Trovent Security identifiziert Schwachstelle in CGM Muse: Vorbildliche Reaktion und zügige Behebung durch CGM.
Im Rahmen eines Penetrationstests für einen unserer Kunden aus dem Gesundheitswesen hat Trovent Security kritische Schwachstellen in der Anwendung CGM MUSE des Herstellers Aescudata (CompuGroup Medical) aufgedeckt.
Diese Schwachstellen könnten es einem anonymen Angreifer erleichtern, auf sensible Mitarbeiter- und Patientendaten zuzugreifen, was insbesondere im Hinblick auf die Anforderungen der DSGVO (Artikel 9) von großer Bedeutung ist.
Nachdem wir die Schwachstellen in der getesteten Produktivumgebung verifiziert hatten, informierten wir umgehend unseren Kunden, der die Anwendung sofort vom Netz nahm. Parallel dazu nahmen wir Kontakt zu CompuGroup Medical (CGM) auf. In einem Online-Meeting erläuterten wir die Auswirkungen der gefundenen Schwachstellen. Der CISO von CGM, Holger Wess, nahm unsere vertrauliche Meldung (Responsible Disclosure) dankend entgegen.
CGM bestätigte anschließend schriftlich, dass ihre Kunden über die Problematik in Kenntnis gesetzt und die Schwachstellen innerhalb von zwei Tagen behoben wurden. Es ist an dieser Stelle hervorzuheben, dass CompuGroup Medical vorbildlich auf unsere Meldung reagiert hat. Schnell und unbürokratisch wurde auf das entdeckte Risiko reagiert. Alle betroffenen Parteien wurden entsprechend informiert und die Schwachstelle behoben. Der Betrieb der Software wurde durch unseren Kunden kurz darauf wieder aufgenommen.
Holger Wess, CISO bei CompuGroup Medical, formulierte treffend:
„Schwachstellen in moderner Software sind nicht vollständig zu vermeiden. Angriffsmethoden verändern sich kontinuierlich und entsprechend werden im Laufe des Softwarelebenszyklus immer wieder Lücken entdeckt. Bei CGM prüfen wir kontinuierlich die Sicherheit unserer Produkte und schließen etwaige Lücken unmittelbar. Unseren Kunden informieren wir zu solchen Prozessen so schnell wie möglich und transparent.“
Wie üblich informierten wir das Bundesamt für Sicherheit in der Informationstechnik (BSI) über unsere Erkenntnisse. Das BSI kann in Fällen, in denen der Hersteller uneinsichtig ist, eine koordinierende Rolle übernehmen. Dieses Verfahren, das als Coordinated Vulnerability Disclosure (CVD) bekannt ist, war aufgrund der vorbildlichen Reaktion von CGM allerdings in diesem Fall nicht notwendig.
Sie haben Produkte, die Sie einem Penetrationstest unterziehen möchten?
Müssen oder möchten Sie die von Ihrem Unternehmen entwickelten / vermarkteten Applikationen einem Penetrationstest unterziehen? Gibt es besondere Compliance-Anforderungen im Zusammenhang mit NIS-2, dem Cyber Resilience Act (CRA) oder anderen Vorschriften, die Sie erfüllen müssen?
Wir beraten Sie gerne. Nutzen Sie unsere kostenfreien Beratungstermine für ein ausführliches Gespräch!