{"id":261233,"date":"2022-01-06T14:38:03","date_gmt":"2022-01-06T13:38:03","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=261233"},"modified":"2023-06-21T16:27:41","modified_gmt":"2023-06-21T14:27:41","slug":"cyber-angriff-zieht-ifap-arzneimitteldatenbank-in-mitleidenschaft","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/06\/cyber-angriff-zieht-ifap-arzneimitteldatenbank-in-mitleidenschaft\/","title":{"rendered":"Cyber-Angriff zieht IFAP-Arzneimitteldatenbank in Mitleidenschaft"},"content":{"rendered":"

\"SicherheitNutzer aus der \u00c4rzteschaft, die auf die IFAP-Arzneimitteldatenbank zugreifen, sehen sich seit Ende 2021 vor dem Problem, dass deren Daten nicht aktualisiert werden k\u00f6nnen und die betreffende Funktionalit\u00e4t zur Zeit abgeschaltet ist. Auf der Seite des Anbieters findet sich nur der Hinweis, dass der ifap webSERVICE deaktiviert und die Bereitstellung von ifap systemDATEN unterbrochen wurde. Diese Ma\u00dfnahme erfolge aus Sicherheitsgr\u00fcnden Aufgrund eines Angriffs auf die Systeme, hei\u00dft es. Hier einige Informationen. Erg\u00e4nzung:<\/strong> Zum 4. Februar 2022 scheint ifap die Aktualisierung der IFAP-Arzenimitteldatenbank wieder aufgenommen zu haben.<\/p>\n

<\/p>\n

Leserhinweis auf die IFAP-Arzneimitteldatenbank<\/h2>\n

\"\"Es war eine Mail mit dem Betreff Angriff auf IFAP-Arzneimitteldatenbank und Daten k\u00f6nnen nicht aktualisiert werden<\/em>, die mich heute Morgen von Hans-Peter S. erreichte (danke f\u00fcr den Hinweis). Der Blog-Leser schrieb mir:<\/p>\n

Guten Morgen Herr Born,<\/p>\n

als niedergelassener Arzt verwende ich wie viele andere die Arzneimitteldatenbank von IFAP (ifap.de<\/a>). Man kann dort Namen von Medikamenten eingeben und Informationen zu Inhaltsstoffen, Preisen, Packungsgr\u00f6\u00dfen, etc., dazu abrufen. Eigentlich kommt alle zwei Wochen ein Update und ich wunderte mich, dass Anfang Januar 2022 kein Update kam, dachte zun\u00e4chst, es h\u00e4nge mit dem Jahreswechsel zusammen. Doch dann fand ich folgende Meldung<\/a>:<\/p>\n

Information zum ifap webSERVICE und zu den ifap systemDATEN<\/strong><\/p>\n

Aufgrund eines Angriffs auf unsere Systeme haben wir aus Sicherheitsgr\u00fcnden den ifap webSERVICE deaktiviert und die Bereitstellung von ifap systemDATEN unterbrochen. Derzeit haben wir keine Anzeichen daf\u00fcr, dass der Angriff Auswirkungen auf Kundensysteme oder Kundendaten hat. Alle \u00c4nderungen in den Arzneimitteldatenbanken werden in der Zwischenzeit gesammelt, aufbereitet und in der zweiten Januarh\u00e4lfte bereitgestellt.<\/em><\/p>\n

Aktualisierte Informationen \u00fcber die Verf\u00fcgbarkeit des ifap webSERVICEs und der ifap systemDATEN werden wir hier ver\u00f6ffentlichen. Wir bedauern die entstandenen Unannehmlichkeiten.<\/em><\/p><\/blockquote>\n

Ich selbst verwende nur die APP f\u00fcr mein Android-Smartphone, da ich nur sehr wenig verordne. Es gibt aber auch IFAP-Integrationen in die Praxisverwaltungsprogramme von Arztpraxen, wo dann auch die Mengen der Verordnungen und Indikationen \u00fcberwacht werden, um Arzneimittel-Regresse zu vermeiden.<\/p>\n

Sicherlich handelt es sich nicht um einen Angriff von nationaler Tragweite. Andererseits sind fast alle Arztpraxen indirekt betroffen, da dass Programm weit verbreitet ist.<\/p>\n

Mir wurde beim Lesen noch einmal klar, dass erfolgreiche Angriffe auf [auf Medizindienstleister] keine Seltenheit ist.<\/p><\/blockquote>\n

Der Hinweis, dass erfolgreiche Angriffe auf Medizindienstleister keine Seltenheit sind, lie\u00df mich doch etwas schmunzeln. Ich k\u00f6nnte hier im Blog eigentlich t\u00e4glich mindestens einen Beitrag zu erfolgreichen Cyber-Angriffen auf Medizindienstleister oder Kliniken, speziell in den USA, berichten, greife inzwischen aber nur noch ausgesuchte F\u00e4lle auf.<\/p>\n

Schockwellen des CGM-Angriffs?<\/h2>\n

In einer Nachtragsmail schrieb mir der Blog-Leser noch, dass er nicht allzu viel \u00fcber den Angriff herausbekommen habe. Ihm war der Sachverhalt (wie oben angedeutet) ja nur aufgefallen, weil die Updates der Medikamentendatenbank Anfang Januar 2022 nicht vorlagen. Beim Nachschauen stie\u00df der Leser auf der Webseite des Anbieters auf den Hinweis zum Cyber-Angriff. F\u00fcr mich war aber die nachfolgende Bemerkung des Lesers das Puzzle-Teil, welches das Bild vervollst\u00e4ndigte.<\/p>\n

IFAP geh\u00f6rt mit seiner Arzneimitteldatenbank zur CompuGroupMedial, CGM und ist Markf\u00fchrer, der auch bei Praxisverwaltungsprogrammen gegen Entgelt integriert werden kann. Die Praxisinhaber gewinnen durch die Datenbanken einen \u00dcberblick \u00fcber die Verordnungen in Hinblick auf Regressschutz (wenn die Krankenkassen meinen, man habe zu viel verordnet und Geld zur\u00fcck wollen) oder \u00fcber Wechselwirkungen von Medikamenten.<\/p><\/blockquote>\n

Beim Stichwort CGM klingelte sofort etwas. Die ifap (Service-Institut f\u00fcr \u00c4rzte und Apotheker) fungiert zwar als GmbH mit Sitz in Martinsried beim M\u00fcnchen. Aber die ifap geh\u00f6rt zur in Koblenz angesiedelten CompuGroup Medical SE & Co. KGaA, ein gro\u00dfer Medizindienstleister, der Anwendungssoftware zur Unterst\u00fctzung \u00e4rztlicher und organisatorischer T\u00e4tigkeiten in Arztpraxen, Apotheken, medizinischen Laboratorien und Krankenh\u00e4usern entwickelt.<\/p>\n

Die CompuGroup Medical SE & Co. KGaA wurde um den 20. Dezember 2021 Opfer eines LockBit-Ransomware-Angriffs auf die internen IT-Systeme (siehe mein Blog-Beitrag Cyberangriffe auf CompuGroup Medical SE & Co. KGaA<\/a>). Im Beitrag schrieb ich in einer Erg\u00e4nzung, dass auch das CGM Systemhaus<\/a> betroffen sei, was wohl Anwender von Praxis-Software wie CGM MEDISTAR oder CGM TURBOMED tangierte. Der Cyber-Vorfall zieht also Kreise in allen Produkten und Dienstleistungen, die zur CompuGroup Medical SE & Co. KGaA geh\u00f6ren.<\/p>\n

Der Blog-Leser schrieb noch: F\u00fcr mich, der die Arzneimitteldatenbank nur \u00fcber sein Mobiltelefon verwendet besteht eher kein Sicherheitsproblem. Ich frage mich, ob man als Angreifer nicht \u00fcber die Datenbank ein Schadprogramm auf die Praxisrechner, analog einem Lieferkettenangriff, schicken kann?<\/em><\/p>\n

Zu dieser \u00dcberlegung kann ich ad hoc nichts sagen, da ich nicht wei\u00df, wie der Datenaustausch zwischen den Praxisprogrammen und der IT der CompuGroup Medical SE & Co. KGaA konkret abl\u00e4uft. Dass Schadfunktionen in Datenbanken (per SQL-Inject) integriert werden k\u00f6nnen, ist aber aus anderen Bereichen bekannt.<\/p>\n

Zieht man aber die bisherigen Informationen zusammen, d\u00fcrfte die Software der ifap Service-Institut f\u00fcr \u00c4rzte und Apotheker GmbH mit der internen IT der CompuGroup Medical SE & Co. KGaA zumindest in Verbindung stehen. Wenn nun die betreffenden ifap-Dienste im Web aus Sicherheitsgr\u00fcnden abgeschaltet wurden, schlie\u00dfe ich daraus, dass die Sicherheitsbeauftragten der CompuGroup Medical SE & Co. KGaA IT-Abteilung zumindest diese Gefahr nicht ausschlie\u00dfen k\u00f6nnen, dass Schadfunktionen \u00fcber solche Schnittstellen verbreitet (oder Informationen abgezogen) werden k\u00f6nnen. Vielleicht gibt es ja Blog-Leser, die \u00fcber mehr Wissen zu Interna verf\u00fcgen und da ggf. einen Hinweis geben k\u00f6nnen.<\/p>\n

Erg\u00e4nzungen:<\/strong> Blog-Leser Gunter H. hat mir per Mail noch folgende Informationen zukommen lassen, die ich ganz interessant fand (er hat bis Mitte letzten Jahre die EDV in einer Hausarztpraxis betreut). Er schrieb mir folgende Bemerkungen:<\/p>\n