Liechtenstein: Kritik an IT-Sicherheit beim E-Gesundheitsdossier zurückgewiesen

Inhaltsverzeichnis

IT-Verantwortliche des elektronischen Gesundheitsdossiers (eGD) von Liechtenstein haben Kritik zur IT-Sicherheit des Dossiers gegenüber heise online zurückgewiesen. Das eGD ist "ein virtuelles Dossier, über das dezentral abgelegte Gesundheitsdaten oder genetische Daten aus der Krankengeschichte eines Teilnehmers in einem Abrufverfahren orts- und zeitunabhängig zugänglich gemacht werden können", wie aus dem Liechtensteinischen Landesgesetzblatt hervorgeht. Ein Widerspruch gegen das eGD, das der elektronischen Patientenakte in Deutschland entspricht, ist möglich. Neben Namen und Adressen der Versicherten enthält das eGD auch die persönliche Identifikationsnummer, Gesundheitsdaten und genetische Daten. Wer das eGD nicht will, muss – wie in Deutschland auch geplant – widersprechen.

Das Sicherheitsunternehmen Pentagrid hatte einen Blogeintrag zu möglichen Sicherheitsbedenken veröffentlicht, auf dessen Basis etwa die Zeitung Liechtensteiner Vaterland berichtet hatte. Demnach hatte das Sicherheitsunternehmen unter anderem sieben neue Schwachstellen der eingesetzten Open-Source-Software des Unternehmens Liferay Portal dokumentiert, aber auch eingeräumt, dass unklar sei, "ob diese Schwachstellen ebenfalls auf dem Gesundheitsdossier ausgenutzt werden könnten".

Derzeit nutze das Unternehmen die Software in der Version 7.4.3.48-GA48, ein Upgrade auf 7.4.3.93-GA93 ist geplant. Die Sicherheitsforscher hatten die Version 7.4.3.84 heruntergeladen und getestet. Für das eGD würden kontinuierlich Security Tests und Sicherheitsaudits durchgeführt. Zu weiteren Maßnahmen gehört unter anderem ein Software-Composition-Analysis-Tool.

Zu auffälligen Code-Mustern bei Liferay – das in der Vergangenheit bereits einige Schwachstellen veröffentlicht hat – befragt, entgegnete das mitverantwortliche Unternehmen Siemens Healthineers, dass eines der Muster tatsächlich ein "Anti-Pattern [enthält], welches gemäß Richtlinien der sicheren Programmierung (Secure Coding) vermieden werden sollte. "Diese Schwachstelle sei jedoch nur dann ausnutzbar, "wenn über sie tatsächlich Schadcode eingeschleust werden kann [...]. Dies könnte zum Beispiel in einer vorgelagerten Web-Applikation über eine Usereingabe in einem Formular geschehen, welche dann ungeprüft an die entsprechende Methode übergeben wird."

Um das zu verhindern, würden Nutzereingaben stets auf potenziellen Schadcode geprüft und "nur gefiltert ans Backend weitergegeben (Input Sanitization and encoding). Im Falle von ungültigem oder potenziell schädlichem Input wird die Verarbeitung abgebrochen (und entsprechend gelogged)", heißt es als Antwort auf eine Anfrage von heise online.

Eigene Applikationen und Schnittstellen

Die Liferay-Funktionalität werde zum Großteil als Portal-Backend und nur über eigene Applikationen und Schnittstellen genutzt. Durch einen zusätzlichen Layer werde der Zugriff auf die Funktionen von Liferay auf autorisierte Nutzer oder Systeme beschränkt. "Vom End User übermittelte Anfragen (Requests) werden wie oben beschrieben validiert und bereinigt, sodass schädlicher Code nicht eingeschleust werden kann", so das Unternehmen. Direkt eingebunden würde lediglich ein kleiner Teil der Liferay-Anwendungen und Nutzer-Schnittstellen in einem "nur für Super-Administratoren freigeschalteten Bereich".

Der Zugriff auf die User Interfaces, die den Endnutzern zugänglich sind, werden ebenfalls beschränkt und durch einen zusätzlichen Layer geschützt. "Ausführliche Tests auf Verwundbarkeiten des Produkts gegenüber Cross Site Scripting (XSS) Attacken sind ebenfalls in den oben beschriebenen Penetration Test und Ethical Hacking Programmen enthalten. Dies wurde durch die Ergebnisse der letzten Security Tests bestätigt", so das Unternehmen.

Verwundbarkeit bei CVE-Schwachstellen ausgeschlossen

Bisher seien auch keine weiteren Informationen zu den von den Sicherheitsforschern bei Liferay bemängelten CVE-Schwachstellen bekannt (CVE-2023-42627, CVE-2023-42628 und CVE-2023-42629). Sofern es sich um Cross-Site-Scripting-Schwachstelle bei einer Shop-Komponente handele, sei das Unternehmen nicht betroffen, da diese Komponente nicht zum Einsatz komme. Es könne ausgeschlossen werden, "dass gewöhnliche Portalbenutzer über diese UIs Schadcode einschleusen können. Zudem ist damit das Risiko minimiert, dass eine Liferay-Komponente mit Schwachstellen zur Anwendung kommt".

Die CVE-2023-28439-Schwachstelle im HTML-Editor "CKEditor" betreffe das elektronische Gesundheitsportal nicht, da der Editor nicht im Einsatz sei. Zwar werde das Skript dazu geladen, jedoch wolle man das "in einem nächsten Release unterbinden". Da der Code nicht ausgeführt werde, handele es sich "lediglich um eine schwache Form von Information Disclosure", da lediglich Informationen darüber preisgegeben werden, welche Techniken zum Einsatz kommen.

Bei Cloudflare "ausschließlich Metadaten"

Beim von den Sicherheitsexperten kritisierten Einsatz von Cloudflare würden nach Angaben des Unternehmens "ausschließlich Metadaten" gespeichert, die für die Sicherheit und den Schutz des Netzwerks erforderlich sind – etwa für IP-Bedrohungsbewertungen, Informationen zu Anfragevolumina und der Verfügbarkeit des Dienstes. Cloudflare sei nach Angaben des Unternehmens in die Sicherheitsinfrastruktur des eGD integriert, um selbiges vor potenziellen Bedrohungen und DDoS-Angriffen zu schützen. Dabei habe das Unternehmen weder Zugriff noch Kontrolle über inhaltliche Patientendaten wie etwa medizinische Aufzeichnungen. Dazu habe Cloudflare entsprechende Auftragsverarbeitungsverträge abgeschlossen und sei "nach dem EU-U.S. Data Privacy Framework, dem Nachfolger des Privacy Shield, zertifiziert". Damit erfülle Cloudflare alle Anforderungen der Datenschutzgrundverordnung.

Auf die Kritik, dass Menschen sich ohne eID mit einer Pass-Kopie identifizieren können, heißt es von der dafür verantwortlichen liechtensteinischen Regierung: "Wenn es sich um die Identifikation bzw. Login ins eGD handelt, ist dies nur über die eID möglich". Wenn aber beispielsweise "ein Antrag für die Einreichung einer Vertretungsvollmacht physisch beim Amt für Gesundheit (AG) eingereicht wird, müssen sich die Antragsstellenden mittels Passkopie identifizieren". Das ginge allerdings nur über das AG – der Login ins eGD ist weiterhin nur über die eID möglich, heißt es von Siemens Healthineers, die ebenfalls zu den IT-Verantwortlichen zählen.

(mack)