In einer beunruhigenden Entwicklung haben Hacker des Chaos Computer Clubs (CCC) eine IT-Schwachstelle im Arzttermin-Vergabedienst Dubidoc aufgedeckt. Obwohl der Anbieter die Sicherheitslücke schnell schloss, wirft der Vorfall ein Licht auf potenzielle Risiken der Digitalisierung im Gesundheitswesen und verdeutlicht, dass Patienten die Leidtragenden sein können.

Die Hintergrundgeschichte von Dubidoc beginnt mit einer klassischen Start-up-Erzählung: Als die Ärztin Shabnam Fahimi-Weber keine geeignete Software für die Terminvergabe ihrer HNO-Praxis fand, entwickelte sie kurzerhand ihre eigene Lösung. Das 2016 gegründete Unternehmen verspricht Praxisinhabern effizientere Terminverwaltung und weniger Ausfälle. Auf der Webseite betont der Anbieter, dass alle Daten in einem deutschen Rechenzentrum mit strengen Sicherheitsvorkehrungen gespeichert werden.

Trotz dieser Versicherungen konnten Mitglieder des Chaos Computer Clubs zwei Wochen lang auf Daten von fast einer Million Patienten zugreifen. Nach der Meldung der Schwachstelle durch den CCC reagierte Dubidoc sofort. Dennoch verdeutlicht dieser Vorfall die potenziellen Risiken der fortschreitenden Digitalisierung im Gesundheitswesen.

Dubidoc – Ein Lösungsansatz mit Risiken

Dubidoc löst ein verbreitetes Problem: Lange Wartezeiten am Telefon in überfüllten Praxen sollen durch die Online-Terminvergabe vermieden werden. Doch dieser Fortschritt birgt auch Risiken. Laut einer Bitkom-Umfrage haben bereits 27 Prozent der Deutschen einen Arzttermin über Onlineplattformen wie Dubidoc gebucht, wobei sie sensible Informationen hinterlassen.

Die CCC-Hacker konnten auf verschiedene Arten auf Dubidoc-Arzttermine zugreifen. Ein „menschlicher Fehler bei Wartungsarbeiten“ ermöglichte es Unbefugten, die Zugangsdaten von 324 Praxismitarbeitern auszulesen. Über das Nutzerkonto einer Ärztin erlangten die Hacker Zugriff auf Patientendaten, darunter Name, Geburtsdatum, Geschlecht, Telefonnummer, E-Mail-Adresse, Terminart, -dauer und der behandelnde Arzt. Sie konnten sogar auf ein E-Mail-Postfach zugreifen und hatten Einblick in eine Datenbank mit 3,3 Millionen Kalendereinträgen und rund 960.000 Patientendatensätzen.

Reaktion und Einschätzung

Matthias Marx, Sprecher des CCC, bezeichnet die Speicherung von Gesundheitsdaten als „verantwortungslos“ und sieht darin einen ethischen Verstoß. Er hebt hervor, dass Mindestanforderungen für den Einsatz digitaler Technologien ignoriert wurden. Dieses Datenleck sei exemplarisch für die geplante Digitalisierung des Gesundheitswesens in Deutschland.

Dubidoc gibt zu, dass ein „temporärer unbefugter Zugriff möglich war“, betont jedoch, dass es sich um ein „Subsystem auf einem separaten Server“ handle. Der Hauptsystem sei zu keinem Zeitpunkt verwundbar gewesen. Eine Überprüfung des Systems habe bisher keinen Hinweis auf Missbrauch der Daten ergeben, jedoch könne dies nicht endgültig ausgeschlossen werden.

Der Vorfall bei Dubidoc verdeutlicht die Notwendigkeit für Unternehmen im Gesundheitssektor, höchste Standards in Bezug auf Datensicherheit, Datenschutz und Transparenz zu gewährleisten, um die sensiblen Informationen ihrer Patienten zu schützen.