stefankittel
Goto Top

Einstellung zum Thema Sicherheit bei einem großem Anbieter von medizinischer Abrechnungssoftware

Hallo,

ich habe heute Morgen eine Mail von einem Kunden bekommen die mich echt aus den Socken gehauen hat.
Der Anbieter seiner Abrechnungssoftware für eine Zahnarztpraxis bietet auch einen Dienst an um aus der Software SMS verschicken zu können.
Es handelt sich um einen großen Anbieter in diesem Bereich.

Dies wird nun gerade von unverschlüsselter Email auf HTTPs-Request umgestellt.
Löblich.

Der Kunde soll dazu im Kundenbereich einen API-Schlüssel ablesen und in der Software eintragen.
Ok

Die unverschlüsselte Mail enthält auch eine Anleitung
Bitte führen Sie folgende Schritte durch:
1. Besuchen Sie unsere Webseite: https://url.zum.backend.de
2. Loggen Sie sich mit Ihren persönlichen Zugangsdaten (Benutzername: mayer Passwort: 12345678ab) ein.
3. Öffnen Sie auf unserer Seite im Menü die Einstellungen (i-Symbol) oder Sie rufen die
WTF???

Natürlich weiß ich warum die das machen.
Die meisten Praxen haben ihre Zugangsdaten eh verlegt und würden diese Änderungen nicht machen und die wollen das alte Verfahren abschalten.
Also muss es einfach sein.

Aber Zugangsdaten mit URL im Klartext an die öffentliche Praxis-Adresse?

Außerdem bedeutet dass, das der Anbieter die Zugangsdaten auch im Klartext gespeichert haben muss.
Kein Hash und kein Salz in der Suppe.

Man kann im Backend zumindest die Anschrift und die Bankverbindung einsehen.
Ob man darüber SMS ohne die Abrechnungssoftware versenden kann, kann ich aktuell nicht sagen.

Meiner Meinung nach müßte dies sogar Meldepflichtig sein bei den zuständigen Behörden.
Auch wenn es nun nicht Millionen von Kunden betrifft.

Ich habe die erstmal angeschrieben ob ich nicht etwas übersehen habe.
Mal schaue was die dazu sagen.

Viele Grüße

Stefan

Content-ID: 323096

Url: https://administrator.de/contentid/323096

Ausgedruckt am: 23.11.2024 um 02:11 Uhr

Lochkartenstanzer
Lochkartenstanzer 07.12.2016 um 09:17:03 Uhr
Goto Top
Das würde ich denen so um die Ohren hauen, daß sie mindestens eine Woche nicht auf der Seite liegen können.

lks
Voiper
Voiper 07.12.2016 um 11:18:31 Uhr
Goto Top
Wenn ich überlege, wie uns der Datenschutz hier auf den Senkel geht...da hätt ich die Tür schon abschließen können, wenn sowas passieren würde.
117471
117471 07.12.2016 um 16:33:59 Uhr
Goto Top
Hallo,

das klingt ziemlich harmlos. Wenn Du z.B. eine 2008r2 Mühle für Neuroworks aufsetzen möchtest, darfst Du nur Updates bis zu einem bestimmten Zeitpunkt (IMO 13. Dezember 2011) einspielen. Die Windows-Updatefunktion ist anschließend natürlich abzuschalten. Wie genau, steht in der bebilderten Installationsanleitung - die übrigens noch weitere fragwürdige "Spielereien" an diversen Sicherheitsmechanismen von Windows enthält. Sprich - das Ding steht mit offenem Visier im Regen.

Quelle: http://www.natus.com/documents/DCMX-038621%20Rev%20ZG%20-%20Neuroworks- ...

Schön finde ich auch immer diesen Satz, der in jedem Projektdokument von der Butze zu finden ist: "I certify that, in my capacity as the project manager, I believe to the best of my knowledge that all system components are compatible as stated in this document."

Interessanterweise findet sich im gesamten Dokument kein Name des Verfassers. Ich persönlich würde meinen Namen auch nicht in so einem Schrieb wiederfinden wollen.

Gruß,
Jörg
FalcoK
FalcoK 14.12.2016 um 11:34:48 Uhr
Goto Top
Naja, weißt du denn was nach dem Login passiert? Wir haben sowas ähnliches im Einsatz, fordern den Kunden aber dazu auf das Passwort dann zu ändern. Dadurch haben dann auch letztendlich wir nicht mehr das Kennwort im Klartext.

Grüße
FalcoK
StefanKittel
StefanKittel 14.12.2016 um 12:38:12 Uhr
Goto Top
Zitat von @FalcoK:
Naja, weißt du denn was nach dem Login passiert? Wir haben sowas ähnliches im Einsatz, fordern den Kunden aber dazu auf das Passwort dann zu ändern. Dadurch haben dann auch letztendlich wir nicht mehr das Kennwort im Klartext.

Hallo,

der Kunde kann das Kennwort im Backend nicht selber ändern.
Das kann nur der Anbieter der es einem dann im Klartext als Mail schickt.

Auch ist das Kennwort in jeder Mail deren Software beim Kunden an deren Server im Internet unverschlüsselt enthalten.

Aber:
Der Anbieter hat mich nach meiner Kritik zurückgerufen.
Die stellen deren System seit einiger Zeit auf ein Token-basiertes System.
Die Mail mit dem Kennwort ging nur an die Nachzügler von denen Erfahrungsmäßig nur wenige ihr Kennwort noch kennen.

Naja, ich kanns nachvollziehen, aber nicht gutheißen.
Immerhin bewegen die sich überhaupt.

Viele Grüße

Stefan
FalcoK
FalcoK 14.12.2016 um 15:21:09 Uhr
Goto Top
Das die Kunden das Kennwort nicht ändern können, ist ja der Kracher... Da springen die Datenschutzbeauftragten bestimmt im Dreieck :P