Wie das IT- und Tech-Magazin „c’t“ in seiner aktuellen Ausgabe berichtet, hat es bei der Plattform des Interdisziplinären Versorgungsnachweises IVENA Sicherheitsprobleme gegeben, die aber inzwischen behoben worden sind. Durch mehrere leicht vermeidbare Fehler beim Entwicklerteam sollen ein Admin-Kennwort im Klartext im Netz gelandet sein und Angreifer dadurch vollen Zugriff auf das System bekommen haben. Auf dem Server der Entwickler der Adresse ivena-niedersachsen.de sei eine Datei mit Benutzernamen und Kennwort für das IVENA-System zu finden gewesen. Damit habe man Benutzeraccounts verwalten und auch Krankenhäuser abmelden können. Das Kennwort funktionierte, wie die Entwickler später bestätigten, nicht nur in Niedersachsen, sondern auf allen IVENA-Instanzen, u.a. auch in Hessen, Berlin und München. Mit diesen Beobachtungen habe die c’t-Redaktion die Entwicklerfirma kontaktiert. Das Unternehmen habe zügig reagiert, innerhalb weniger Stunden das Admin-Kennwort geändert und Fehler auf dem Webserver beseitigt. Alle Nutzer wurden per E-Mail aufgefordert, ihre Kennwörter zu ändern. Auf der IVENA-Hompeage befindet sich seit dem 16. Oktober 2020 ein entsprechender Hinweis.
Laut c’t weise das eHealth-Projekt aber auch aus organisatorischer und rechtlicher Sicht Mängel auf. So fehle es an klaren Verantwortlichkeiten. Wer die Infrastruktur genau betreibe und dafür verantwortlich sei, sei auch auf Nachfragen bei Kliniken und Behörden nicht in Erfahrung zu bringen. Es gebe eine komplizierte Drei- oder Vierecksbeziehung zwischen den Krankenhäusern, den Kommunen mit den Leitstellen, dem Rechenzentrum und teilweise dem Bundesland. Auch Sicherheits-Audits oder Maßnahmen wie eine Zweifaktor-Anmeldung seien von den Kunden nicht systematisch eingefordert worden. Das Entknoten dieses rechtlichen Konstruktes dürfte die Betreiber und Beteiligten in Krankenhäusern und Landkreisen noch länger beschäftigen, so die Redaktion.