Sicherheitslücken: Eine Million Patienten von Datenleck betroffen

Das Gesundheitsportal Doccirrus wirbt mit einem Datensafe und Ende-zu-Ende-Verschlüsselung, doch Forscher konnten Daten aus Arztpraxen dennoch abrufen.

Artikel veröffentlicht am ,
Gesundheitsdaten sollten besonders gut geschützt werden.
Gesundheitsdaten sollten besonders gut geschützt werden. (Bild: mcmurryjulie/Pixabay)

Das Gesundheitsportal Doccirrus speichert Patientendaten vermeintlich sicher in einem "Datensafe Ihrer Arztpraxis". Patienten sollen die Daten dann Ende-zu-Ende-verschlüsselt über das Gesundheitsportal aus dem Datensafe der Arztpraxis abrufen können. Dem Kollektiv Zerforschung gelang es jedoch, alle Patientendaten unverschlüsselt abzurufen.

Stellenmarkt
  1. Teamleiter (m/w/d) Bereich IT-Infrastructure & Security
    PÖSCHL TABAK GmbH & Co. KG, Geisenhausen
  2. Digitalkoordinator/in (w/m/d)
    Stadt NÜRNBERG, Nürnberg
Detailsuche

Ein erstes Problem stellten die Sicherheitsforscher fest, indem sie Entwicklertools im Browser öffneten und bei einem Besuch der Praxiswebseite auf Doccirrus feststellten, dass nicht nur die ausgegebenen Informationen übertragen werden, sondern auch die Zugangsdaten zum E-Mail-Postfach der Praxis. Dort konnten alle E-Mails eingesehen werden, die die Praxis bekommt - inklusive privatester Informationen der Patienten.

Nicht besonders sicherer Datensafe

Auch mit dem Schutz der Daten auf dem Datensafe genannten Rechner in der jeweiligen Arztpraxis ist es nicht weit her. Über das Gesundheitsportal von Doccirrus können die Patienten ihre Daten auf dem sogenannten Datensafe anfordern. Das Portal agiert dabei als Proxy: Damit es die übertragenen Daten nicht mitlesen kann, sollen sie Ende-zu-Ende-verschlüsselt werden.

Die Sicherheitsforscher warfen wieder die Entwicklertools des Browsers an und riefen Dateien ab. Dabei wurde die Liste der Dokumente mit IDs und Abruflinks verschlüsselt übertragen - allerdings nicht die Dokumente selbst.

Golem Karrierewelt
  1. Implementing Cisco Enterprise Wireless Networks (ENWLSI): virtueller Fünf-Tage-Workshop
    10.-14.10.2022, virtuell
  2. Deep-Dive Kubernetes – Observability, Monitoring & Alerting: virtueller Ein-Tages-Workshop
    10.11.2022, Virtuell
Weitere IT-Trainings

"Damit die Liste verschlüsselt werden kann, sendet der Browser mit, an wen verschlüsselt werden soll. Ganz naiv probieren wir aus, was passiert, wenn wir diese Information weglassen. Wir hätten erwartet, dass der Server hier einen Fehler anzeigt und wir nicht weiter kommen - doch stattdessen wird die Anfrage einfach beantwortet. Unverschlüsselt", schrieb Zerforschung.

Daten aller Arztpraxen konnten abgerufen werden

Anschließend stellten die Sicherheitsforscher fest, dass sie sich nicht nur eine Liste ihrer eigenen Dokumente, sondern alle Dokumente der Arztpraxis ausgeben lassen konnten: "Krankschreibungen, ausgestellte Rezepte, Diagnosen, Überweisungen an andere Ärzt*innen... wirklich ALLES." Auch eine Liste aller Patienten konnten sie sich anzeigen lassen, inklusive Name, Adresse, Geburtsdatum, Telefonnummer und E-Mail-Adresse, teilweise auch die verordneten Medikamente sowie den Versicherungsstatus mit Versicherung und Versicherungsnummer.

Die Rechnungen, welche die Praxis stellte, sowie die Einträge in der Patientenakte und Zertifikate für die Kommunikation mit dem TI-Konnektor, der für die Abrechnung mit den Krankenkassen verwendet wird, waren ebenfalls einsehbar. Später fanden die Forscher heraus, dass sie auf dem Proxy beliebige Aktionen mit Administratorrechten ausführen konnten.

Die genannten Daten konnten jedoch nicht nur bei der einen Arztpraxis abgerufen werden, mit der die Sicherheitsforscher ihre Tests begannen, sondern bei allen Praxen, die Kunden bei Doccirrus sind - ein riesiges Datenleck, von dem circa eine Million Patienten betroffen sind.

ISO-Zertifikate sorgen nicht für Sicherheit

Die gefundenen Sicherheitslücken gehörten mit zu den trivialsten Lücken, betonte Zerforschung. "Fehler wie diese dürfen eigentlich nicht passieren und zeigen krasse Defizite in den Entwicklungs-Prozessen im Unternehmen auf. Da helfen auch ganz viele Zertifizierungen nicht - von denen das Unternehmen gleich eine ganze Reihe besitzt: ISO9001, ISO27001 und ganz viele verschiedene von der KBV. Doch bei keiner dieser Zertifizierungen wurde das Produkt tatsächlich kritisch überprüft."

Bei der Meldung habe das Unternehmen zwar betroffen reagiert und das Portal vorübergehend abgeschaltet. Von einer Information der Betroffenen, deren sensible und schützenswerte Gesundheitsdaten potentiell von Dritten eingesehen werden konnten, wisse man aber nichts, schrieb Zerforschung. Immerhin die Lücken sollen mittlerweile behoben sein.

Zerforschung fordert, die IT-Sicherheit gehöre bei Softwareherstellern ganz oben auf die Prioritätenlisten: "Wenn ein Produkt marktreif genug ist, um persönliche Daten zu speichern, muss es auch reif genug sein, diese für sich zu behalten."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


WalterSobchak 12. Aug 2022 / Themenstart

Die Fachkräfte sind alle längst weg. Bei der Bude ist aber bestimmt ganz toll...

Termuellinator 12. Aug 2022 / Themenstart

Ja, dass bei solchen voellig laecherlichen Totalausfaellen keine weitergehenden...

Extrawurst 12. Aug 2022 / Themenstart

Mein Vertrauen in dem vom Staat, Behörden und Krankenkassen gebotenen Datenschutz war eh...

Kommentieren



Aktuell auf der Startseite von Golem.de
Verwirrendes USB
Trennt die Klassengesellschaft!

USB ist ziemlich verwirrend geworden, daran werden auch neue Logos nichts ändern. Das Problem ist konzeptuell.
Ein IMHO von Johannes Hiltscher

Verwirrendes USB: Trennt die Klassengesellschaft!
Artikel
  1. Berufsschule für die IT-Branche: Leider nicht mal ausreichend
    Berufsschule für die IT-Branche
    Leider nicht mal "ausreichend"

    Lehrmaterial wie aus einem Schüleralbtraum, ein veralteter Rahmenlehrplan und nette Lehrer, denen aber die Praxis fehlt - mein Fazit aus drei Jahren als Berufsschullehrer.
    Ein Erfahrungsbericht von Rene Koch

  2. Vorratsdatenspeicherung: CDU/CSU wollen IP-Adressen sechs Monate lang speichern
    Vorratsdatenspeicherung
    CDU/CSU wollen IP-Adressen sechs Monate lang speichern

    Die Unionsfraktion setzt weiterhin auf eine Vorratsdatenspeicherung von IP-Adressen. Quick-Freeze sei eine "Nebelkerze".

  3. Next Generation wird 35: Der Goldstandard für Star Trek
    Next Generation wird 35
    Der Goldstandard für Star Trek

    Mit Next Generation wollte Paramount den Erfolg der ursprünglichen Star-Trek-Serie nutzen - und schuf dabei eine, die das Original am Ende überstrahlte.
    Von Tobias Költzsch

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn Technik-Booster • Viewsonic Curved 27" FHD 240 Hz günstig wie nie: 179,90€ • MindStar (Gigabyte RTX 3060 Ti 499€, ASRock RX 6800 579€) • AMD Ryzen 7000 jetzt bestellbar • Alternate (Kingston Fury DDR5-5600 16GB 96,90€) [Werbung]
    •  /