Erneut hat der Chaos Computer Club (CCC) eine Sicherheitslücke in einer Terminservice-Software aufgedeckt. Diesmal betraf es den Anbieter Dubidoc, hinter dem das Start-up Takuta GmbH steht. Die entdeckte Lücke ermöglichte den Zugriff auf etwa eine Million Patientendatensätze.

Laut Daniel Strunk, Sprecher der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), hat Takuta die Sicherheitslücke mittlerweile geschlossen und „Maßnahmen ergriffen, um eine Wiederholung eines solchen Vorfalls zu verhindern“. Das Unternehmen hat seine Kunden über das Datenleck informiert.

Die öffentlich zugänglichen Daten, zu denen E-Mail-Adressen, Passwörter, Telefonnummern, Vor- und Nachname, Geschlecht, Geburtsdatum, Angaben zu Verwandten und Termindaten gehören, waren über den Profiler des PHP-Frameworks „Symfony“ einsehbar. Dabei waren Debug-Informationen sichtbar, die Benutzername und Passwort für die Datenbank enthielten – ein schwerwiegender Fehler in einer Live-Umgebung.

Die Datenbank war zusätzlich über das Internet erreichbar. Die Aussage des Unternehmens, dass der freie Datenbank-Zugriff nicht eingeschränkt werden könne, da die Applikation auf einem Managed Server bei einem „renommierten Provider“ gehostet sei, wird vom CCC als inakzeptable Ausrede kommentiert.

Es ist noch unklar, ob außer dem CCC weitere Dritte auf die Daten zugegriffen haben. Eine offizielle Stellungnahme von Takuta zu den ergriffenen Maßnahmen steht noch aus. In der Vergangenheit wurden immer wieder Sicherheitslücken bei Start-ups im Gesundheitswesen aufgedeckt. Diese Vorfälle verdeutlichen die Notwendigkeit erhöhter Sicherheitsstandards in digitalen Gesundheitsanwendungen.