SchwachstellenDatenschutzHackerangriffe

38 kritische Schwachstellen in OpenEMR entdeckt – Millionen Patientendaten gefährdet

Von CyberDeutsch Redaktion
38 kritische Schwachstellen in OpenEMR entdeckt – Millionen Patientendaten gefährdet
Zusammenfassung

In der elektronischen Patientenverwaltungssoftware OpenEMR wurden kürzlich 38 kritische und mittelschwere Sicherheitslücken entdeckt, die das medizinische System weltweit betreffen. OpenEMR wird von über 100.000 Gesundheitsdienstleistern verwendet und speichert Daten von mehr als 200 Millionen Patienten. Das Sicherheitsunternehmen Aisle identifizierte die Schwachstellen, darunter besonders gefährliche SQL-Injection-Anfälligkeit und Autorisierungsmängel, die es Angreifern ermöglichen könnten, sensible Patientendaten zu stehlen, zu manipulieren oder sogar Fernzugriff auf Server zu erlangen. Während der Entwickler und Aisle alle Lücken bereits gepatcht haben, unterstreicht der Fund die anhaltende Anfälligkeit von Gesundheitssystemen. Für deutsche Krankenhäuser, Arztpraxen und Behörden ist dies von großer Bedeutung, da auch hierzulande OpenEMR eingesetzt wird. Die Entdeckung zeigt, wie kritisch es ist, Gesundheitsinformationssysteme zeitnah zu aktualisieren, um den Schutz persönlicher und medizinischer Daten zu gewährleisten. Organisationen sollten umgehend überprüfen, ob sie OpenEMR nutzen, und Sicherheitsupdates prioritär einspielen.

OpenEMR ist ein weltweit etabliertes System für elektronische Patientenakten und gilt als einer der am häufigsten eingesetzten Open-Source-Lösungen im Gesundheitswesen. Die Aisle-Sicherheitsanalyse offenbarte ein besorgniserregendes Sicherheitspanorama: Insgesamt wurden 39 Schwachstellen identifiziert, von denen 38 CVE-Nummern erhalten haben.

Die schwerwiegendsten Probleme entstanden durch fehlende oder falsch implementierte Autorisierungsmechanismen. Hinzu kamen klassische Webanwendungs-Anfälligkeit wie Cross-Site-Scripting (XSS), SQL-Injection, Path-Traversal und Session-Ablauf-Fehler. Laut Aisle könnten SQL-Injection-Verwundbarkeiten in Kombination mit unzureichenden Datenbankzugriffsprivilegien zu einer vollständigen Datenbankbeschädigung, massiver Exfiltration von geschützten Patienteninformationen (PHI) und Remote Code Execution auf den Servern führen.

Besonders kritisch sind drei Schwachstellen, die direkten Zugriff auf Patientendaten ermöglichen: Die CVE-2026-24908 und CVE-2026-23627 sind SQL-Injection-Fehler, die authentifizierten Angreifern erlauben, Datenbanken zu kompromittieren, Daten zu exfiltrieren, Anmeldeinformationen zu stehlen und beliebigen Code auszuführen. Eine dritte Lücke (CVE-2026-24487) wird als Autorisierungs-Bypass klassifiziert.

Obwohl über 200 OpenEMR-Schwachstellen in den vergangenen zehn Jahren katalogisiert wurden, gibt es nach Aisle-Angaben keine öffentlichen Berichte über tatsächliche Wildcard-Exploits. Das könnte daran liegen, dass viele OpenEMR-Installationen durch Firewalls geschützt oder regelmäßig aktualisiert werden. Gesundheitsorganisationen werden häufiger über breitere Angriffsvektoren als über anwendungsspezifische Flaws kompromittiert.

Für deutsche Betreiber ist entscheidend: Das Sicherheitsforschungs-Team arbeitete eng mit den OpenEMR-Entwicklern zusammen, und alle Schwachstellen wurden bereits gepatcht. Dennoch ist es essentiell, dass Krankenhäuser, Arztpraxen und Reha-Einrichtungen ihre Systeme unverzüglich aktualisieren. Der Schutz von Patientendaten ist nicht nur eine Frage der IT-Sicherheit, sondern auch der gesetzlichen Compliance – unbewältigte Sicherheitsverletzungen können zu erheblichen DSGVO-Bußgeldern führen.

Ähnliche Artikel