Moderne Krankenhäuser sind vollgepackt mit Webanwendungen, von der internen Dokumenten-Cloud und Bettenplanung bis hin zur öffentlichen Webseite. Diese Systeme bieten nicht nur Mitarbeitenden und Bürgerinnen und Bürgern einen einfachen Zugang zur IT-Systemen, sondern auch potenziellen Angreifern. Denn wo Systeme leicht zugänglich sind, steigt zwangsläufig auch die Angriffsfläche. Angesichts der zahlreichen geopolitischen Krisenherde und der wiederholten Betonung der Bedeutung kritischer Infrastrukturen sollte man erwarten, dass der Schutz dieser exponierten Systeme mit besonderer Sorgfalt erfolgt. Eine Analyse der IT-Sicherheit der Webserver deutscher Krankenhäuser zeigt jedoch: Das ist nicht der Fall.
Extern erreichbare Server sind meistens verwundbar
Die folgende Karte zeigt das Ergebnis eines einfachen HTTP-Portscans von rund 24.000 IP-Adressen, welche jeweils deutschen Krankenhäusern zugeordnet sind. Gesucht wurde nach offenen, frei erreichbaren Ports sowie nach Informationen, die Rückschlüsse auf die zugrunde liegende Servertechnologie zulassen. Solche Informationen werden oft automatisch vom Server übermittelt – etwa in HTTP-Headern – sind aber für einen Angreifer ein erster Hinweis auf die eingesetzte Software.
Der Scan zeigt: Von den 24.000 untersuchten IP-Adressen reagierten etwa 1.000 (~4 %) auf unsere Anfragen. Bei 790 dieser Server ließ sich die verwendete Serversoftware identifizieren, und bei 250 war sogar die exakte Versionsnummer in der Serverantwort enthalten. Solche präzisen Versionsangaben sind kritisch, denn sie ermöglichen Angreifern eine Bewertung der Verwundbarkeit durch Exploits.
Eine Anwendung dieser Methode auf die gefundenen Server resultiert in dem auf der Karte dargestellten Lagebild. Die grauen Punkte im Hintergrund repräsentieren die Standorte aller deutschen Krankenhäuser. Die übrigen Symbole zeigen jene Teilmenge von Krankenhäusern, bei denen ein offener HTTP-Port festgestellt wurde. Die roten, gelben und grünen Formen symbolisieren Krankenhäuser, bei denen die erhaltenen Serverinformationen Rückschlüsse auf deren Verwundbarkeit zuließen. Dabei wurde jedes Krankenhaus anhand seines vulnerabelsten Servers bewertet. Die übrigen grauen Quadrate stehen für Krankenhäuser, deren Server keine verwertbaren Informationen preisgaben.
Man sieht: Von den Servern mit identifizierbarer Version hat nur ein Bruchteil keine dokumentierten Schwachstellen. Auffällig ist zudem, dass alle versionierten Implementierungen der weit verbreiteten Produktfamilien „Nginx“ und „Apache“ eine teils gravierende Menge an Schwachstellen aufweisen – einige der gefundenen Versionen waren bis zu neun Jahre alt. Dabei handelt es sich keineswegs nur um kleine Einrichtungen. Auch die Namen einiger bekannter Großstadtkrankenhäuser tauchen in der Liste auf – ein Indiz dafür, dass fehlende Wartung in der IT-Sicherheit kein alleiniges Resultat geringer Ressourcen ist.
Fazit
Warum nun so viele Krankenhäuser ihre Webserver nicht ausreichend sichern, lässt sich wohl kaum pauschal beantworten. Möglicherweise fehlt es an Zeit, Personal oder sogar am Sicherheitsbewusstsein. Vielleicht ist es auch der fehlende Überblick über das eigene Netzwerk, denn gerade in größeren IT-Strukturen mit vielen Zuständigkeiten sammeln sich im Hintergrund Übergangslösungen oder längst vergessene Dienste. Wer aber darauf hofft, dass ein einzelner, veralteter Webserver im Kliniknetzwerk schon unentdeckt bleibt, der irrt, wie diese Analyse zeigt. Wie man seinen Webserver so konfiguriert, dass er problematische Informationen versteckt, kann man hier für Apache und hier für Nginx nachlesen.