Offen zugängliche Patientendaten trotz ISO 27001-Zertifizierung
Quelle: CCC (Chaos Computer Club) 2024-02-16 09:17:28, kantorkel
Der Schutz personenbezogener Daten ist uns wichtig. Deshalb haben wir mal wieder ein Unternehmen freundlich auf ein massives Datenleck hingewiesen – ungeachtet der möglichen juristischen Konsequenzen durch den Hacker-Paragraphen.
Ungefähr eine Million Patient*innen-Datensätze des Praxis-Terminplaners "dubidoc" waren offen zugänglich, inklusive Informationen über etwa drei Millionen Behandlungs- und "Demo-Termine". Unmittelbar nach Entdeckung informierten wir das erkrankte Unternehmen und die Landesdatenschutzbehörde Nordrhein-Westfalen.
Es wird die geneigte Leserin kaum überraschen, dass wir auf diese Daten zugreifen konnten, obwohl sie in einem deutschen Rechenzentrum mit ISO 27001 Zertifizierung für IT-Sicherheit gespeichert werden. Die Sicherheitsmaßnahmen umfassen unter anderem strenge Zutrittskontrollen, eine Notstromversorgung und redundante Netzwerkanbindungen. Die Überwachung der Datensicherheit erfolgt auf mehreren Ebenen und wird von "ausgewiesenen Fachexperten" verantwortet.
Leider purzelten aus einem offen zugänglichen PHP Symfony Profiler Zugangsdaten für Datenbank und E-Mail sowie die Zugangsdaten von Nutzer*innen im Klartext heraus. Der Datenbank-Server war noch dazu frei aus dem Internet erreichbar.
Angeblich könne dieser freie Datenbank-Zugriff leider nicht eingeschränkt werden, weil die Applikation auf einem Managed Server bei einem "renommierten Provider" gehostet ist, teilt das Unternehmen mit. Eine Ausrede, die –selbst wenn sie wahr wäre– selbstverständlich keine ist.
Zu weiteren Risiken und Nebenwirkungen der Digitalisierung des Gesundheitswesens lesen Sie unsere 10 Prüfsteine und fragen Sie Ihre Ärztin oder Apothekerin.
Dieser Beitrag erschien in der Reihe Disclosure.
Der Chaos Computer Club e. V. (CCC) ist die größte europäische Hackervereinigung und seit über dreißig Jahren Vermittler im Spannungsfeld technischer und sozialer Entwicklungen. Die Aktivitäten des Clubs reichen von technischer Forschung und Erkundung am Rande des Technologieuniversums über Kampagnen, Veranstaltungen, Politikberatung, Pressemitteilungen und Publikationen bis zum Betrieb von Anonymisierungsdiensten und Kommunikationsmitteln. Der Club besteht aus einer Reihe dezentraler lokaler Vereine und Gruppen. Diese organisieren regelmäßige Veranstaltungen und Treffen in vielen Städten des deutschsprachigen Raums. Der CCC vermittelt seine Anliegen über vielfältige Publikationswege und sucht stets das Gespräch mit technisch und sozial Interessierten und Gleichgesinnten. Außerdem fordert und fördert er den Spaß am Gerät und lebt damit die Grundsätze der Hackerethik.
