Chaos Computer Club (CCC)

Wieder eine Sicherheitslücke bei einem Arzttermintool

mg
Praxis
Eine Million Patienten-Datensätze des Praxis-Terminplaners „dubidoc“ waren offen zugänglich, meldet der Chaos Computer Club, der die Lücke entdeckt hat. Mittlerweile hat der Anbieter das Problem behoben.

„Es wird die geneigte Leserin kaum überraschen, dass wir auf diese Daten zugreifen konnten, obwohl sie in einem deutschen Rechenzentrum mit ISO 27001 Zertifizierung für IT-Sicherheit gespeichert werden“, schreibt der CCC. Diese Zertifizierung schreibt strenge Zutrittskontrollen, eine Notstromversorgung und redundante Netzwerkanbindungen vor, führen die Experten aus. Außerdem habe die Überwachung der Datensicherheit „auf mehreren Ebenen“ zu erfolgen „und wird von ,ausgewiesenen Fachexperten“ verantwortet.“

Eine technische Hürde für potenzielle Cyberangreifer stellen diese Maßnahmen offenbar nicht dar. „Leider purzelten aus einem offen zugänglichen PHP Symfony Profiler Zugangsdaten für Datenbank und E-Mail sowie die Zugangsdaten von Nutzer*innen im Klartext heraus“, schreibt der Zusammenschluss von IT-Experten, der regelmäßig Sicherheitsbedenken gegenüber dem Umgang mit Gesundheitsdaten in Deutschland äußert. Weitere Verfehlung des Anbieter dubidoc: Der Datenbank-Server war frei aus dem Internet erreichbar.

Der Anbieter bestätigt das Problem – und liefert eine „billige Ausrede“

Nach einem Bericht des Spiegels hat der Anbieter die Sicherheitslücke bestätigt und mittlerweile geschlossen. Die Anbieterangaben zur technischen Begründung des Sicherheitsvorfalls überzeugte die Experten hingegen nicht. Der CCC schreibt von einer schlichten „Ausrede, die – selbst wenn sie wahr wäre – selbstverständlich keine ist.“

In einer Pressemitteilung hatte das Unternehmen erklärt, dass es bei Wartungsarbeiten am 25. Dezember 2023 zu einem Fehler gekommen sei, in dessen Folge Daten von 963.746 Patienten sowie deren mithilfe von dubidoc vereinbarte Termine potenziell zugänglich waren. Der CCC habe das Unternehmen am 7. Januar 2024 auf die Sicherheitslücke aufmerksam gemacht, die „nach Kenntnisnahme sofort behoben“ wurde. Weiter räumt dubidoc ein, dass außerdem die Zugangsdaten von bis zu 324 Praxismitarbeitern – „aber keine medizinischen Daten, die über die Verwaltung eines Termins hinausgehen“ potenziell betroffen waren. Befunde und andere medizinischen Daten seien grundsätzlich kein Bestandteil von dubidoc und somit nicht vom Vorfall betroffen.

In der Vergangenheit hatten Experten des CCC bereits auf eine Sicherheitslücke beim Anbieter Doctolib hingewiesen, der im diesem Zusammenhang auch von der Berliner Datenschutzbeauftragten geprüft wurde (zm berichtete).

Melden Sie sich hier zum zm Online-Newsletter an

Die aktuellen Nachrichten direkt in Ihren Posteingang

zm Online-Newsletter


Sie interessieren sich für einen unserer anderen Newsletter?
Hier geht zu den Anmeldungen zm starter-Newsletter und zm Heft-Newsletter.