6
Einstellung zum Thema Sicherheit bei einem großem Anbieter von medizinischer Abrechnungssoftware
Hallo,
ich habe heute Morgen eine Mail von einem Kunden bekommen die mich echt aus den Socken gehauen hat.
Der Anbieter seiner Abrechnungssoftware für eine Zahnarztpraxis bietet auch einen Dienst an um aus der Software SMS verschicken zu können.
Es handelt sich um einen großen Anbieter in diesem Bereich.
Dies wird nun gerade von unverschlüsselter Email auf HTTPs-Request umgestellt.
Löblich.
Der Kunde soll dazu im Kundenbereich einen API-Schlüssel ablesen und in der Software eintragen.
Ok
Die unverschlüsselte Mail enthält auch eine Anleitung
Bitte führen Sie folgende Schritte durch:
1. Besuchen Sie unsere Webseite: https://url.zum.backend.de
2. Loggen Sie sich mit Ihren persönlichen Zugangsdaten (Benutzername: mayer Passwort: 12345678ab) ein.
3. Öffnen Sie auf unserer Seite im Menü die Einstellungen (i-Symbol) oder Sie rufen die
WTF???
Natürlich weiß ich warum die das machen.
Die meisten Praxen haben ihre Zugangsdaten eh verlegt und würden diese Änderungen nicht machen und die wollen das alte Verfahren abschalten.
Also muss es einfach sein.
Aber Zugangsdaten mit URL im Klartext an die öffentliche Praxis-Adresse?
Außerdem bedeutet dass, das der Anbieter die Zugangsdaten auch im Klartext gespeichert haben muss.
Kein Hash und kein Salz in der Suppe.
Man kann im Backend zumindest die Anschrift und die Bankverbindung einsehen.
Ob man darüber SMS ohne die Abrechnungssoftware versenden kann, kann ich aktuell nicht sagen.
Meiner Meinung nach müßte dies sogar Meldepflichtig sein bei den zuständigen Behörden.
Auch wenn es nun nicht Millionen von Kunden betrifft.
Ich habe die erstmal angeschrieben ob ich nicht etwas übersehen habe.
Mal schaue was die dazu sagen.
Viele Grüße
Stefan
ich habe heute Morgen eine Mail von einem Kunden bekommen die mich echt aus den Socken gehauen hat.
Der Anbieter seiner Abrechnungssoftware für eine Zahnarztpraxis bietet auch einen Dienst an um aus der Software SMS verschicken zu können.
Es handelt sich um einen großen Anbieter in diesem Bereich.
Dies wird nun gerade von unverschlüsselter Email auf HTTPs-Request umgestellt.
Löblich.
Der Kunde soll dazu im Kundenbereich einen API-Schlüssel ablesen und in der Software eintragen.
Ok
Die unverschlüsselte Mail enthält auch eine Anleitung
Bitte führen Sie folgende Schritte durch:
1. Besuchen Sie unsere Webseite: https://url.zum.backend.de
2. Loggen Sie sich mit Ihren persönlichen Zugangsdaten (Benutzername: mayer Passwort: 12345678ab) ein.
3. Öffnen Sie auf unserer Seite im Menü die Einstellungen (i-Symbol) oder Sie rufen die
WTF???
Natürlich weiß ich warum die das machen.
Die meisten Praxen haben ihre Zugangsdaten eh verlegt und würden diese Änderungen nicht machen und die wollen das alte Verfahren abschalten.
Also muss es einfach sein.
Aber Zugangsdaten mit URL im Klartext an die öffentliche Praxis-Adresse?
Außerdem bedeutet dass, das der Anbieter die Zugangsdaten auch im Klartext gespeichert haben muss.
Kein Hash und kein Salz in der Suppe.
Man kann im Backend zumindest die Anschrift und die Bankverbindung einsehen.
Ob man darüber SMS ohne die Abrechnungssoftware versenden kann, kann ich aktuell nicht sagen.
Meiner Meinung nach müßte dies sogar Meldepflichtig sein bei den zuständigen Behörden.
Auch wenn es nun nicht Millionen von Kunden betrifft.
Ich habe die erstmal angeschrieben ob ich nicht etwas übersehen habe.
Mal schaue was die dazu sagen.
Viele Grüße
Stefan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 323096
Url: https://administrator.de/contentid/323096
Ausgedruckt am: 23.11.2024 um 02:11 Uhr
6 Kommentare
Neuester Kommentar
Das würde ich denen so um die Ohren hauen, daß sie mindestens eine Woche nicht auf der Seite liegen können.
lks
lks
1
Wenn ich überlege, wie uns der Datenschutz hier auf den Senkel geht...da hätt ich die Tür schon abschließen können, wenn sowas passieren würde.
Hallo,
das klingt ziemlich harmlos. Wenn Du z.B. eine 2008r2 Mühle für Neuroworks aufsetzen möchtest, darfst Du nur Updates bis zu einem bestimmten Zeitpunkt (IMO 13. Dezember 2011) einspielen. Die Windows-Updatefunktion ist anschließend natürlich abzuschalten. Wie genau, steht in der bebilderten Installationsanleitung - die übrigens noch weitere fragwürdige "Spielereien" an diversen Sicherheitsmechanismen von Windows enthält. Sprich - das Ding steht mit offenem Visier im Regen.
Quelle: http://www.natus.com/documents/DCMX-038621%20Rev%20ZG%20-%20Neuroworks- ...
Schön finde ich auch immer diesen Satz, der in jedem Projektdokument von der Butze zu finden ist: "I certify that, in my capacity as the project manager, I believe to the best of my knowledge that all system components are compatible as stated in this document."
Interessanterweise findet sich im gesamten Dokument kein Name des Verfassers. Ich persönlich würde meinen Namen auch nicht in so einem Schrieb wiederfinden wollen.
Gruß,
Jörg
das klingt ziemlich harmlos. Wenn Du z.B. eine 2008r2 Mühle für Neuroworks aufsetzen möchtest, darfst Du nur Updates bis zu einem bestimmten Zeitpunkt (IMO 13. Dezember 2011) einspielen. Die Windows-Updatefunktion ist anschließend natürlich abzuschalten. Wie genau, steht in der bebilderten Installationsanleitung - die übrigens noch weitere fragwürdige "Spielereien" an diversen Sicherheitsmechanismen von Windows enthält. Sprich - das Ding steht mit offenem Visier im Regen.
Quelle: http://www.natus.com/documents/DCMX-038621%20Rev%20ZG%20-%20Neuroworks- ...
Schön finde ich auch immer diesen Satz, der in jedem Projektdokument von der Butze zu finden ist: "I certify that, in my capacity as the project manager, I believe to the best of my knowledge that all system components are compatible as stated in this document."
Interessanterweise findet sich im gesamten Dokument kein Name des Verfassers. Ich persönlich würde meinen Namen auch nicht in so einem Schrieb wiederfinden wollen.
Gruß,
Jörg
Naja, weißt du denn was nach dem Login passiert? Wir haben sowas ähnliches im Einsatz, fordern den Kunden aber dazu auf das Passwort dann zu ändern. Dadurch haben dann auch letztendlich wir nicht mehr das Kennwort im Klartext.
Grüße
FalcoK
Grüße
FalcoK
Zitat von @FalcoK:
Naja, weißt du denn was nach dem Login passiert? Wir haben sowas ähnliches im Einsatz, fordern den Kunden aber dazu auf das Passwort dann zu ändern. Dadurch haben dann auch letztendlich wir nicht mehr das Kennwort im Klartext.
Naja, weißt du denn was nach dem Login passiert? Wir haben sowas ähnliches im Einsatz, fordern den Kunden aber dazu auf das Passwort dann zu ändern. Dadurch haben dann auch letztendlich wir nicht mehr das Kennwort im Klartext.
Hallo,
der Kunde kann das Kennwort im Backend nicht selber ändern.
Das kann nur der Anbieter der es einem dann im Klartext als Mail schickt.
Auch ist das Kennwort in jeder Mail deren Software beim Kunden an deren Server im Internet unverschlüsselt enthalten.
Aber:
Der Anbieter hat mich nach meiner Kritik zurückgerufen.
Die stellen deren System seit einiger Zeit auf ein Token-basiertes System.
Die Mail mit dem Kennwort ging nur an die Nachzügler von denen Erfahrungsmäßig nur wenige ihr Kennwort noch kennen.
Naja, ich kanns nachvollziehen, aber nicht gutheißen.
Immerhin bewegen die sich überhaupt.
Viele Grüße
Stefan
Das die Kunden das Kennwort nicht ändern können, ist ja der Kracher... Da springen die Datenschutzbeauftragten bestimmt im Dreieck :P
