Server mit Patientendaten als Gameserver genutzt

Bisher unbekannte virtuelle Eindringlinge haben einen Webserver übernommen, auf dem persönliche Informationen von über 230.000 US-Bürgern gespeichert waren. Dieser Server sollte offenbar als Gameserver genutzt werden, schreibt 'The Register'. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++5 --1

Die Sucht kennt wohl keine Grenzen.

[re:1] am ++41 --4

@kadda67: der eigentliche Skandal hier sind nicht die Gamer aus Skandinavien sondern die IT-Abteilung des Krankenhauses, die einen Server mit höchst sensiblen Daten ans Internet gehängt haben. Unverantwortlich!

[re:1] am ++11 --4

@Cipher: Es ist immer wieder unglaublich, wieso Patienten Server ans Internet angeschlossen werden müssen...

[re:1] am ++5 --6

@XMenMatrix: Immer wieder... von wievielen Fällen weisst Du denn? -.-

[re:2] am ++5 --1

@XMenMatrix: vermutlich, dass andere krankenhäuser darauf zugreifen können?

[re:1] am ++3 --

@S.a.R.S.: Dann hängst du die kisten aber nicht ans Internet sondern an ein VPN Gateway mit entsprechenden Firewall's und Routing begrenzungen.

Bearbeitet am 16.01.11 um 14:55 Uhr.

[re:2] am ++1 --1

@-Revolution-: Das ist wie bei einer Bank mit nem fetten Tresor. Du brauchst nur genügend Zeit und Gedult, dann kommst du da auch rein. Und ein VPN hängt auch am Internet! Ist ja nicht so, als würde es dann eine separate leitung geben, die kein anderer Benutzt.

[re:3] am ++1 --

@S.a.R.S.: Unterlagen können auch auf die klassische Methode angefordert werden. Für viele Unterlagen benötigt man in Deutschland im übrigen auch eine schriftliche Einverständniserklärung des Patienten.

[re:4] am ++--

@S.a.R.S.: Da hängst du aber nicht die Server auf denen sich die Daten befinden ins Internet. Du hängst die in ein VPN, WAN,... Zudem stellt man auch alles hinter eine Firewall, Frontend / Backend DMZs,...

[re:3] am ++--

@XMenMatrix: Nunja es es kommt auf finanzielle mittel an , aber mindestens ein Server ist hinter einem Router ansich immer ans Internet angeschlossen in einer medizinischen einrichtung.
Labordatenübertragung als stichwort oder in de auch zur kassenabrechnung oder wie in dem Falle Radiologiebilder.
Der Patient bekommt zwar wenn man mag die Bilder auf Papier oder gegen einen kleinen obolus auch auf CD aber es geht immer weiter auf vernetzung hin.

[re:2] am ++15 --4

@Cipher: Es ist eine Radiologie-Praxis und kein Pentagonserver. Nicht jeder hat die finanziellen Mittel, eine IT Crew einzustellen die ncihts anders Tut als Netzwerkangriffe abzuwehren. Und die Server Online an ein Ärztenetzwerk anzuschließen ist durchaus sinnvoll und nachvollziebar. So können die Röntgendaten vom Hausarzt umgehend eingesehen werden. Der Postweg bzw. der unsichere Weg über den Patienten wird eingespart. Der Skandal ist also nicht, dass der Server online war, sondern das es Menschen gibt, die keinen Respekt und Achtung vor dem Eigentum anderer haben. Andere Server Hacken nur für ein dämliches Ballerspiel?? Wenn es wenigstens etwas sinnvolles gewesen wäre...

[re:1] am ++3 --

@Blondi: Gerade medizinische Einrichtungen sollten nicht bei der IT-Sicherheit sparen. Das ist keine Entschuldigung. Es gibt wohl kaum sensiblere Daten als medizinische Akten. Wer mit solch wichtigen Daten umgeht, der sollte einen gewissen Datenschutz gewährleisten können.

Bearbeitet am 16.01.11 um 15:35 Uhr.

[re:1] am ++2 --

@web189: Während meiner Zeit im Krankenhaus liefen in der IT-Abteilung ein Euro Jobber rum. Klingt seltsam, ist aber so.

[re:2] am ++2 --3

@Blondi: "dämliches Ballerspiel" (+) :D

[re:3] am ++2 --

@Blondi: Und weil es nur eine Praxis war, bedeutet es nicht dass man mit den Daten schludern darf. Solche Server müssen nun mal abgesichert sein.
Der Postweg ist auch nicht so unsicher. Daten können per Post/Kurier als CD versendet werden.

[re:4] am ++2 --

@Blondi: Das darf aber keine Entschuldigung für dumm Str0 zur Verfügung stellen sein. Betreiber haften für ihre Server! Die Betreiber dieser Radiologie Praxis gehören vor Gericht gestellt. Da hätte ja sonst was passieren können. Das lediglich ein paar Zocker-Kids den Server als Game Server genutzt haben, ist ja noch so ziemlich das harmloseste, was da passieren konnte.

[re:5] am ++2 --

@Blondi: "Es ist eine Radiologie-Praxis und kein Pentagonserver." - Diesen Satz darfst du noch einmal für dich selbst wiederholen, wenn deine Röntgenbilder irgendwann aus eben solchen skurrilen Gründen bei deinem zukünftigen Arbeitgeber oder deiner zukünftigen Krankenkasse landen und du deswegen weder einen Job noch eine Versicherung erhälst.
Patientendaten unterliegen in Deutschland nicht umsonst der höchsten Sicherheitsstufe. Und wenn es Krankenhäuser gibt, die solche Daten untereinander austauschen wollen, dann wird das ausschließlich über gesicherte VPN-Verbindungen gemacht oder eben per Post.
So einen Server einfach ans Internet zu hängen ist grob fahrlässig. Und die IT Crew hatte verdammt viel Glück, dass die Angreifer es nicht auf die Daten abgesehen hatten. Krankenhäuser oder auch Radiologie-Praxen haben nebenbei genug Geld um für ausreichende IT Sicherheit zu sorgen.

[re:1] am ++--1

@Cipher: Der Satz spielte auf die Finanzmittel an. Das kam auch weiter hinten im Satz zum tragen. Es handelt sich ja hier um eine Praxis und kein Krankenhaus. Woher nimmst du dir diese Sicherheit, dass die "genügend" Geld haben? Natürlich ist es nicht gut, dass die Daten zugänglich waren, aber zu glauben, das die IT-Verantwortlichen grobfahrlässig gehandelt haben ist auch nur hetzerei. Schlimm ist auch, dass es heute in der IT-Welt, wie es "boofh" so schön gesagt hat, als harmlos gilt, einen Server fürs Gaming zu übernehmen. Es ist einfach kriminell. OK, wir sind uns einig, das es schlimm ist, das die Daten zugänglich waren, aber es muss auch klar sein, egal wie stark man seine Daten Absichert, irgendwann gibt auch die stärkste Mauer nach. Also allein mit einer Firewall oder VPN ist es nicht getan. Lücken hat jedes System, wenn man nur die nötige Gedult aufbringt.

[re:2] am ++--

@Blondi: Und weil es "nur" eine Praxis geht darf die mit deinen Patientendaten schludern?
Wenn die Mittel zu einer ausreichenden Sicherung fehlen, sollte man so einen Server nicht mit der Außenwelt verbinden.

[re:3] am ++5 --1

@Cipher: Ja klar...wenn ich mein Auto in einer "schlechten" Gegend parke bin ich Schuld wenn dort eingebrochen wird und nicht die Einbrecher...was parke ich auch da wa...zu mal hier niemand weiß ob es nötig war das der Server am Netz hängt, eventuell greifen mehrere Kliniken auf die gleichen Daten zu?

Bearbeitet am 16.01.11 um 14:37 Uhr.

[re:1] am ++4 --

@I Luv Money: Wenn du dein Auto mit offenen Türen stehen lässt, dann ist es zumindest Fahrlässigkeit. In diesem Fall wurde auch noch eine fette Geldbörse zusammen mit dem Autoschlüssel auf dem Beifahrersitz liegen gelassen. Die Jungs waren nicht speziell hinter diesem Server her - jeder andere hätte es auch getan. Daraus kann man schließen, dass sie nicht viel Zeit investiert haben. Vermutlich wurde das System (und viele weitere) einfach auf die gängigsten Lücken getestet.

Bearbeitet am 16.01.11 um 15:32 Uhr.

[o2] am ++20 --1

"Radiologie-Praxis" und "Black Operations" passt doch Super. *g*

[re:1] am ++3 --19

@Sinday: Nein, eigentlich nicht.

[re:2] am ++2 --2

@Sinday: Sind das sind die Patienten, die in der Airport-Szene zu sehen sind?^^

[o3] am ++4 --2

Herrlich... im Zusammenhang mit einem CoD-Server die Hacker als "Angreifer" zu bezeichnen ist wirklich zum piepen. ;)

[re:1] am ++--

@Johnny Cache: Eigentlich schon du musst nur mal ein bischen weiter denken.

[o4] am ++5 --1

Keiner scheint auf die Idee zu kommen das die vermutlich nicht mal wussten was für Daten auf dem Server waren, bzw. sie sich nicht für diese Interessierten.

[re:1] am ++1 --1

@tacc: Aber es geht ja wohl nicht darum, was drauf war und ob die Täter es wussten. Nach der deutschen Rechtsprechung bedeutet das "Unwissenheit schützt vor Strafe nicht!" Ein Einbruch ist ein Einbruch und somit eine Straftat. Egal ob das nun ein Server einer Schule ist, wo die Matheklausuren abgelegt sind, ein Server mit Patientenakten oder ein militärischer Server. Ok der Server steht in den USA, aber auch dort gilt, ein Einbruch ist ein Einbrauch.

[re:1] am ++1 --1

@Blondi: Na klar gibt es da Unterschiede! Es ist nicht dass selbe ob ein Server gehackt wird um dessen Bandbreite zu nutzen, oder ob ein Server gehackt und Daten kopiert werden um sie zu mißbrauchen, zu verkaufen und ähnliches. Ist ja auch ein Unterschied ob du ein Auto klaust oder ob du es klaust um damit jemanden zu überfahren. Dass ersteres nicht nicht strafbar wäre hat tacc ja nicht behauptet. Übrigens ist ein Einbruch was ganz anderes als das Eindringen in ein Computersystem.

[re:1] am ++--

@lutschboy: Alo um auf dein Auto zurück zu kommen, es ist in erster Linie ein Diebstahl und somit das selbe. Wenn du das Auto danach benutzt um eine Bank auszurauebn oder jemanden über den haufen zu fahren, ist das schon eine Folgestraftat. tacc's Aussage ließ deuten, dass er das als Entschuldigung sieht, das sie es nicht wussten. Ich wollte nur damit klarstellen, dass es unerheblich ist, ob sie nun wussten das dort was sensiebles liegt oder nicht. Sie sind in ein Computernetzwerk eingedrungen und haben einen Server übernommen, der ihnen nicht gehört. Egal ob sie nun wussten ob er persönliche, vertrauliche Daten enthält oder nur Müll.

[re:1] am ++--

@Blondi: Genau. Sie sind in ein Computernetzwerk eingedrunken - aber sie haben vermutlich keine Daten kopiert. Genau das hat ja tacc unterstrichen. Das ist warum ich deinen Kommentar fehlamplatz fand - denn entschuldigt wird nichts, nur klargestellt. Ob auf dem PC jetzt hundert tausende Patientendaten sind oder nicht ist völlig nebensächlich, solang mit diesen nichts angestellt wurd. Genau das sagt tacc, sage ich, und sagst du :)

[re:2] am ++--

@lutschboy: Also darf ich bei dir einbrechen, zb. um kostenlos zu übernachten - solange ich nichts stehle? Gib mir mal deine Adresse!

[re:3] am ++--

@Gast87878: Ich habe klipp und klar geschrieben dass das Eindringen eine Straftat ist. Aber Datenklau ist wieder eine andere. Wenn du bei mir einbrichst und nicht klaust, dann kannst du auch nur wegen Einbruch verurteilt werden und nicht wegen Einbruch und Diebstahl. Jetzt klar?

Bearbeitet am 16.01.11 um 18:22 Uhr.

[re:2] am ++--

@Blondi: Diese alte Volksweisheit stimmt nur bedingt. http://www.lexexakt.de/glossar/unwissenheit.php

[re:2] am ++1 --1

@tacc: Ich denk schon dass allgemein davon ausgegangen wird. Es werden täglich wohl hundert tausende Server/Rechmer gehackt, nicht um Daten zu kommen sondern um einen Stro oder Server für alle Möglichen Zwecken einzurichten. Das passiert mit entsprechenden Tools sogar größtenteils automatisch, und die die solche Tools einsetzen wollen nur jederzeit viel Bandbreite oder Speicherplatz für alle möglichen Zwecke haben.

[o5] am ++11 --

und ich dachte immer, server werdne gehacked um
a) spam zu verschicken
b) warez zu tauschen

-- aber dass
c) Zockerkiddies schon server Kapern um sie als Game-Server zu nutzen halte ich echt für ne Überraschung

Bearbeitet am 16.01.11 um 13:39 Uhr.

[re:1] am ++--

@maxfragg: Das passiert im kleineren Stil (das Kapern von einfachen dedizierten Servern für die Nutzung als Gameserver) häufiger als du denkst :(.

[o6] am ++1 --1

unverantwortlich so etwas. die IT´s sollten alle gekündigt werden, wenn man die folgen bedenkt, die passiert sind und hätten noch passieren können

[re:1] am ++--2

@Asterix123: ich kenn die hintergründe nicht aber deine aussage ist sehr gewagt, hier soll eine unbekannte sicherheitslücke ausgenutzt worden sein...was sollte deren it deiner ansicht nach dagegen tun?

[o7] am ++11 --3

Die Jungs sind irgendwie sympathisch... Übernehmen einen äußerst senisiblen Server, aber nicht, weil sie die Daten wollten, sondern einfach nur, weil sie CoD zocken wollten :-D

Bearbeitet am 16.01.11 um 13:46 Uhr.

[re:1] am ++2 --1

@blackmedusa: Du hast aber ne ganz komische Ansicht von "sympathisch". Würdest du sie immer noch mögen, wenn es dein Arzt gewesen wäre?

[re:1] am ++6 --1

@XMenMatrix: "Humor ist, wenn man trotzdem lacht."

[re:2] am ++4 --4

@XMenMatrix: Es ist kein Unrechtsbewusstsein vorhanden bei WF wenn es um Hacker geht. Sie sind immer die guten!

[re:1] am ++1 --1

@I Luv Money: cracker

[re:2] am ++6 --

@I Luv Money: Naja, auf diese Weise wird wenigstens die schlampige Arbeit der IT-Abteilung öffentlich gemacht. Mir sind die Gamer lieber als Datenhändler und Betrüger.

[re:3] am ++--

@XMenMatrix: ich muss mich blackmedusa anschließen!!! GANZ EHRLICH?! wer kam zu schaden? das einzige was darunter gelitten hat war die Bandbreite sonst NICHTS...
die "hacker" ham sie verhalten wie schon die 10jährigen... sie ham nen platz zum spieln gebraucht und dann ham sie halt den ersten Fußballplatz genommen wo die tür offen stand EGAL ob die da rein durften oder nicht was sonst noch auf dem platz ist war ihnen egal hauptsache sie können spieln...
zeigt mal wieder wie harmlos gamer eig. sind ;)

[re:2] am ++1 --

@blackmedusa: frag mal leute aus den 80ern was sie auf den VAX-Rechnern der Nasa wollten, die haben auch keine Daten geklaut, sondern wollten nur "spielen" ;-)

[re:3] am ++--2

@blackmedusa: Was Du wohl sagen würdest, wenn jemand bei Dir einbräche um in Deiner Wohnung ne Party zu feiern, und wenn Du den herumliegenden Müll, den leeren Kühlschrank und die übergelaufene Badewanne entdeckst, und Dir Sorgen machst, ob die Partyeinbrecher vielleicht auch auf der Festplatte Deines Computers und in Deinem Aktenschrank rumgewühlt haben könnten, Dir nur Sprüche wie "selbst schuld, was hat er auch ne Tür an seiner Wohnung" und "die Jungs sind mir sympathisch, die wollten nur feiern" anhören dürftest?

[re:1] am ++--

@FenFire: Klasse Vergleich, ich warte jetzt noch auf das Auto als Vergleichsobjekt.

[re:2] am ++--

@FenFire: ich les oben nichts von (vergleich) herumliegenden müll, nem leeren kühlschreank oder einer übergelaufenen badewanne... der einzige "müll" der vllt rumliegt sind daten vom Spiel aber uuuuh als könnte man des nicht sehr leicht und schnell entfernen... -.-
web189 hats genau richtig getroffen: "Mir sind die Gamer lieber als Datenhändler und Betrüger."

in dem fall wurde weng bandbreite "geklaut" und weng datenmüll hinterlassen aber nichts kaputt gemacht oder geklaut...

ich sag nicht das es ok ist was sie gemacht haben ABER lieber so auf sicherheitslücken hinweißen als durch datenhändler oder betrüger...! und ein wenig schmunzeln musste ich schon ;)

[o8] am ++--1

Der Server einer Radiologie-Praxis in New Hampshire hat Daten über 230.000 Bürger gespeichert? Ist das ein Witz? So viele Patienten haben die nie im Leben! Woher kommen die Daten wohl?

[re:1] am ++3 --

@Alter Sack: Sind wohl die Spieler Daten.

[re:2] am ++1 --

@Alter Sack: Es handelt sich um ein Radiology Lab bzw. Diagnostic Center, umliegende Arztpraxen, die nicht selbst über die notwendige technische Ausrüstung verfügen, werden ihre Patienten dort zur Untersuchung hinschicken. Daher vermutlich auch die hohe Anzahl an Patienten.

[re:3] am ++1 --

@Alter Sack: Warst du schon einmal bei einem Radiologen? Volles Wartezimmer ist Standard, dabei kommen die meisten Patienten nur alle paar Jahre mal vorbei. Das Gehalt ist für Mediziner mit eigener Praxis im traumhaften Bereich, zumal die eigentliche Arbeit eher eine saubere Geschichte ist, allerdings sind die notwendigen Geräte auch ziemlich teuer.
Mich würde wundern, wenn auf 200 000 mögliche Patienten in Deutschland mehr als 1-2 Radiologen kämen.

Bearbeitet am 16.01.11 um 15:42 Uhr.

[o9] am ++4 --

Ein gutes Beispiel dafür, was passiert wenn man alles in die Hände von unfähigen leuten legt. Dank SWIFT und Co lesen wir bald vllt das auch Server in den USA gehackt wurden wo unsere Überweisungsdaten drauf liegen. Dazu noch der nPA welcher sich gerade zu anbietet sämtliche Daten zu stehlen, da die Entwickler wohl null Plan dazu haben. Hauptsache man kämpft gegen Google und andere Unternehmen um das Sammeln von Daten nur noch den Regierungen zu überlassen

[10] am ++--

Man kann BlackOps schon auf einem eigenen Server aufsetzen?

[re:1] am ++--

@Julix: das verwirrt mich auch gerade etwas. Ich kann bei meinem BlackOps nur auf Servern spielen, die bei gameservers.com gemietet oder direkt von 3arc gehostet werden; damit halt keiner an die serverfiles kommt, um diese dann zu modifizieren.

[11] am ++4 --

Ich musste dabei ja spontan an diesen Werbespot denken:

http://www.youtube.com/watch?v=DmaYH1F6kho

Die deutsche Version hab ich leider nicht gefunden.

[re:1] am ++--

@pvenohr: musste schmunzeln :)

[12] am ++4 --

ip?

[14] am ++1 --

schon mal jemand dran gedacht das wahrscheinlich einer aus der IT Abteilung den Server da gehostet hat und als es aufgeflogen ist hat er es versucht mit nem Hackerangriff zu vertuschen?!
weil macht ja kaum sinn nen Server zu hacken und da nen Gameserver drauf laufen zu lassen da man 1. nicht wirklich die Leistung kontrollieren kann bezüglich Ping bzw. Lags 2. der Server jederzeit offline genommen werden kann

[15] am ++--3

Sehr schlecht recherchierte bzw. übersetzte News!! Es sollte kein Gameserver angeboten werden, sondern nur das Spiel "Call of Duty: Black Ops" zum DOWNLOAD.

Es gibt nichtmal einen frei verfügbaren Dedicated Server für Black OPS!!

Zur Abwechslung bitte mal die QUELLE ordentlich lesen und richtig übersetzen!

[re:1] am ++1 --

@dosperado: "The unknown hackers used the server's bandwidth to play the the Call of Duty game, said Lisa MacKenzie..." So steht es in der verlinkten Quelle.

[re:1] am ++--1

@Urne: Das ist ja schön, aber es gibt Dedicated Server von Black Ops nur von verifizierten Activision-Partnern. Man kann KEINEN EIGENEN Black Ops Server aufsetzen.

[re:1] am ++--

@dosperado: Siehe WoW, das geht.

[re:2] am ++--

@dosperado: Schonmal was von Server-Emulatoren gehört?

[re:3] am ++--

@dosperado: Ich bin leider nicht wirklich auf dem Laufenden was Spiele betrifft. Mir ging es lediglich um den "Vorwurf", dass da was schlecht übersetzt ist. Das konnte ich so nicht nachvollziehen. :)

[16] am ++2 --

Vielleicht sollte man ein Quake Server bei der AOK eröffnen.

[re:1] am ++1 --

@Menschenhasser: :D

[17] am ++--

nett... die sind selber schuld..ein computer mit solchen daten hängt man nicht ans netz

[re:1] am ++3 --

@MxH: Wie kannst Du so etwas behaupten, ohne jegliche nähere Hintergrundinfo, zu welchem Zweck der Rechner ans Internet angeschlossen war? Ebensowenig ist in der Meldung des Register beschrieben, wie genau der Rechner abgesichert war. Das ist in etwa so, als stünde in einer News lediglich "Die Einbrecher knackten die Tür" und die Leute hier würden sich echauffieren, das Opfer sei ja selbst schuld, schliesslich hätte er sich ja eine Panzertür mit einem vernünftigen Schloss an seine Wohnung montieren sollen. Hier auf WF wird täglich vorgeführt wie einfach es ist, mit lückenhafter Information die Leute dazu zu bringen, sich in allerhand Thesen zu versteigen.

Bearbeitet am 17.01.11 um 08:11 Uhr.

[re:1] am ++--

@FenFire: sehr schön gesprochen!!!

[re:2] am ++--

@FenFire: Es geht darum was man auf den Server speichert.

[18] am ++--

Welcher depp nimmt nen server in den usa wenn er aus skandinavien kommt und spielen will, da hat man doch nen grotten ping LOL

[19] am ++--

super, COD4 - Map Crossfire, kommt ne omi im Rollstuhl von Marine-Spawn richting Spezi der Strasse heruntergerollt xD, was soll man als Angreifer dazu halten?! xD, auch nicht schlecht ;) ...