See-Spital bestreitet Sicherheitsproblem

Für ein Spital sind es schlechte Nachrichten: Beim See-Spital Horgen sei es monatelang möglich gewesen, die E-Mails und Adressbücher sämtlicher Mitarbeiter einzusehen - inklusive jener der Ärzte. Das schreibt die Konsumentenzeitschrift K-Tipp in ihrer neusten Nummer.

Auf den mangelhaften Schutz gekommen sind IT-Experten, die im Auftrag des K-Tipp versucht hatten, über das Internet in die Computer von 4400 Schweizer Institutionen und Unternehmen einzudringen. Nur acht waren ungenügend geschützt. Unter diesen acht befindet sich aber ausgerechnet das See-Spital.

Zugänglich waren offenbar auch E-Mails mit persönlichen Gesundheitsdaten von Patienten. Und es sei sogar möglich gewesen, E-Mails im Namen eines beliebigen Arztes zu verschicken.

Von Medinside darauf angesprochen, sagt Frank Engelhaupt, Sprecher des See-Spitals: «Die Vorwürfe zur mangelhaften Informationssicherheit sind für das See-Spital nicht nachvollziehbar.»

Er erläutert: «Wir, wie auch unsere externen Spezialisten, haben keine Indizien, die auf eine Ausnutzung möglicher Schwachstellen, unbefugten Zugriff auf sensitive Daten oder kriminelle Handlungen hinweisen.»

Doch das Konsumentenmagazin hält an seinen Vorwürfen fest. «Wir haben natürlich Screenshots als Beweis, dass die Lücke nicht gestopft war», sagt der Autor Christian Birmele gegenüber Medinside.

Das sei mehr als fahrlässig. Es sei kein Wunder, dass weltweit IT-Fachstellen wie beispielsweise das nationale Zentrum für Cybersicherheit (NCSC) oder das deutsche Bundesamt für Sicherheit in der Informationstechnik seit Monaten vor der Lücke warnen.

«Sie erlaubt nämlich nicht nur umfassenden Zugriff, sondern ist auch äusserst einfach auszunutzen. Es sind keine Fachkenntnisse erforderlich. Entsprechende Anleitungen und sogar vollautomatisierte Programme zum Angriff von tausenden Servern in Serie sind seit August 2021 im Internet erhältlich.»