Der Schutz personenbezogener Daten ist ein essenzielles Anliegen, insbesondere im sensiblen Bereich der Gesundheitsdaten. So haben wir kürzlich erneut ein Unternehmen auf ein erhebliches Datenleck hingewiesen, unbeeindruckt von möglichen rechtlichen Konsequenzen, die der Hackerparagraph mit sich bringen könnte.

Es handelt sich um „dubidoc“, einen Praxis-Terminplaner, dessen Sicherheitslücken es ermöglichten, auf etwa eine Million Patient*innen-Datensätze zuzugreifen. Darunter fielen Informationen zu rund drei Millionen Behandlungs- und „Demo-Termine“. Sofort nach Entdeckung haben wir nicht nur das betroffene Unternehmen informiert, sondern auch die Landesdatenschutzbehörde Nordrhein-Westfalen in Kenntnis gesetzt.

Überraschenderweise waren diese Daten, trotz der Lagerung in einem deutschen Rechenzentrum mit ISO 27001 Zertifizierung für IT-Sicherheit, offen zugänglich. Die Sicherheitsmaßnahmen des Rechenzentrums umfassen strenge Zutrittskontrollen, eine Notstromversorgung und redundante Netzwerkanbindungen, und werden von ausgewiesenen Fachexperten überwacht.

Die Brisanz der Situation zeigt sich darin, dass Zugangsdaten für die Datenbank und E-Mail, sowie die Anmeldedaten der Nutzer*innen im Klartext, aus einem offen zugänglichen PHP Symfony Profiler herausfielen. Zusätzlich war der Datenbank-Server frei aus dem Internet erreichbar.

Die Verantwortlichen des Unternehmens rechtfertigen diese prekäre Lage damit, dass der freie Datenbank-Zugriff nicht eingeschränkt werden könne. Der Grund sei, dass die Applikation auf einem Managed Server bei einem renommierten Provider gehostet wird. Eine Erklärung, die selbst im Falle ihrer Richtigkeit keinesfalls akzeptabel ist.

Diese Vorfälle verdeutlichen die Risiken der fortschreitenden Digitalisierung im Gesundheitswesen. Um über weitere Risiken und Nebenwirkungen informiert zu sein, empfehlen wir die Lektüre unserer 10 Prüfsteine und die Rücksprache mit Ihrer Ärztin oder Apothekerin.

Quelle: Originalartikel des CCC

FAQ für Ärzte