Datenpanne bei Doc Cirrus
Das Hackerkollektiv „Zerforschung“ hat laut einem Bericht des „Spiegel“ ernste Sicherheitslücken in der Praxissoftware „Doc Cirrus“ gefunden. Demnach seien die Daten von Zehntausenden Patient:innen einsehbar gewesen – inklusive der Befunde. Die Firma habe die Schwachstelle bestätigt und nach eigenen Angaben inzwischen geschlossen.
Doc Cirrus setzt auf sogenannte Datensafes, die Praxen erhalten dafür eigene Mikroserver. Die Rechner stehen in der Praxis, Ärzt:innen können die Akte pflegen und Patient:innen über das Internet Zugriff auf die sie betreffenden Dokumente gewähren. Genau dieser externe Zugriff war offenbar die Schwachstelle.
Über das zentrale Zugangsportal von Doc Cirrus fand „Zerforschung“ die Zugriffsdaten der Arztpraxen. Damit waren laut Spiegel-Bericht nicht nur E-Mails der Ärzt:innen einsehbar, das Kollektiv hätte auch in ihrem Namen Mails schreiben können. Ein Zugriff auf die Daten der Patient:innen auf dem jeweiligen Server sei ebenfalls möglich gewesen. Laut NDR und WDR geht der Berliner Datenschutzbeauftragte davon aus, dass 270 Praxen und mehr als 60.000 Patient:innen betroffen waren.
Hersteller reagiert
Der Hersteller hatte die Sicherheitsprobleme eingeräumt und die Dienste abgeschaltet. „Unsere Analysen von Logs und Zugriffsmustern bieten keinen Grund zur Annahme, dass abseits des Responsible-Disclosure-Verfahrens Praxis- oder Patienteninformationen von Dritten eingesehen oder abgegriffen wurden“, heiß es in einer Stellungnahme im Juli.
„Zerforschung“ weist noch darauf hin, dass potenzielle Angreifer auch Zugriff auf die Logfiles der Server hatten, sodass ein potenzieller Einbruch hätte verschleiert werden können. Zudem fordern sie den Datenschutzbeauftragten auf, eine empfindliche Strafe gegen das Unternehmen zu verhängen.
APOTHEKE ADHOC Debatte