IVENA - der Interdisziplinäre Versorgungsnachweis
mainis IT-Service GmbH

Langstr. 2
63069 Offenbach

Wichtiger Hinweis

Möglicher Vorfall nach Artikel 33 DS-GVO - Bitte ändern Sie Ihr Kennwort in IVENA


Aus Sicherheitsgründen und als Vorsorgemaßnahme bitten wir alle Benutzerinnen und Benutzer von IVENA eHealth, ihr Kennwort zeitnah zu ändern. Melden Sie sich dazu in Ihrem IVENA-System an. Dort finden Sie den Menüpunkt „Kennwort ändern“ in der Menüleiste entweder direkt oder unterhalb
von „Mehr“.



Was ist geschehen? Wir wurden am 14. Oktober 2020 abends über ein bestehendes Sicherheitsproblem im Zusammenhang mit IVENA eHealth informiert. Durch eine Sicherheitslücke in einer externen Anwendung, die über eine Schnittstelle mit IVENA kommuniziert, konnte Zugriff auf die Login-Daten eines Admin-Benutzers erlangt werden. Mit diesem Admin-Benutzer war es möglich, sich in diversen IVENA-Instanzen mit Administrationsrechten anzumelden. Damit wäre es für einen Unbefugten möglich gewesen, auf Anwendungsebene Daten in IVENA einzusehen oder zu ändern.


Was haben wir unternommen? Wir haben die Sicherheitslücke in der externen Anwendung noch am selben Abend geschlossen. Das Kennwort des betroffenen Admin-Benutzers wurde geändert. Aktuell arbeiten wir mit Hochdruck daran, mögliche Daten-Manipulationen zu ermitteln und den dauerhaften Zugriff eines Unbefugten über ein anderes Login auszuschließen. Derzeit können wir ausschließen, dass es unberechtigte Benutzer mit weitreichenden Berechtigungen gibt. Weitergehende, intensive Recherchen werden von uns gerade durchgeführt.


Unser Datenschutzbeauftragter wurde direkt involviert. Ein Risiko für die betroffenen Personen, also die Benutzerinnen und Benutzer von IVENA eHealth, kann zum jetzigen Zeitpunkt noch nicht komplett ausgeschlossen werden, daher erfolgte auch eine Meldung am heutigen Tag an den Hessischen Beauftragten für Datenschutz und Informationsfreiheit. Obwohl wir nicht im Sinne des Artikel 4 Nr. 7 DS-GVO „Verantwortlicher“ für die Verarbeitung personenbezogener Daten (hier: Beschäftigtendaten) der IVENA-Benutzer sind, sind wir verantwortlich für die Softwareentwicklung, daher auch die Meldung an die Aufsichtsbehörde unsererseits. Ein „voraussichtlich hohes Risiko für die Rechte und Freiheiten der betroffenen Personen“ gemäß Artikel 33 Absatz 8 DS-GVO können wir ausschließen, dennoch erfolgt aus Transparenzgründen und zur Vorsorge diese Meldung.


Was sind die technischen Details? Die externe Anwendung dient zur Visualisierung von freien Krankenhauskapazitäten für COVID-Patienten auf einer Landkarte. Sie wird bisher nur von Niedersachsen und Bremen verwendet. Durch einen Konfigurationsfehler auf dem Webserver, der bei der Prüfung unentdeckt blieb, war es seit Einrichtung des Moduls im April 2020 möglich, auf eine Konfigurationsdatei mit Zugangsdaten im Klartext zuzugreifen. Leider war mit diesen Zugangsdaten ein Login in den IVENA-Instanzen mit Administrationsrechten möglich. Die Karten-Anwendung wurde in den ersten Wochen der Corona-Krise zusammen mit dem Sonderlage-Modul unter größter Anspannung innerhalb weniger Tage entwickelt und in Betrieb genommen. Dabei wurde die dortige Sicherheitslücke leider übersehen. Mit den Zugangsdaten war ein Zugriff auf die Anwendungsoberfläche von IVENA möglich. Es bestand nach aktuellem Kenntnisstand zu keiner Zeit ein Zugriff auf die Datenbanken, die technischen Systeme oder die Webserver der IVENA-Instanzen. Es gab keine Sicherheitslücke im IVENA-System.


Was sind die datenschutzrechtlichen Details? Die Patienten-Zuweisungsdaten enthalten keine personenbezogenen Daten. Unsere Strategie der Datensparsamkeit mit der Maßgabe, keine Patientendaten mit Personenbezug in IVENA als potenziell gefährdetem Websystem zu erfassen, ist Grundlage von IVENA. Sie hat sich bewährt und sichert auch in diesem Fall den Schutz von Daten. Personenbezogen nach datenschutzrechtlichen Kriterien sind daher ausschließlich die Daten der IVENA-Benutzer. Relevant sind hier die Felder „Loginname”, „Anrede“, „Titel“, „Vorname“, „Name“, „Organisation“, „Funktion“ und „E-Mail“ (i.d.R. dienstlich). Ein Ausspähen von Kennwörtern ist generell nicht möglich. Zur Protokollierung werden verschiedene Aktionen in IVENA mit dem ausführenden Benutzer verknüpft. Die genannten Daten und Informationen sind zweifellos schutzwürdig, gehören aber nicht zu den besonders schützenswerten Datenkategorien gemäß Artikel 9 DS-GVO. Die möglichen Folgen durch unberechtigte Kenntnisnahme der Daten sind für die Betroffenen gering.


Wir bedauern diesen Vorfall zutiefst und bitten alle Beteiligten dafür um Entschuldigung. Eine datenschutzkonforme Behandlung von Daten war uns bei der Entwicklung von IVENA vom ersten Tag an überaus wichtig. Der Fehler ist Anfang April leider in einer Phase geschehen, in der unser Unternehmen ‑ wie vermutlich auch Sie - weit über unseren Kapazitätsgrenzen gearbeitet hat und damit leider nicht alle Standards eingehalten hat, zu denen wir uns sonst verpflichtet fühlen. Wir setzen alles daran, dass sich ein solcher Vorfall nicht wiederholt, und werden künftig noch sensibler bezüglich derartiger Herausforderungen sein.


Ihr Team von IVENA eHealth, 16.10.2020




Quelle: ivena.de
Druckdatum: 01.12.2020