Nutzer aus der Ärzteschaft, die auf die IFAP-Arzneimitteldatenbank zugreifen, sehen sich seit Ende 2021 vor dem Problem, dass deren Daten nicht aktualisiert werden können und die betreffende Funktionalität zur Zeit abgeschaltet ist. Auf der Seite des Anbieters findet sich nur der Hinweis, dass der ifap webSERVICE deaktiviert und die Bereitstellung von ifap systemDATEN unterbrochen wurde. Diese Maßnahme erfolge aus Sicherheitsgründen Aufgrund eines Angriffs auf die Systeme, heißt es. Hier einige Informationen. Ergänzung: Zum 4. Februar 2022 scheint ifap die Aktualisierung der IFAP-Arzenimitteldatenbank wieder aufgenommen zu haben.
Anzeige
Leserhinweis auf die IFAP-Arzneimitteldatenbank
Es war eine Mail mit dem Betreff Angriff auf IFAP-Arzneimitteldatenbank und Daten können nicht aktualisiert werden, die mich heute Morgen von Hans-Peter S. erreichte (danke für den Hinweis). Der Blog-Leser schrieb mir:
Guten Morgen Herr Born,
als niedergelassener Arzt verwende ich wie viele andere die Arzneimitteldatenbank von IFAP (ifap.de). Man kann dort Namen von Medikamenten eingeben und Informationen zu Inhaltsstoffen, Preisen, Packungsgrößen, etc., dazu abrufen. Eigentlich kommt alle zwei Wochen ein Update und ich wunderte mich, dass Anfang Januar 2022 kein Update kam, dachte zunächst, es hänge mit dem Jahreswechsel zusammen. Doch dann fand ich folgende Meldung:
Information zum ifap webSERVICE und zu den ifap systemDATEN
Aufgrund eines Angriffs auf unsere Systeme haben wir aus Sicherheitsgründen den ifap webSERVICE deaktiviert und die Bereitstellung von ifap systemDATEN unterbrochen. Derzeit haben wir keine Anzeichen dafür, dass der Angriff Auswirkungen auf Kundensysteme oder Kundendaten hat. Alle Änderungen in den Arzneimitteldatenbanken werden in der Zwischenzeit gesammelt, aufbereitet und in der zweiten Januarhälfte bereitgestellt.
Aktualisierte Informationen über die Verfügbarkeit des ifap webSERVICEs und der ifap systemDATEN werden wir hier veröffentlichen. Wir bedauern die entstandenen Unannehmlichkeiten.
Ich selbst verwende nur die APP für mein Android-Smartphone, da ich nur sehr wenig verordne. Es gibt aber auch IFAP-Integrationen in die Praxisverwaltungsprogramme von Arztpraxen, wo dann auch die Mengen der Verordnungen und Indikationen überwacht werden, um Arzneimittel-Regresse zu vermeiden.
Sicherlich handelt es sich nicht um einen Angriff von nationaler Tragweite. Andererseits sind fast alle Arztpraxen indirekt betroffen, da dass Programm weit verbreitet ist.
Mir wurde beim Lesen noch einmal klar, dass erfolgreiche Angriffe auf [auf Medizindienstleister] keine Seltenheit ist.
Der Hinweis, dass erfolgreiche Angriffe auf Medizindienstleister keine Seltenheit sind, ließ mich doch etwas schmunzeln. Ich könnte hier im Blog eigentlich täglich mindestens einen Beitrag zu erfolgreichen Cyber-Angriffen auf Medizindienstleister oder Kliniken, speziell in den USA, berichten, greife inzwischen aber nur noch ausgesuchte Fälle auf.
Schockwellen des CGM-Angriffs?
In einer Nachtragsmail schrieb mir der Blog-Leser noch, dass er nicht allzu viel über den Angriff herausbekommen habe. Ihm war der Sachverhalt (wie oben angedeutet) ja nur aufgefallen, weil die Updates der Medikamentendatenbank Anfang Januar 2022 nicht vorlagen. Beim Nachschauen stieß der Leser auf der Webseite des Anbieters auf den Hinweis zum Cyber-Angriff. Für mich war aber die nachfolgende Bemerkung des Lesers das Puzzle-Teil, welches das Bild vervollständigte.
IFAP gehört mit seiner Arzneimitteldatenbank zur CompuGroupMedial, CGM und ist Markführer, der auch bei Praxisverwaltungsprogrammen gegen Entgelt integriert werden kann. Die Praxisinhaber gewinnen durch die Datenbanken einen Überblick über die Verordnungen in Hinblick auf Regressschutz (wenn die Krankenkassen meinen, man habe zu viel verordnet und Geld zurück wollen) oder über Wechselwirkungen von Medikamenten.
Beim Stichwort CGM klingelte sofort etwas. Die ifap (Service-Institut für Ärzte und Apotheker) fungiert zwar als GmbH mit Sitz in Martinsried beim München. Aber die ifap gehört zur in Koblenz angesiedelten CompuGroup Medical SE & Co. KGaA, ein großer Medizindienstleister, der Anwendungssoftware zur Unterstützung ärztlicher und organisatorischer Tätigkeiten in Arztpraxen, Apotheken, medizinischen Laboratorien und Krankenhäusern entwickelt.
Die CompuGroup Medical SE & Co. KGaA wurde um den 20. Dezember 2021 Opfer eines LockBit-Ransomware-Angriffs auf die internen IT-Systeme (siehe mein Blog-Beitrag Cyberangriffe auf CompuGroup Medical SE & Co. KGaA). Im Beitrag schrieb ich in einer Ergänzung, dass auch das CGM Systemhaus betroffen sei, was wohl Anwender von Praxis-Software wie CGM MEDISTAR oder CGM TURBOMED tangierte. Der Cyber-Vorfall zieht also Kreise in allen Produkten und Dienstleistungen, die zur CompuGroup Medical SE & Co. KGaA gehören.
Der Blog-Leser schrieb noch: Für mich, der die Arzneimitteldatenbank nur über sein Mobiltelefon verwendet besteht eher kein Sicherheitsproblem. Ich frage mich, ob man als Angreifer nicht über die Datenbank ein Schadprogramm auf die Praxisrechner, analog einem Lieferkettenangriff, schicken kann?
Zu dieser Überlegung kann ich ad hoc nichts sagen, da ich nicht weiß, wie der Datenaustausch zwischen den Praxisprogrammen und der IT der CompuGroup Medical SE & Co. KGaA konkret abläuft. Dass Schadfunktionen in Datenbanken (per SQL-Inject) integriert werden können, ist aber aus anderen Bereichen bekannt.
Zieht man aber die bisherigen Informationen zusammen, dürfte die Software der ifap Service-Institut für Ärzte und Apotheker GmbH mit der internen IT der CompuGroup Medical SE & Co. KGaA zumindest in Verbindung stehen. Wenn nun die betreffenden ifap-Dienste im Web aus Sicherheitsgründen abgeschaltet wurden, schließe ich daraus, dass die Sicherheitsbeauftragten der CompuGroup Medical SE & Co. KGaA IT-Abteilung zumindest diese Gefahr nicht ausschließen können, dass Schadfunktionen über solche Schnittstellen verbreitet (oder Informationen abgezogen) werden können. Vielleicht gibt es ja Blog-Leser, die über mehr Wissen zu Interna verfügen und da ggf. einen Hinweis geben können.
Anzeige
Ergänzungen: Blog-Leser Gunter H. hat mir per Mail noch folgende Informationen zukommen lassen, die ich ganz interessant fand (er hat bis Mitte letzten Jahre die EDV in einer Hausarztpraxis betreut). Er schrieb mir folgende Bemerkungen:
- Die Verwendung einer zugelassenen Arzneimitteldatenbank, wie IFAP, ist vorgeschrieben, ohne selbige darf das Arztinformationssystem (AIS) gar nicht betrieben werden.
- Die periodische Aktualisierung ist Pflicht.
- Zur Erstellung eines Medikamentenplanes müssen die Angaben zwingend dieser Datenbank entnommen werden.
- IFAP ist ein eigenständiges Programm, welches bei Bedarf aus dem AIS heraus aufgerufen wird.
- Ob es möglich ist, hier per Update Schadcode zu übertragen kann ich nicht beurteilen.
Von Gunter kam dann auch der Link auf diese Forendiskussion (Forum für Ärzte). Da schlagen mir Begriffe wie eine SQL-Datenbank und eine JAVA-Engine (moco) entgegen – aber auch Hinweise, wie man trotzdem Updates bekommen könnte.
Ich sage es mal so: Früher habe ich Horror-Romane gelesen, heute tauche ich in Foren ein – da sind die Schocking-Momente deutlich häufiger zu finden ;-).
Ergänzung: Zum 4. Februar 2022 scheint die ifap die Aktualisierung der IFAP-Arzenimitteldatenbank wieder aufgenommen zu haben. Blog-Leser Hans-Peter hat mich per Mail informiert:
Es geschehen Zeichen und Wunder. Heute Abend (Sonntag, 06. Februar) wurde die neue Arzneimitteldatenbank von IFAP (CGM-Tochter) mit Stand vom 04.02.2022 auf die App aufgespielt.
Die letzten Versionen von Ende Dezember 2021 und Mitte Januar 2022 wurden ausgesetzt.
Es hat also über einen Monat gedauert, bis die Arzneimitteldatenbank wiederhergestellt wurde.
Damoklesschwert Cyber-Sicherheit im Medizinbereich
Für Ärzte und Ärztinnen oder die Apothekerschaft ist es aber auf jeden Fall unschön, dass die Funktion momentan nicht verfügbar ist. Der Vorfall zeigt aber erneut exemplarisch, auf welch dünnem Eis die ganze Medizinbranche momentan wandelt. Und dann will man mit aller Macht die Digitalisierung in den Praxen vorantreiben.
Gerade hatte ich im Blog-Beitrag Elektronische Patientenakte (ePA 2.0) als Sicherheitsrisiko? einen Aspekt dieser Digitalisierungsvorhaben in Bezug auf Sicherheitsrisiken beleuchtet. Als ich gelesen habe, welche Dateiarten in einer elektronischen Patientenakte gespeichert und dann von Nutzern sowie Praxen abgerufen werden können, klingelten alle Alarmglocken.
Mir wird unter dem Gesichtspunkt da ganz anders, wenn ich mir die Vorstellungen der gematik, die das Ganze implementiert anschaue und dann überlege, wie die armen Leute in den Arztpraxen das handhaben sollen. Die hängen doch latent mit einem Bein im Bereich "der nächste Sicherheitsvorfall".
heise zitiert hier den Rechtsanwalt Dirk Wachendorf, der die ePA auf dem jüngsten Kongress der Freien Ärzteschaft als "haftungstechnisch durch und durch vergiftetes Angebot" bezeichnet. Der Rechtsanwalt empfahl den versammelten Ärzten neben der Berufshaftpflicht-Police auch den Abschluss einer "Cyberrisk-Versicherung". Und die Vernetzung der Praxissoftware mit Diensten diverser Anbieter dürfte auch nicht immer unkritisch sein. Klingt für mich alles nach einem sicherheitstechnischen Alptraum, der einfach nicht enden will – von vielen Nutzern bzw. Nutzerinnen aber irgendwie noch nicht wirklich wahrgenommen worden ist.
Inzwischen mehren sich auch die Fälle von Cyberangriffen auf das Gesundheitswesen. In den USA, wo der "Fortschritt ja weiter ist", sind fast täglich Cyberangriffe auf Medizindienstleister, Kliniken oder Krankenversicherungen zu vermelden. Dabei fallen den Angreifern persönliche Daten der Patienten in die Hände – und die Kliniken bzw. Ärzte sind teilweise über Wochen nicht einsatzfähig. In Deutschland hat es inzwischen mehrere Gemeinschaftspraxen mit Datenschutzvorfällen getroffen – und es wurden auch Kliniken durch Cyberangriffe lahm gelegt. Die nachfolgende Liste an verlinkten Blog-Beiträgen zeigt einen kleinen Ausschnitt an Cyberangriffen der letzten Zeit.
Ähnliche Artikel:
Cyberangriffe auf CompuGroup Medical SE & Co. KGaA
Ransomware-Angriff auf Arztdienstleister medatixx
Insides zu Irlands Health Service Executive Ransomware-Fall im Mai 2021
Aua: Pluszahnärzte von Cyberangriff betroffen (Dez. 2021)
Klinikum Wolfenbüttel Opfer eines Ransomware-Angriffs (Juli 2021)
Gesundheitswesens: Einrichtungen Hauptziel von Ransomware-Angriffen
BSI-Studie: Sicherheitslücken bei Medizinprodukten (2020)
Cyber-Angriff mit Ransomware auf US-Klinikbetreiber UHS
Ransomware-Befall in Uniklinik Düsseldorf nicht für Todesfall verantwortlich
BSI zu Sicherheit im Medizinbereich und in der Verwaltung
Datenschutzvorfall bei Wepa, Kundendaten von Tausenden Apotheken verschickt
2015
Muss überhaupt Schadsoftware übertragen werden damit es gefährlich ist?
Ich bin kein Arzt, aber wenn die gelieferten Daten plötzlich Kreuzwirkungen nicht mehr enthalten stelle ich mir das schnell problematisch für die Gesundheit von Menschen vor.
Vielleicht verstehe ich die Services aber auch falsch? Vielleicht kann der Tippgeber dazu mehr sagen?
Die letzte IFAP-Datenbank ist auf den 15. Dezember 2021 datiert, also rund drei Wochen alt. Da die Datenbank sich auf meinem Mobiltelefon bzw. in den Arztpraxen auf den jeweiligen Praxisrechnern befindet, halten sich die Auswirkungen in Grenzen; die Arzneimitteldaten in der Datei sind auch korrekt. Auch kennt man als Arzt die Medikamente, die man häufig verordnet, so dass die Patienten nicht gefährdet sind. IFAP geht davon aus, dass man in der zweiten Januarhälfte 2022 eine aktualisierte Version der Datenbank ausliefern kann. Eine solche Verzögerung wird keine substanziellen Auswirkungen in der Patientenversorgung haben.
Mich irritierte eher, dass innerhalb von wenigen Tagen ein zweiter erfolgreicher Angriff in einer Firmengruppe, erst CompuGroupMedical und dann IFAP, zu verzeichnen, ist.
Eine Erhöhung des Sicherheitsniveaus wäre aus meiner Sicht wünschenswert.
>> Mich irritierte eher, dass innerhalb von wenigen Tagen
>> ein zweiter erfolgreicher Angriff in einer Firmengruppe,
>> erst CompuGroupMedical und dann IFAP, zu verzeichnen
>> ist.
Ist zwar etwas länger her (November 2021), aber bitte Medatixx in diesem Zusammenhang nicht vergessen:
https://www.borncity.com/blog/2021/11/08/ransomware-angriff-auf-arztdienstleister-medatixx/
EDIT: nicht gesehen, Herr Born hatte den Link schon gepostet.
Borncity – the city that never sleeps ;o)
Ich habe nicht auf Hans-Peter geantwortet – aber der Angriff auf CompuGroupMedical und IFAP dürften zusammen hängen – steht auch so im Text – obwohl ich keine harten Belege habe. Möglicherweise meldet sich ja noch ein Insider bei mir, der das bestätigen oder negieren kann. Solche Beiträge fungieren ja gerne auch als Honeypot für weitere Erkenntnisse ;-).