Sicherheitslücke in Praxissoftware
Mehr als 1 Mio. Patientendaten landeten ungeschützt im Netz
Nicht datenschutzkonform: Über eine Praxissoftware landeten Patientendaten für Unbefugte einsehbar im Netz. Mehrere 10.000 Patient*Innen waren betroffen.
Viel privater als bei den eigenen Gesundheitsdaten wird es nicht. Eigentlich selbstverständlich, dass derartige Daten so sicher wie nur irgend möglich abgespeichert werden.Wie das Software-Kollektiv "Zerforschung" herausfand und gemeinsam mit "NDR" und "WDR" berichtet...
Viel privater als bei den eigenen Gesundheitsdaten wird es nicht. Eigentlich selbstverständlich, dass derartige Daten so sicher wie nur irgend möglich abgespeichert werden.
Wie das Software-Kollektiv "Zerforschung" herausfand und gemeinsam mit "NDR" und "WDR" berichtete, ist das aber nicht immer der Fall. So sollen über eine Sicherheitslücke in der Praxissoftware inSuite des Unternehmens Doc Cirrus bis Juni 2022 mehr als eine Million Patientendaten von rund 60.000 Patient*Innen weitestgehend unverschlüsselt im Netz gelandet sein. Diese umfassen neben persönlichen Daten auch Rechnungen und Befunde.
Mit inSuite sollen Arztpraxen solchen Datenlecks eigentlich vorbeugen. Denn die unter anderem von der Kassenärztlichen Bundesvereinigung und der DQS-Zertifizierungsstelle zertifizierte Software ermöglicht es, die Patientendaten in der Praxis auf einem eigenen Server abzulegen, statt sie zentral bei Doc Cirrus zu speichern. Über ein Gesundheitsportal können Patient*Innen diese Daten dann abrufen.
Doch das Portal enthielt eine Schwachstelle. Über die Entwicklungstools des Browsers ließen sich die Zugangsdaten zu E-Mail-Postfächern der meisten Arztpraxen auslesen - und daraufhin deren gesamter Mailverkehr überwachen. Zudem wareb die Daten, die zwischen Praxisserver und Gesundheitsportal verschickt wurden, nur ungenügend gesichert. So konnten Unbefugte alle vorhandenen Patientendaten unverschlüsselt abfragen, darunter Persönliches wie Name, Adresse, Versicherungsstatus, Diagnosen, Überweisungen, Blutwerte und teilweise verordnete Medikamente - und das über mehrere Arztpraxen hinweg.
Nachdem "Zerforschung" die Sicherheitslücke an die Berliner Landesdatenschutzbeauftragte und das BSI weiterleitete, schaltete Doc Cirrus die Software vollständig ab. Es bestätigte die Lücke gegenüber dem Kollektiv und kündigte weitere Maßnahmen an. Dass Betroffene wie versprochen über die Schwachstelle informiert wurden, ist hingegen nicht bekannt.
Seit August ist die Software wieder verfügbar. In einer Pressemitteilung lässt Doc Cirrus verlauten:"Die Programmierfehler sind mittlerweile korrigiert, die betroffenen Dienste sind größtenteils bereits wieder aktiv, lediglich ein letzter Dienst wird möglichst zeitnah wieder nach einem Update zur Verfügung gestellt." Zudem gebe es eigenen Analysen zufolge "keinen Grund zur Annahme, dass abseits des Responsible-Disclosure-Verfahrens (Anm. d. Red.: das Vorgehen durch Zerforschung) Praxis- oder Patienteninformationen von Dritten eingesehen oder abgegriffen wurden."
