Eine Software für Arztpraxen des Berliner Unternehmens Doc Cirrus kommt hierzulande bei vielen Ärzten zum Einsatz. Blöd nur, wenn die hochsensiblen Gesundheits- und Patientendaten dabei nicht so privat bleiben, wie sie eigentlich sein sollten. Denn eine Sicherheitslücke in der Software machte die Patienten- und Gesundheitsdaten für Fremde einsehbar. Mehr als eine Million Datensätze von schätzungsweise 60.000 Patientinnen und Patienten sollen betroffen sein.
Doc Cirrus: inSuite-Praxissoftware mit Datenleck
Eigentlich soll die vom Berliner Unternehmen entwickelte Praxissoftware inSuite die Arbeit von Ärztinnen und Ärzten deutlich erleichtern. Die cloudbasierte Software soll laut Hersteller voll unter anderem modular und erweiterbar sein, komplett wartungsfrei arbeiten und einen maximalen Datenschutz bieten, heißt es auf der eigenen Homepage.
Dass gerade letzterem offenbar nicht so ist, beweist das Kollektiv Zerforschung in seinem Bericht, wie die Tagesschau berichtet. Über eine Million Datensätze mit hochsensiblen Patienten- und Gesundheitsdaten seien aufgrund massiver Sicherheitslücken verloren gegangen und für Unbefugte vollständig einsehbar gemacht worden, so Zerforschung. Betroffen seien laut Schätzung rund 60.000 Patientinnen und Patienten.
Demnach sei es dem Kollektiv möglich gewesen, Zugang zu den E-Mail-Accounts der bei der Software registrierten Arztpraxen zu erlangen. Diese bekommen mit inSuite Datensafes zur Hand – kleine private Server für die jeweilige Praxis, der zwar nicht über das Internet zugänglich sei, allerdings zentral von einem Dienst von Doc Cirrus angesteuert wird.
E-Mail-Verkehr frei einsehbar
Genau in diesem externen Zugriff befand sich dann auch die Sicherheitslücke. So war es Zerforschung möglich, die vollständigen Zugangsdaten zum allgemeinen E-Mail-Postfach entsprechender Arztpraxen zu erlangen und somit sämtliche E-Mails zu lesen, die die Praxis erhält.
„Und darin stehen nicht selten privateste Informationen über Patient*innen,“ so Zerforschung im Blog-Beitrag. Und das trotz bestehender Ende-zu-Ende-Verschlüsselung, die sich aber offenbar nicht auf die sensiblen Dokumente erstreckte. Persönliche Daten wie Namen, Diagnosen, Blutwerte und teilweise sogar verordnete Medikamente seien frei und unverschlüsselt abgerufen werden.
Unternehmen schaltet Software vollständig ab
Zerforschung habe die gesammelten Erkenntnisse direkt an das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitergeleitet und Hersteller Doc Cirrus informiert, die auch prompt reagiert und das Portal inSuite vollständig abgeschaltet haben.
Darüber informierte das Unternehmen in einer Pressemitteilung vom 11. Juli 2022 auf der eigenen Homepage und führt die Sicherheitslücke auf einen Progammierfehler in der eigenen Software zurück.
„Die betroffenen Dienste wurden nach Eingang der Meldung unverzüglich von uns deaktiviert und überprüft,“ so Doc Cirrus. Interne Analysen von Log-Dateien und Zugriffsmustern böten allerdings keinen Grund zur Annahme, dass Praxis- oder Patienteninformationen von Dritten eingesehen oder abgegriffen wurden, heißt es weiter.
Die Programmierfehler seien mittlerweile korrigiert worden und die betroffenen Dienste „sind größtenteils bereits wieder aktiv“. Wie viele Arztpraxen die Software in Deutschland überhaupt nutzen und welche davon von der Sicherheitslücke betroffen waren, wollte man allerdings nicht verraten.
Auch, ob Patientinnen und Patienten über die Sicherheitslücke informiert wurden, gab man nicht an. Unter dem Dach der Tagesschau weisen NDR und WDR allerdings darauf hin, dass Doc Cirrus zwar mit vielen Zertifikaten für eine besonders hohe Sicherheit ihrer Lösung werbe, diese aber nicht für den Datenschutz seien.
Die IT-Sicherheit der Verwaltungssysteme für Arztpraxen läge allein in den Händen der jeweiligen Anbieter, teilt die Kassenärztliche Bundesvereinigung (KBV) auf Anfrage von NDR und WDR mit.
No replies yet
Neue Antworten laden...
Gehört zum Inventar
Beteilige dich an der Diskussion in der Basic Tutorials Community →