Eine Million Patientendaten durch Sicherheitslücke offen im Netz

Der deutsch Chaos Computer Club hat eine massive Sicherheitslücke aufgedeckt, durch die Patient*innendaten offen im Netz einsehbar waren. Betroffen war die Software von Dubidoc, die von Arztpraxen für die Termin-Vergabe verwendet wird. 

Zusätzlich zu den Daten von 960.000 Menschen waren auch Informationen zu 3,3 Millionen Behandlungs-Terminen abrufbar. Darunter waren neben Namen, Geburtsdatum, Telefonnummer, E-Mailadresse und Geschlecht auch Informationen zu den behandelnden Ärzt*innen und Termindetails. 

Hack trotz Sicherheitszertifizierung

Die Daten waren in einem deutschen Rechenzentrum mit ISO 27001-Zertifizierung gespeichert. Der internationale Standard beinhaltet Regelungen für die Einrichtung und Umsetzung von Sicherheitsmechanismen. Über einen offen zugänglichen PHP Symfony Profiler waren die Zugangsdaten für die Datenbank sowie Nutzer*innendaten im Klartext abrufbar. 

Der Datenbank-Server konnte einfach über das Internet aufgerufen werden. So konnten sich die Hacker*innen des CCC mit den Daten einer Ärztin im Dubidoc-System anmelden. Daraufhin hätten sie Termine einsehen, verschieben und absagen können.  

Schwachstelle nach 2 Wochen behoben

Das Sicherheitsleck bestand laut Informationen des Spiegel 2 Wochen lang. Nachdem der CCC die die beteiligten Firmen über das Problem informiert hatte, wurde ihnen mitgeteilt, der Datenbank-Zugriff könne nicht eingeschränkt werden, da die Anwendung bei einem "renommierten Betreiber" gehostet würde. 

Gegenüber dem Spiegel teilte Dubidoc mit, das temporäre Datenleck sei durch einen "menschlichen Fehler bei Wartungsarbeiten" entstanden. Daraufhin seien die Daten von 324 Praxismitarbeiter*innen "ohne zusätzliche Sicherheitsbarriere" einsehbar gewesen. Inzwischen wurde das Problem behoben und die betroffenen Praxen wurden informiert. Bisher gäbe es keinen Hinweis darauf, dass die Daten missbraucht wurden.