Ein Mann sitzt in einer Rettungsleitstelle vor mehreren Monitoren. © NDR

Experten: Rettungsleitstellen schlecht vor Hackern geschützt

Stand: 06.11.2020 06:00 Uhr

Das Notfall-Managementsystem vieler Leitstellen in Niedersachsen und dem Bund war zeitweise nicht gegen Hackerangriffe gesichert. Ob der Hersteller es nun schützen kann, prüft offenbar niemand.

von Holger Bock und Lars Ohlenburg

Menschliches Versagen beim Entwicklerteam von "Ivena" aus dem hessischen Offenbach hat offenbar zu einer schwerwiegenden IT-Panne in bundesdeutschen Rettungsleitstellen geführt. Darunter sind auch viele aus Niedersachsen. Das berichtet der NDR in Niedersachsen und nimmt damit Bezug auf das Computermagazin "c’t" aus dem Heise-Verlag in Hannover in seiner aktuellen Ausgabe.

Online-Plattform vermittelt in Echtzeit Kliniken

"Ivena" ist eine Online-Plattform, mit der Kliniken und Rettungsleitstellen in Echtzeit Informationen über freie Betten und Personalkapazitäten in den Krankenhäusern austauschen. Rettungsdienste und ihre Leitstellen können auf diese Weise entscheiden, in welcher Klinik ein Patient schnellstmöglich am besten versorgt werden kann.

75 Rettungsleitstellen bundesweit nutzen "Ivena"

Bei einer Präsentation von "Ivena" Anfang Februar in Magdeburg berichtet der Hersteller mainis IT-Service GmbH, dass inzwischen bundesweit 75 Leitstellen "Ivena" nutzen, um Zuweisungen für rund 500 Kliniken zu koordinieren. Insgesamt seien 22.000 Nutzer im deutschen Rettungssystemen bei "Ivena" registriert. Allein in Niedersachsen setzen 20 Rettungsleitstellen für 38 Rettungsdienstbereiche die Online-Plattform ein, aber auch in Hessen, Berlin, Brandenburg sowie in Ober- und Niederbayern, in Sachsen und  Sachsen-Anhalt kommt die Software demnach derzeit zum Einsatz. Insgesamt übernehme "Ivena" mittlerweile rund zwei Millionen Klinikzuweisungen pro Jahr. Die IT-Panne hat also ein bundesweites Ausmaß.

Masterpasswort war nach Programmierung frei verfügbar

Im April entwickelte der "Ivena"-Hersteller ein Zusatzmodul "Sonderlage Corona", um Rettungsdiensten zeigen zu können, wo in ihrer Nähe freie Isolierstationen mit Beatmungskapazitäten und dem entsprechenden Personal speziell für Covid-19-Patienten verfügbar sind. Wie die Entwickler vom mainis IT-Service dem Heise-Verlag freimütig einräumten, sei die Programmierung unter großem Zeitdruck erfolgt. Dabei habe ein Entwickler das Masterpasswort offenbar auf dem frei zugänglichen Server einfach vergessen. Damit wäre es möglich gewesen, Passwörter zu ändern beziehungsweise alle Intensivstationen eines Landkreises als belegt zu kennzeichnen.

Zugriff von Fremden hätte für Chaos sorgen können

Das Computerprogramm IVENA ist auf einem Monitor zu sehen. © NDR
Das Notfallmanagementsystem "Ivena" zeigt an, in welcher Klinik Betten und Personal verfügbar sind.

In den falschen Händen hätten sich Kriminelle sich mit dem Passwort in das Meldesystem der Rettungsleitstellen einloggen und auf alle "Ivena"-Funktionen zugreifen können. So war es monatelang möglich, einzelne Stationen einer Klinik als belegt zu manipulieren. Auf diese Weise hätten ganze Kliniken aus dem Rettungssystem herausgenommen werden können. Mit ausreichend krimineller Energie hätten damit ganze Landkreise und Bundesländer ins Chaos gestürzt werden können.

Auch Zugriff auf Passwörter: Kliniken und Kreise wären erpressbar

Wie lange diese Manipulationen am Meldesystem unentdeckt geblieben wären, ist Spekulation. Weil die große Zahl der Abmeldungen irgendwann aufgefallen wäre, hätten "Sanitäter wohl wie früher wieder zum Handy gegriffen, um bei den jeweiligen Kliniken nachzufragen, ob sie tatsächlich ausgelastet sind und nicht mehr angefahren werden können", sagt ein Notfallmediziner dem NDR. So wurde es in der Vor-"Ivena"-Zeit gemacht. Noch schwerer als der Zugriff auf das Meldesystem, wog allerdings die Möglichkeit, dass mit dem Masterpasswort auch die Zugangskennungen von Kliniken und Rettungsleitstellen selbst hätten geändert werden können. Dadurch seien Landkreise, die das Rettungsdienstsystem organisieren müssen, längere Zeit vom System abgeschnitten, sagt Jan Mahn, Netzwerk-Experte bei "c't".

Entwickler beheben Fehler - doch wer schützt kritische Infrastruktur?

Wie die Computerzeitschrift weiter berichtet, hätten die Entwickler die Fehler Mitte Oktober innerhalb weniger Stunden behoben und festgestellt, dass seit April offenbar niemand mit dem frei zugänglichen Masterpasswort auf Systeme der Rettungsleitstellen zugegriffen hat. Gleichwohl stellen sich die IT-Experten die Frage, wer überprüft, ob ein Hersteller in der Lage ist Rettungsleitstellen, aber auch Strom- oder Wasserversorger vor Hackerangriffen zu schützen? Und wer überprüft diese Sicherheit regelmäßig, damit ein einmal sicheres IT-System der kritischen Infrastruktur auch dauerhaft sicher ist? Die Antworten seien nicht sehr beruhigend , sagen die IT-Experten von "c't", weil Verantwortlichkeiten bei "Ivena" nicht wirklich klar sind.

Zuständigkeiten und Verantwortlichkeiten nicht geregelt

Das bestätigen auch NDR Nachfragen. Derzeit ist offen, wer sich im Fall der Rettungsleitstellen-Software um den Schutz gegen Hackerangriffe kümmern soll. Im größten Nutzerland, in Niedersachsen, werden die Verantwortlichkeiten beispielsweise hin- und hergeschoben. So teilte der landeseigene "Ivena"-Betreiber, die Hann-IT, auf NDR Anfrage mit, die Nutzer selbst seien für die Sicherheit des Systems verantwortlich, also die Kliniken und die Rettungsleitstellen. Die Hann-IT sei nur der technische Betreiber, der Hoster. Die Landkreise als Organisatoren der Rettungsdienste weisen das energisch zurück. Auf NDR Anfrage lässt der Hauptgeschäftsführer des Niedersächsischen Landkreistages, Hubert Meyer, mitteilen: "Wir sind beruhigt, dass die Sicherheitslücke der Anwendung "Ivena" unverzüglich geschlossen werden konnte. Das gut funktionierende System verknüpft die Arbeit der Krankenhäuser in vielfältiger Trägerschaft und der kommunalen Rettungsleitstellen. Wir erneuern daher unsere Forderung, dass das Land Niedersachsen die Administration dieses Systems zentral übernimmt und die flächendeckende Einführung sicherstellt."

Kommunen sind laut IT-Experte auf sich gestellt

Auch IT-Sicherheitsexperte Sascha Fahl von der Leibniz Universität in Hannover spricht sich im NDR Interview für einen besseren Schutz von kritischen und sensiblen Netzwerken gegen Hackerangriffe aus. Gerade Kommunen seien damit überfordert. Der leer gefegte Markt an guten IT-Fachleuten mache es Kommunen schwer, die fachlichen und personellen Ressourcen für diesen Schutz zu rekrutieren.

Datenschutzbehörde, Innenministerium - wer ist zuständig?

Auch beim Land Niedersachsen scheint es derzeit keine klaren Strukturen zu geben, wer sich um den Schutz von kritischer Infrastruktur kümmern soll. Die Datenschutzbehörde des Landes beschäftigt sich ausschließlich mit dem Schutz personenbezogener Daten, wie Sprecher Johannes Pepping dem NDR erläutert, nicht mit dem Schutz vor Hackerangriffen. Das Innenministerium in Hannover ist zwar für die Rettungsleitstellen und mit dem Landeskriminalamt auch für den Umgang mit Cyber-Kriminalität zuständig. Aber eine NDR Anfrage zur Sicherheit der Rettungsleitstellen leitet die Pressestelle an das Sozialministerium weiter.

Sozialministerium: Gemeldete Probleme werden sofort behoben

Von dort heißt es: "Da es offenbar nicht um eine Lücke im Primärsystem ging, sondern um den Verlust von Login-Daten durch ein fehlerhaft konfiguriertes Sekundärsystem, können keine Rückschlüsse auf die Art der Programmierung des Primärsystems gezogen werden. (…) Gemeldete Sicherheitsprobleme gleich welcher Art werden umgehend behoben." Eine eigene regelmäßige Prüfung zur Sicherheit gegen Hackerangriffe stellen demnach weder das Land noch die Kommunen an.

Dieses Thema im Programm:

NDR 1 Niedersachsen | Regional | 06.11.2020 | 06:00 Uhr

Mehr Nachrichten aus Niedersachsen

Blick in ein leeres Klassenzimmer der Klasse 1 a einer Grundschule © picture alliance/Inderlied/Kirchner-Media / Inderlied/Kirchner-Media

Szenario C wie Chaos? Krisen-Konzept in der Kritik

Grundschüler haben in Niedersachsen die Wahl: Schule oder zu Hause lernen. Verbänden und Opposition gefällt das nicht. mehr

Ein umgestürzter Baum liegt in Oldenburg vor einem Auto. © Nonstop News

Sturm im Nordwesten: Etliche Bäume stürzen um

Die Feuerwehren sind seit dem Morgen im Großeinsatz. Betroffen sind unter anderem die Landkreise Wittmund und Leer. mehr

Der Niedersächsische Staatsgerichtshof in Bückeburg mit Landgericht, Amtsgericht und Staatsanwaltschaft. © picture-alliance / dpa Foto: Holger Hollemann

Corona: Oppositionsparteien klagen vor Staatsgerichtshof

Grüne und FDP kritisieren, dass die Regierung zumindest bis Ende Mai ihrer Unterrichtungspflicht nicht nachgekommen sei. mehr

Arbeiter auf einem der beiden Schwimmteile (Bug) des Kreuzfahrtschiffes "AIDAnova". © picture alliance/Mohssen Assanimoghaddam/dpa Foto: Mohssen Assanimoghaddam/dpa

Meyer Werft: Proteste gegen drohenden Stellenabbau erwartet

Der Betriebsrat fordert weitere Informationen. Die Werftleitung will die unterbrochenen Gespräche fortsetzen. mehr