Über eine Million Patientendaten einsehbar – Software zeitweise deaktiviert
Eine vielfach zertifizierte Arzt- und Praxissoftware hat weit über eine Million Patientendaten nicht gut genug geschützt. Das Portal wurde temporär deaktiviert.
(Bild: Herlanzer/Shutterstock.com)
Eine Arzt- und Praxissoftware des Berliner Unternehmens Doc Cirrus hat wegen massiver Sicherheitslücken mehr als eine Million Datensätze von Patientinnen und Patienten für Unbefugte einsehbar gemacht. Das hat das IT-Kollektiv Zerforschung herausgefunden und die zuständigen Behörden sowie das Unternehmen selbst informiert. Doc Cirrus hat daraufhin bereits Ende Juni das Portal komplett abgeschaltet.
Wie Zerforschung ausführt, waren mit etwas technischem Sachverstand persönlichste Dokumente aus mehr als 270 Arztpraxen und personenbezogene Daten zu allen etwa 60.000 Patientinnen und Patienten einsehbar. Die Lücken seien weitgehend behoben, versichert Doc Cirrus, die Dienste größtenteils wieder im Einsatz.
Verschlüsselung ja, aber leicht zu umgehen
Wie Zerforschung in einem ausführlichen Blogeintrag erklärt, geht es um eine Software namens inSuite, die Ärztinnen und Ärzten die Arbeit erleichtern soll. Sie enthält etwa Werkzeuge zur Organisation des Praxisalltags, ermöglicht es aber auch Laborbefunde mit Patienten oder anderen Praxen auszutauschen und kann digitalisierte Patientenakten vorhalten. Dafür kommt demnach ein sogenannter "Datensafe" zum Einsatz, ein kleiner Server für die Praxis, der nicht über das Internet erreichbar sein soll. Stattdessen erfolge der Zugriff über einen zentralen Dienst von Doc Cirrus. Die Kommunikation sei per Ende-zu-Ende-Verschlüsselung geschützt, versichert der Anbieter.
Genau dieses Versprechen wird demnach aber nur zum Teil gehalten und der verbleibende Schutz habe sich ganz aushebeln lassen. Laut Zerforschung werden lediglich die Liste abzurufender Dokumente und die zugehörigen Links verschlüsselt übertragen. Die Dokumente selbst seien nicht Ende-zu-Ende-verschlüsselt. Die Forschungsgruppe haben aber herausgefunden, dass sie den Server auch ganz leicht vorschreiben konnten, die Verschlüsselung ganz wegzulassen.
So konnten sie bei jeder Praxis Listen aller Patientinnen und Patienten und aller Dokumente abrufen. Abrufbar waren demnach auch ausgestellte Rechnungen der Praxen, Aktivitäten wie Diagnosen, und Überweisungen an andere Praxen sowie Zertifikate für die Kommunikation mit dem TI-Konnektor. Weil sie auch an die Liste der Praxen gelangten, die die Software einsetzen, kamen sie auf die riesige Gesamtzahl einsehbarer Daten.
Lesen Sie auch
rC3: Es krankt an der Sicherheit im Gesundheitswesen
Der zuständige Berliner Datenschutzbeauftragte teilte gegenüber NDR und WDR mit, dass die bekannt gemachten Sicherheitslücken "als erheblich" einzustufen seien. Doc Cirrus versichert, dass Analysen von Logs und Zugriffsmustern keinen Grund zur Annahme geliefert hätten, dass abseits der Aktivitäten von Zerforschung Daten von unbefugten Dritten eingesehen oder abgegriffen wurden. Bei den Betroffenen habe man sich für den Ausfall der Dienste entschuldigt.
NDR und WDR weisen noch darauf hin, dass Doc Cirrus mit jeder Menge Zertifikaten die vermeintliche Qualität und Sicherheit des Produkts nachzuweisen scheine. Keines davon betreffe aber den Datenschutz. Die Datensicherheit müssten die Arztpraxen selbst überprüfen, heißt es vom Bundesdatenschutzbeauftragten.
(mho)