er weiterhin Zugriff auf alle Dateien auf dem Server. Dieses Problem ist global. Es ist nicht damit getan, dass die Portfreigabe nicht mehr existiert.

    • Günter Born sagt:

      Danke für die Information – ich hatte so etwas schon vermutet, mangels Information dazu aber nichts geschrieben.

    • Deine Darstellung ist NICHT konsistent, oder nur bedingt zutreffend!
      0) Zugriff auf Verzeichnisse und Dateien ist nur dann möglich, wenn die Schnittmenge von NTFS-Zugriffsberechtigungen und Freigabe-Zugriffsberechtigungen nicht-leer ist.
      1) Für den Netzwerkzugriff OHNE Authentifikation, d.h. ohne (gültiges) Benutzerkonto/Anmeldung, muss eine sog. „null session share“ eingerichtet sein … was seit Windows 2000/XP/2003 nur mit Frickelei möglich ist.
      2) Um per „null session“, d.h. „anonym“ auf Verzeichnisse/Dateien zugreifen zu können muss ein NTFS-ACE für die Benutzergruppe „Jeder“ EXPLIZIT gesetzt sein, oder „Jeder“ der Gruppe „Gäste“ zugeordnet sein … was beides ab Werk NICHT der Fall ist. Mindestens seit Windows Vista werden Berechtigungen nur für die Gruppe(n) „Benutzer“ bzw. „Authentifizierte Benutzer“ eingetragen, und „Gäste“ enthält nicht mehr „Jeder“.
      3) Für den Netzwerkzugriff über das Benutzerkonto „Gast“ (unter Windows XP mit der „einfachen Dateifreigabe“ dummerweise Standard, in älteren und jüngeren Versionen von Windows glücklicherweise NICHT verfügbar) muss dieses aktiviert sein … was aber nur unter XP bei „einfacher Dateifreigabe“ der Fall war. In aktuellen/gewarteten Versionen von Windows gibt’s das nicht mehr.
      4) Für den Zugriff mit einem Benutzerkonto für das KEIN Kennwort eingetragen ist muss ab Windows Vista der Netzwerkzugriff ohne Kennwort explizit aktiviert sein … was ab Werk aber nicht der Fall ist. Eine lokale Benutzeranmeldung ohne Kennwort ist dagegen bzw. dummerweise ab Werk möglich.

      Fazit: ein unauthentifizierter Netzwerkzugriff ist nur bei VORSÄTZLICHER Fehlkonfiguration möglich. Sollte der Dienstleister oder die Installationsroutine der Praxissoftware eine solche Fehlkonfiguration verbrechen: AUFHÄNGEN!
      Aber vorher alle bisher geleisteten Zahlungen zurückfordern: Software oder Dienstleister sind kaputt bzw. unfähig.

  6. Bediener 1 sagt:

    Tja jetzt ist die Katze aus dem Sack!!!
    Das PVS oder Praxisverwaltungssystem oder Arztverwaltungssystem ist das größte Sicherheitsrisiko: Warum???
    Es ist eine wilde Mischung aus einer „Datenbankanwendung“, einer Anbindung an populäre „Office“ und E-mail Anwendungen. zusammen mit einem „Sammelsurium“ von „Drittanbietersoftware“ (PDF Viewer, Rechtschreibkorrektur.Tools etc. ).
    Das bekommt man nicht sicher!!!
    Und der Marktführer ist Compu…???
    Bekam das mit Z1… .
    Erläuterungen zum Update; statt dessen alle E-mail Adressen der User…dieser Programmversion!!!
    Erster Auslieferer der Konnektoren…
    Patientendaten sind das neue Öl…
    (Oder die letzte Ölung, wenn in den falschen Händen)…
    Der Vertrag für die Telematik Infrastruktur wurde auf 8 Jahreverlängert???!!!
    Der neue Bertelsmann Buchclub: Arztprosa und Krankengeschichten!!!
    Oder Angebote für Zusatzversicherungen….!!!
    Besonders unter dem Gesichtspunkt, dass den Arzt das lesen von digitalen Patientenakten mehr Zeit kostet als ausgedruckt (dazu gibt es eine US Studie).
    Ich bin nicht gegen das „Digitale“ per se.
    Aber wenn Datenschutz die oberste Prämisse gewesen wäre, würde die „offline-Lösung“ bezuschusst.
    Das heisst das Praxissystem und die Telematikinfrastruktur sind physikalisch getrennt und der oder die Patientin oder Trans… hat ein Mitspracherecht!!!
    Wir leben nicht in „China“!!!
    Das erfordert einen „Mehraufwand“ in Bezug auf „Hardware“ und Kosten!!!
    Dieser wird aber nicht bezuschusst und wird aktiv torpediert, weil zukünftige Anwendungen dem entgegen stehen!!!
    Wenn Herr Spahn das neue Kombinat Robotron mit Haftung nicht gründen will…
    Ist das Projekt mit den Darknet Leaks schon jetzt …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert