Doc Cirrus setzt auf sogenannte Datensafes, die Praxen erhalten dafür eigene Mikroserver. Die Rechner stehen in der Praxis, Ärzt:innen können die Akte pflegen und Patient:innen über das Internet Zugriff auf die sie betreffenden Dokumente gewähren. Genau dieser externe Zugriff war offenbar die Schwachstelle.

Über das zentrale Zugangsportal von Doc Cirrus fand „Zerforschung“ die Zugriffsdaten der Arztpraxen. Damit waren laut Spiegel-Bericht nicht nur E-Mails der Ärzt:innen einsehbar, das Kollektiv hätte auch in ihrem Namen Mails schreiben können. Ein Zugriff auf die Daten der Patient:innen auf dem jeweiligen Server sei ebenfalls möglich gewesen. Laut NDR und WDR geht der Berliner Datenschutzbeauftragte davon aus, dass 270 Praxen und mehr als 60.000 Patient:innen betroffen waren.

Hersteller reagiert

Der Hersteller hatte die Sicherheitsprobleme eingeräumt und die Dienste abgeschaltet. „Unsere Analysen von Logs und Zugriffsmustern bieten keinen Grund zur Annahme, dass abseits des Responsible-Disclosure-Verfahrens Praxis- oder Patienteninformationen von Dritten eingesehen oder abgegriffen wurden“, heiß es in einer Stellungnahme im Juli.

„Zerforschung“ weist noch darauf hin, dass potenzielle Angreifer auch Zugriff auf die Logfiles der Server hatten, sodass ein potenzieller Einbruch hätte verschleiert werden können. Zudem fordern sie den Datenschutzbeauftragten auf, eine empfindliche Strafe gegen das Unternehmen zu verhängen.