Gesichter, Körper, Operationen: Patientendaten von Schönheits-OPs in ungeschützter Datenbank

"All Ihre Daten sind zu 100 Prozent sicher", rühmt sich der französische Softwaredienstleister Nextmotion. Allerdings speicherte das französische Unternehmen Patientendaten von plastischen Chirurgen in einer ungesicherten und unverschlüsselten Datenbank ab. Das fiel den Entwicklern von VPNmentor auf. Sie fanden die Lücke durch Port Scanning. Demnach war die fragliche Datenbank bereits dann abrufbar, wenn Anwender sie per IP-Adresse ansteuerten. Nextmotion bedient nach eigenen Angaben etwa 170 Kliniken in 35 Ländern.

Zu den ungesicherten Daten zählten Patientenakten mit persönlichen Informationen wie Namen, Adressen und Zahlungsinformationen. Die chirurgischen Eingriffe an diversen Körperteilen sind dort ebenso abgelegt wie wohl Hunderttausende Bilder von Gesichtern Körperregionen der Patienten. Für die Kliniken könnte das Verbreiten dieser teils sehr persönlichen Informationen nach Darstellung von VPNmentor geschäftsbedrohlich sein, wenn Kunden in der Folge wegen Misstrauens zu einem Wettbewerber wechseln. Nextmotion selbst stehen mit hoher Wahrscheinlichkeit Gerichtsverfahren bevor, weil das Unternehmen gelogen und gegen die Datenschutzgrundverordnung verstoßen hat.

AWS für die Infrastruktur

Nextmotion hat für das Speichern in der Datenbank S3-Buckets von Amazon Web Services gemietet. Der Cloud-Anbieter selbst wusste von den Sicherheitslücken nichts, denn er stellt in diesem Fall nur die für die Software notwendige Infrastruktur zur Verfügung. VPNmentor gibt an, dass AWS Kunden darauf hinweist, wie sie ihre Daten möglichst sicher ablegen könnten. Der Konzern wurde über den Vorfall informiert. Das gilt auch für Nextmotion selbst, die anscheinend mehr als zwei Wochen für eine Antwort brauchten.

Nextmotions Produkt umfasst neben der Datenspeicherung wohl auch eine Software, mit der sich Kunden kosmetische Veränderungen durch Operationen bereits vorher anschauen können. Das System speichert Patientenakten, Bilder und Videos und soll diese für Ärzte einfach und vollständig digital editierbar machen. Kliniken bezahlen für den Dienst ab 100 Euro im Monat. Nextmotion gibt an, dass die Sicherheitslücke mittlerweile vollständig geschlossen sei. Das Unternehmen entschuldigte sich bei seinen Kunden für den "kleinen Zwischenfall".