Security
Statements

mbits imaging GmbH

CVE-2021-4428 - Java log4j

Vom 13.12.2021

Betrifft die Sicherheitslücke in der Java Library log4j (vgl. BSI [1]). Nach Prüfung des Sachverhalts können wir Ihnen mitteilen, dass von dieser Schwachstelle keine Bedrohung für Ihre mRay Installation ausgeht. Java kommt bei mRay nur serverseitig zum Einsatz und auch nur, wenn eine HL7 Schnittstelle als Plugin konfiguriert ist. Diese Schnittstelle wird meist im Zusammenhang mit unserer Fotodokumentation oder der Befunderstellung eingerichtet. Die von uns dort verwendete log4j Version ist nicht von der Sicherheitslücke betroffen. Betroffen sind laut BSI alle log4j Versionen >=2.0 und =<2.14.1. Dennoch werden wir mit einem zukünftigen Update auf die neueste log4j Version aktualisieren. Darüber werden wir Sie gesondert informieren. Aktuell sind also keine weiteren Maßnahmen zu treffen. Falls Sie weitere Fragen haben, sprechen Sie uns gerne an.

Vgl.: Meldung des Bundesamts für Sicherheit in der Informationstechnik (BSI) 

Wie mRay ihre Daten schützt in Zusammenhang mit dem Artikel “Millionenfach Patientendaten ungeschützt im Netz” (Bayerischer Rundfunk)

Vom 17.09.2019

Bezugnehmend auf den Artikel “Millionenfach Patientendaten ungeschützt im Netz” des Bayerischen Rundfunk [1] möchten wir Sie erneut darüber informieren, wie umfangreich “mRay” Ihre Daten schützt.

Bei den im Bericht erwähnten Lecks handelt es sich um ungeschützte PACS-Systeme über das Internet. Laut ARD Tagesschau sind diese Pannen beim Import von CDs oder durch Fehlkonfigurationen der datenführenden Rechner zustande gekommen [2].

Unsere Anwendung mRay bietet einen vielfältigen Schutz, so dass solche Pannen nicht vorkommen können. Bilder, die über die mRay App heruntergeladen werden, werden in einem proprietären Format gespeichert und enthalten nur die für die Darstellung notwendigen Informationen. Es besteht keine Möglichkeit in der App, Zugriff auf die ursprünglichen DICOM Dateien zu erhalten. Auch die Übertragung dieses proprietären Datenformats erfolgt über eine AES-256-Bit verschlüsselte Verbindung. Der Zugriff auf die Daten wird hierbei über eine passwortgeschützte Authentifizierung und ein Berechtigungsmanagement geregelt.

DICOM-Daten werden nur auf dem entsprechenden Klinik-Server, auf dem mRay läuft, zwischengespeichert, damit diese in das proprietäre Format umgewandelt werden können. Die Speicherung erfolgt zu keinem Zeitpunkt über einen Cloud-Dienstleister, die Datenhoheit bleibt bei Ihnen. Diese Zwischenspeicherung erfolgt auch wieder über eine Verschlüsselung. Da es sich bei mRay nicht um ein PACS bzw. Datenarchiv handelt, werden die Daten nur für eine voreingestellte Zeit auf dem Server vorgehalten (Standardeinstellung: 2 Tage). Analog verhält sich dies auf den Endgeräten (Standardeinstellung: 8 Stunden).

Nach dem empfohlenen Szenario sind alle mRay Server im Klinik-internen Netzwerk platziert und nicht in der DMZ, sodass ein direkter Zugriff von außen nicht möglich ist. Dabei agiert das Gateway in der DMZ nur als Datenvermittler, welches den verschlüsselten Datenverkehr weiterleitet und entsprechend als Bindeglied zwischen der mRay App und des mRay Servers dient. Es werden keine Daten in der DMZ gespeichert. Nach stichprobenartiger Analyse von Kundenservern konnte des Weiteren auch kein unüblicher Datenverkehr oder seltsame Verhaltensmuster beobachtet werden.

Die Sicherheitsarchitektur der mRay Anwendung ist eine fortlaufend getestete Schlüsselkomponente der Software, damit Datenlecks wie die im Artikel genannten in Zukunft der Vergangenheit angehören. Mehr Informationen über das Sicherheitskonzept von mRay und die Handhabung des Datenschutzes finden Sie in den beigefügten Infoblättern.

Wir bedanken uns bei Ihnen und stehen für weitere Fragen gerne zur Verfügung.

[1] https://www.br.de/nachrichten/deutschland-welt

[2] https://www.tagesschau.de/investigativ/br-recherche/patientendaten-leck-suche-101.html

DE

Vielen Dank für Ihre Anmeldung

In Kürze erhalten Sie eine E-Mail, mit der Sie das Abonnement unseres Newsletters bestätigen können.