Millionen Patientendaten einsehbar: Sicherheitslücken bei Software
In Arztpraxen geht es meistens recht hektisch zu. Alles, was hier Erleichterung in den Alltag bringt, wird gerne genommen.
So wie die Praxissoftware „InSuite“, die den Mitarbeiter:innen und Ärzt:innen eine Menge administrative Arbeit abnimmt: Etwa die Terminkoordination, die Übersicht über alle Patientendaten und die Möglichkeit, diese mit anderem Fachpersonal zu teilen.
Die Berliner Firma Doc Cirrus, die „InSuite“ vertreibt, ließ die Sicherheit der Software sogar von der Kassenärztlichen Bundesvereinigung und einer DQS-Zertifizierungsstelle bestätigen. Doch scheinbar sind hier einige Fehler unterlaufen, wie die Expert:innen von Zerforschung bewiesen haben.
Zugriff auf E-Mail-Konten und hoch sensible Patientendaten
Zerforschung versteht sich als dezentrales „Kollektiv aus Menschen, die Spaß daran haben, Technik auseinander zu nehmen“. Die Expert:innen decken im Netz regelmäßig Sicherheitslücken auf. Und bei „InSuite“ fanden sie eine ganze Menge.
So bekamen die Teams von Zerforschung innerhalb kürzester Zeit Zugriff auf die bei „InSuite“ registrierten E-Mail-Konten der Praxen – und damit auf die komplette Kommunikation zwischen Ärzt:innen und Patient:innen. Doch das war noch nicht alles, was bei der Software schiefläuft.
Weitere Sicherheitslücken gaben den Expert:innen Einblicke in zahlreiche hoch sensible Daten, wie etwa Laborbefunde, Diagnosen, Atteste oder Blutwerte. Das Ausmaß der massiven Sicherheitsprobleme war selbst für Zerforschung schockierend.
Reaktion der Betreiberfirma für Zerforschung mangelhaft
Die Gruppe informierte sofort die Betreiberfirma, das BSI und die Berliner Landesdatenschutzbeauftragte. Doc Cirrus reagierte zunächst vorbildlich und schaltete die Software ab.
In einer aktuellen Pressemitteilung spricht das Unternehmen zwar von „Programmierfehlern“, versichert aber, dass „keine Patienteninformationen von Dritten eingesehen oder abgegriffen wurden“. Die Sicherheitslücken seien durch Updates korrigiert worden.
Für Zerforschung geht diese Reaktion nicht weit genug. Das Kollektiv fordert ein umfassendes Vorgehen der Datenschutzbehörde gegen das Unternehmen.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team