Schwachstellen in »Datensafe« Zehntausende Patientendaten frei im Netz verfügbar

Das Hackerkollektiv »Zerforschung« hat ernste Sicherheitslücken in einer Praxissoftware gefunden. Der Hersteller räumt die Probleme ein, Patienten wurden aber wohl nicht informiert.
Ein Arzt im Patientenkontakt: Die Daten, die auf den Praxisservern gefunden wurden, waren potenziell brisant

Ein Arzt im Patientenkontakt: Die Daten, die auf den Praxisservern gefunden wurden, waren potenziell brisant

Foto: wutwhanfoto / iStockphoto / Getty Images

Persönliche Daten, Rechnungen und Befunde – Daten von Zehntausenden Patienten deutscher Arztpraxen waren nach Angaben des Hackerkollektivs »Zerforschung« weitgehend ungesichert einsehbar. Das Sicherheitsproblem bestand bei Doc Cirrus, einem Hersteller von Arzt- & Praxissoftware. Die Firma hat die Schwachstelle bestätigt und nach eigenen Angaben inzwischen geschlossen.

Das Konzept des »Datensafes« der Firma sollte großen Sicherheitslecks eigentlich vorbeugen. Statt Daten zentral auf den Servern von Doc Cirrus oder bei einem Cloud-Anbieter abzulegen, bot die Firma Arztpraxen eigene Mikroserver an. Auf diesen Rechnern, die in der Praxis selbst stehen, können Ärzte die Patientendaten direkt bearbeiten und den Patienten auch über das Internet Zugriff auf die sie betreffenden Dokumente gewähren.

Von E-Mail-Accounts bis zu Laborbefunden

Dieser externe Zugriff weckte das Interesse der Sicherheitsforscher, die in der Vergangenheit schon zahlreiche Sicherheitslücken im deutschen Gesundheitssystem aufgedeckt hatten. Laut dem Beitrag von »Zerforschung« fiel ihnen eine ganze Reihe von schweren Problemen auf.

Zum einen fanden sie über das zentrale Zugangsportal von Doc Cirrus die internen Zugriffsdaten der Arztpraxen, sodass potenzielle Angreifer auf die gesammelten E-Mails der Ärzte zugreifen oder E-Mails in ihrem Namen schreiben konnten. Zum anderen war es möglich, über den Zugriffslink eines Patienten auf alle Dokumente zuzugreifen, die auf dem jeweiligen Praxisserver abgelegt waren.

Wie NDR und WDR  berichten, geht der zuständige Berliner Datenschutzbeauftragte davon aus, dass 270 Arztpraxen und mehr als 60.000 Patientinnen und Patienten betroffen waren. Von denen seien unter anderem Diagnosen, Laborwerte und Krankschreibungen abrufbar gewesen, dazu hat »Zerforschung« nach eigenen Angaben auch persönliche Daten wie Anschrift und E-Mail-Adressen gefunden.

Strafe gefordert

In einer Pressemitteilung vom 11. Juli  hatte der Hersteller Sicherheitsprobleme eingeräumt und die betroffenen Dienste zunächst abgeschaltet. Nachdem die Programmierfehler bei dem Portal geschlossen worden seien, sah Doc Cirrus jedoch keinen weiteren Handlungsbedarf mehr. »Unsere Analysen von Logs und Zugriffsmustern bieten keinen Grund zur Annahme, dass abseits des Responsible-Disclosure-Verfahrens Praxis- oder Patienteninformationen von Dritten eingesehen oder abgegriffen wurden«, schreibt die Firma.

Die Hacker loben zwar die schnelle Reaktion auf ihre Sicherheitsmeldung an den Hersteller, zeigen sich aber enttäuscht darüber, dass die Patienten nun offensichtlich nicht über die Lücken und die damit verbunden Risiken informiert worden seien.

Dabei weisen sie darauf hin, dass potenzielle Angreifer auch Zugriff auf die Logfiles der Server hatten, sodass ein potenzieller Einbruch hätte verschleiert werden können. Zudem fordern sie den Datenschutzbeauftragten auf, eine empfindliche Strafe gegen das Unternehmen zu verhängen. »Wenn ein Produkt marktreif genug ist, um persönliche Daten zu speichern, muss es auch reif genug sein, diese für sich zu behalten«, urteilt »Zerforschung«.

tmk
Die Wiedergabe wurde unterbrochen.