Einstellung zum Thema Sicherheit bei einem großem Anbieter von medizinischer Abrechnungssoftware
Hallo,
ich habe heute Morgen eine Mail von einem Kunden bekommen die mich echt aus den Socken gehauen hat.
Der Anbieter seiner Abrechnungssoftware für eine Zahnarztpraxis bietet auch einen Dienst an um aus der Software SMS verschicken zu können.
Es handelt sich um einen großen Anbieter in diesem Bereich.
Dies wird nun gerade von unverschlüsselter Email auf HTTPs-Request umgestellt.
Löblich.
Der Kunde soll dazu im Kundenbereich einen API-Schlüssel ablesen und in der Software eintragen.
Ok
Die unverschlüsselte Mail enthält auch eine Anleitung
Bitte führen Sie folgende Schritte durch:
1. Besuchen Sie unsere Webseite: https://url.zum.backend.de
2. Loggen Sie sich mit Ihren persönlichen Zugangsdaten (Benutzername: mayer Passwort: 12345678ab) ein.
3. Öffnen Sie auf unserer Seite im Menü die Einstellungen (i-Symbol) oder Sie rufen die
WTF???
Natürlich weiß ich warum die das machen.
Die meisten Praxen haben ihre Zugangsdaten eh verlegt und würden diese Änderungen nicht machen und die wollen das alte Verfahren abschalten.
Also muss es einfach sein.
Aber Zugangsdaten mit URL im Klartext an die öffentliche Praxis-Adresse?
Außerdem bedeutet dass, das der Anbieter die Zugangsdaten auch im Klartext gespeichert haben muss.
Kein Hash und kein Salz in der Suppe.
Man kann im Backend zumindest die Anschrift und die Bankverbindung einsehen.
Ob man darüber SMS ohne die Abrechnungssoftware versenden kann, kann ich aktuell nicht sagen.
Meiner Meinung nach müßte dies sogar Meldepflichtig sein bei den zuständigen Behörden.
Auch wenn es nun nicht Millionen von Kunden betrifft.
Ich habe die erstmal angeschrieben ob ich nicht etwas übersehen habe.
Mal schaue was die dazu sagen.
Viele Grüße
Stefan
ich habe heute Morgen eine Mail von einem Kunden bekommen die mich echt aus den Socken gehauen hat.
Der Anbieter seiner Abrechnungssoftware für eine Zahnarztpraxis bietet auch einen Dienst an um aus der Software SMS verschicken zu können.
Es handelt sich um einen großen Anbieter in diesem Bereich.
Dies wird nun gerade von unverschlüsselter Email auf HTTPs-Request umgestellt.
Löblich.
Der Kunde soll dazu im Kundenbereich einen API-Schlüssel ablesen und in der Software eintragen.
Ok
Die unverschlüsselte Mail enthält auch eine Anleitung
Bitte führen Sie folgende Schritte durch:
1. Besuchen Sie unsere Webseite: https://url.zum.backend.de
2. Loggen Sie sich mit Ihren persönlichen Zugangsdaten (Benutzername: mayer Passwort: 12345678ab) ein.
3. Öffnen Sie auf unserer Seite im Menü die Einstellungen (i-Symbol) oder Sie rufen die
WTF???
Natürlich weiß ich warum die das machen.
Die meisten Praxen haben ihre Zugangsdaten eh verlegt und würden diese Änderungen nicht machen und die wollen das alte Verfahren abschalten.
Also muss es einfach sein.
Aber Zugangsdaten mit URL im Klartext an die öffentliche Praxis-Adresse?
Außerdem bedeutet dass, das der Anbieter die Zugangsdaten auch im Klartext gespeichert haben muss.
Kein Hash und kein Salz in der Suppe.
Man kann im Backend zumindest die Anschrift und die Bankverbindung einsehen.
Ob man darüber SMS ohne die Abrechnungssoftware versenden kann, kann ich aktuell nicht sagen.
Meiner Meinung nach müßte dies sogar Meldepflichtig sein bei den zuständigen Behörden.
Auch wenn es nun nicht Millionen von Kunden betrifft.
Ich habe die erstmal angeschrieben ob ich nicht etwas übersehen habe.
Mal schaue was die dazu sagen.
Viele Grüße
Stefan
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 323096
Url: https://administrator.de/contentid/323096
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
das klingt ziemlich harmlos. Wenn Du z.B. eine 2008r2 Mühle für Neuroworks aufsetzen möchtest, darfst Du nur Updates bis zu einem bestimmten Zeitpunkt (IMO 13. Dezember 2011) einspielen. Die Windows-Updatefunktion ist anschließend natürlich abzuschalten. Wie genau, steht in der bebilderten Installationsanleitung - die übrigens noch weitere fragwürdige "Spielereien" an diversen Sicherheitsmechanismen von Windows enthält. Sprich - das Ding steht mit offenem Visier im Regen.
Quelle: http://www.natus.com/documents/DCMX-038621%20Rev%20ZG%20-%20Neuroworks- ...
Schön finde ich auch immer diesen Satz, der in jedem Projektdokument von der Butze zu finden ist: "I certify that, in my capacity as the project manager, I believe to the best of my knowledge that all system components are compatible as stated in this document."
Interessanterweise findet sich im gesamten Dokument kein Name des Verfassers. Ich persönlich würde meinen Namen auch nicht in so einem Schrieb wiederfinden wollen.
Gruß,
Jörg
das klingt ziemlich harmlos. Wenn Du z.B. eine 2008r2 Mühle für Neuroworks aufsetzen möchtest, darfst Du nur Updates bis zu einem bestimmten Zeitpunkt (IMO 13. Dezember 2011) einspielen. Die Windows-Updatefunktion ist anschließend natürlich abzuschalten. Wie genau, steht in der bebilderten Installationsanleitung - die übrigens noch weitere fragwürdige "Spielereien" an diversen Sicherheitsmechanismen von Windows enthält. Sprich - das Ding steht mit offenem Visier im Regen.
Quelle: http://www.natus.com/documents/DCMX-038621%20Rev%20ZG%20-%20Neuroworks- ...
Schön finde ich auch immer diesen Satz, der in jedem Projektdokument von der Butze zu finden ist: "I certify that, in my capacity as the project manager, I believe to the best of my knowledge that all system components are compatible as stated in this document."
Interessanterweise findet sich im gesamten Dokument kein Name des Verfassers. Ich persönlich würde meinen Namen auch nicht in so einem Schrieb wiederfinden wollen.
Gruß,
Jörg