In Arztpraxen geht es meistens recht hektisch zu. Alles, was hier Erleichterung in den Alltag bringt, wird gerne genommen.

So wie die Praxissoftware „InSuite“, die den Mitarbeiter:innen und Ärzt:innen eine Menge administrative Arbeit abnimmt: Etwa die Terminkoordination, die Übersicht über alle Patientendaten und die Möglichkeit, diese mit anderem Fachpersonal zu teilen.

Die Berliner Firma Doc Cirrus, die „InSuite“ vertreibt, ließ die Sicherheit der Software sogar von der Kassenärztlichen Bundesvereinigung und einer DQS-Zertifizierungsstelle bestätigen. Doch scheinbar sind hier einige Fehler unterlaufen, wie die Expert:innen von Zerforschung bewiesen haben.

Zerforschung versteht sich als dezentrales „Kollektiv aus Menschen, die Spaß daran haben, Technik auseinander zu nehmen“. Die Expert:innen decken im Netz regelmäßig Sicherheitslücken auf. Und bei „InSuite“ fanden sie eine ganze Menge.

So bekamen die Teams von Zerforschung innerhalb kürzester Zeit Zugriff auf die bei „InSuite“ registrierten E-Mail-Konten der Praxen – und damit auf die komplette Kommunikation zwischen Ärzt:innen und Patient:innen. Doch das war noch nicht alles, was bei der Software schiefläuft.

Weitere Sicherheitslücken gaben den Expert:innen Einblicke in zahlreiche hoch sensible Daten, wie etwa Laborbefunde, Diagnosen, Atteste oder Blutwerte. Das Ausmaß der massiven Sicherheitsprobleme war selbst für Zerforschung schockierend.

Die Gruppe informierte sofort die Betreiberfirma, das BSI und die Berliner Landesdatenschutzbeauftragte. Doc Cirrus reagierte zunächst vorbildlich und schaltete die Software ab.

In einer aktuellen Pressemitteilung spricht das Unternehmen zwar von „Programmierfehlern“, versichert aber, dass „keine Patienteninformationen von Dritten eingesehen oder abgegriffen wurden“. Die Sicherheitslücken seien durch Updates korrigiert worden.

Für Zerforschung geht diese Reaktion nicht weit genug. Das Kollektiv fordert ein umfassendes Vorgehen der Datenschutzbehörde gegen das Unternehmen.