Sicherheitslücke in Praxissoftware

Mehr als 1 Mio. Patientendaten landeten ungeschützt im Netz

Nicht datenschutzkonform: Über eine Praxissoftware landeten Patientendaten für Unbefugte einsehbar im Netz. Mehrere 10.000 Patient*Innen waren betroffen.

News
VG Wort Pixel
Arzthelferin nimmt am Empfang digital Daten eines Patienten auf
Daten aus Arztpraxen landeten ungeschützt im Internet.
© Adobe Stock: contrastwerkstatt

Viel privater als bei den eigenen Gesundheitsdaten wird es nicht. Eigentlich selbstverständlich, dass derartige Daten so sicher wie nur irgend möglich abgespeichert werden.

Wie das Software-Kollektiv "Zerforschung" herausfand und gemeinsam mit "NDR" und "WDR" berichtete, ist das aber nicht immer der Fall. So sollen über eine Sicherheitslücke in der Praxissoftware inSuite des Unternehmens Doc Cirrus bis Juni 2022 mehr als eine Million Patientendaten von rund 60.000 Patient*Innen weitestgehend unverschlüsselt im Netz gelandet sein. Diese umfassen neben persönlichen Daten auch Rechnungen und Befunde.

Mit inSuite sollen Arztpraxen solchen Datenlecks eigentlich vorbeugen. Denn die unter anderem von der Kassenärztlichen Bundesvereinigung und der DQS-Zertifizierungsstelle zertifizierte Software ermöglicht es, die Patientendaten in der Praxis auf einem eigenen Server abzulegen, statt sie zentral bei Doc Cirrus zu speichern. Über ein Gesundheitsportal können Patient*Innen diese Daten dann abrufen.

Doch das Portal enthielt eine Schwachstelle. Über die Entwicklungstools des Browsers ließen sich die Zugangsdaten zu E-Mail-Postfächern der meisten Arztpraxen auslesen - und daraufhin deren gesamter Mailverkehr überwachen. Zudem wareb die Daten, die zwischen Praxisserver und Gesundheitsportal verschickt wurden, nur ungenügend gesichert. So konnten Unbefugte alle vorhandenen Patientendaten unverschlüsselt abfragen, darunter Persönliches wie Name, Adresse, Versicherungsstatus, Diagnosen, Überweisungen, Blutwerte und teilweise verordnete Medikamente - und das über mehrere Arztpraxen hinweg.

Nachdem "Zerforschung" die Sicherheitslücke an die Berliner Landesdatenschutzbeauftragte und das BSI weiterleitete, schaltete Doc Cirrus die Software vollständig ab. Es bestätigte die Lücke gegenüber dem Kollektiv und kündigte weitere Maßnahmen an. Dass Betroffene wie versprochen über die Schwachstelle informiert wurden, ist hingegen nicht bekannt.

Seit August ist die Software wieder verfügbar. In einer Pressemitteilung lässt Doc Cirrus verlauten:"Die Programmierfehler sind mittlerweile korrigiert, die betroffenen Dienste sind größtenteils bereits wieder aktiv, lediglich ein letzter Dienst wird möglichst zeitnah wieder nach einem Update zur Verfügung gestellt." Zudem gebe es eigenen Analysen zufolge "keinen Grund zur Annahme, dass abseits des Responsible-Disclosure-Verfahrens (Anm. d. Red.: das Vorgehen durch Zerforschung) Praxis- oder Patienteninformationen von Dritten eingesehen oder abgegriffen wurden."

Das Abus HomeTec Pro CFA3000 an einer Holztüre

Sicherheitslücke

BSI warnt vor Funk-Türschloss von Abus

Ungewollter Türöffner: Ein Funk-Türschloss von Abus kann Angreifenden unerlaubt Zutritt zur Wohnung ermöglichen. Das BSI warnt vor dem Modell.

12.8.2022 von Alana Friedrichs

Weiter zur Startseite  

Mehr zum Thema

Hacker Cyberangriff Malware - Sicherheit (Symbolbild)

Cybersicherheit

Hackerforum "Raidforums" von Europol geschlossen

Internationale Ermittler haben eines der größten Hacker-Foren der Welt ausgehoben. Der illegale Marktplatz "Raidforums" ist vom Netz genommen.

Passwort-Manager Test 2021

Online-Sicherheit

Apple, Google und Microsoft fördern Login ohne Passwort

Große Unternehmen wie Apple, Google und Microsoft wollen zukünftig den Login ohne Passwort fördern. Als Alternative soll der erweiterte FIDO-Standard…

Router auf einem Schreibtisch. Im Hintergrund nutzt ein Mann Smartpohone und Laptop

IT-Sicherheitskennzeichen

BSI kennzeichnet ab sofort sichere Router

Ob der neue Router aktuelle Sicherheitsanforderungen erfüllt, wird bald besser ersichtlich. Das BSI vergibt ab sofort ein entsprechendes Kennzeichen.

Browser-Test 2020: Der neue Edge vs. Chrome & Firefox

Chrome, Edge und Firefox

Browser-Schwachstelle: Passwörter im Klartext gespeichert

Eine Sicherheitslücke in Google Chrome erlaubt das Auslesen von Passwörtern im Klartext. Aber auch Edge und Firefox sollen betroffen sein.

Hand hält ein Schloss vor das Logo von Google Chrome

Update auf Version 103.0.5060.134

Neues Chrome-Update beseitigt 11 Sicherheitslücken

Google hat ein neues Sicherheits-Update für Chrome veröffentlicht. Das beseitigt 11 Sicherheitslücken, mindestens 5 davon mit hohem Risiko.