Offenbach (HE) – Wegen einer IT-Panne war das Patientenzuweisungssystem IVENA (Interdisziplinärer Versorgungsnachweis) über mehrere Monate nicht gegen Hackerangriffe geschützt. Kreise und sogar Bundesländer, in denen Rettungsleitstellen und Kliniken das Notfallmanagementprogramm verwenden, hätten im Zuge einer Manipulation ins Chaos gestürzt werden können.
Wie der NDR – bezugnehmend auf die aktuelle Ausgabe des Computermagazin “c’t” – berichtet, hatte der IVENA-Hersteller mainis IT-Services GmbH im April ein Zusatzmodul “Sonderlage Corona” entwickelt. Mit dessen Hilfe sollte Rettungsdiensten angezeigt werden, wo sich in der Nähe eine Klinik mit freien Isolierstationen und Beatmungskapazitäten für Covid-19-Patienten befindet. Im Zuge der Programmierung kam es offenbar zu einer großen Nachlässigkeit. Wie der Hersteller mit Sitz in Offenbach am Main (HE) einräumt, sei die Entwicklung des Tools unter großem Zeitdruck erfolgt. Infolgedessen hatte ein Mitarbeiter das Masterpasswort auf einem frei zugänglichen Server vergessen.
Anzeige
Somit wäre es Hackern möglich gewesen, nicht nur Passwörter des Leitstellensystems zu ändern, sondern beispielsweise alle Intensivstationen eines Kreises als belegt zu markieren. Das hätte für jede Menge Chaos bei Kliniken und Rettungsdiensten gesorgt. Unbefugte hätten sich letztlich Zugriff auf sämtliche Funktionen von IVENA verschaffen können. Kreise und Kliniken wären erpressbar gewesen. Erst Mitte Oktober hatten die Entwickler die Panne behoben. Gleichzeitig stellten sie fest, dass seit April offenbar niemand die Schwachstelle ausgenutzt hat.
Die IT-Experten des Computermagazins „c’t“ stellen sich die Frage, wer kontrolliert, ob Hersteller von derartigen Systemen in der Lage sind, Rettungsleitstellen vor Hackerangriffen zu schützen. Die Antworten seien nicht sehr beruhigend. Denn die Zuständigkeiten wären beispielsweise bei IVENA nicht eindeutig geregelt. Unklar sei, wer für den Schutz vor Hackerangriffen verantwortlich ist.
So hat beispielsweise eine NDR-Nachfrage in Niedersachsen ergeben, dass die dortige IVENA-Betreiberfirma Kliniken und Leitstellen in der Verantwortung sieht, wenn es um IT-Sicherheit geht. Die Kreise weisen das zurück und fordern, dass das Land die Systemadministration übernimmt. Doch auch dort scheint nicht geregelt zu sein, wer für den Schutz von kritischen Infrastrukturen verantwortlich ist. Laut NDR beschäftige sich die niedersächsische Datenschutzbehörde nicht mit dem Schutz vor Hackerangriffen. Zwar ist das Innenministerium für die Rettungsleitstellen zuständig, eine Anfrage wurde allerdings an das Sozialministerium weitergeleitet. Von dort heißt es unter anderem, dass gemeldete Sicherheitsprobleme umgehend behoben werden. Eine selbstständige und regelmäßige Prüfung zur Sicherheit vor Hackerangriffen führen allerdings weder Land noch Kommunen durch.
Bundesweit nutzen 75 Rettungsleitstellen das Patientenzuweisungssytem IVENA. Rund 2 Millionen Klinikeinlieferungen werden über das System koordiniert, an das zirka 500 Krankenhäuser angeschlossen sind. 22.000 Nutzer sind im deutschen Rettungssystem bei IVENA registriert. In Niedersachen verwenden 20 Leitstellen für 38 Rettungsdienstbereiche das Notfallmanagementprogramm. Darüber hinaus kommt IVENA in Hessen, Berlin, Brandenburg, Bayern, Sachsen und Sachsen-Anhalt zum Einsatz.