Sicherheitslücke in Praxissoftware – Sensible Patientendaten einsehbar

Sicherheitslücke in Praxissoftware – sensible Patientendaten einsehbar

Das Hackerkollektiv „Zerforschung“ hat in der Praxissoftware „InSuite“ von DocCirrus massive Schwachstellen entdeckt. Durch diese waren die sensibelsten Daten von mehreren zehntausend Patienten frei einsehbar. Das Unternehmen hat die Probleme in einer Pressemitteilung eingeräumt und sich bei den Betroffenen entschuldigt.

Was hat das Hackerkollektiv herausgefunden?

Zerforschung bezeichnet sich selbst als „Kollektiv aus Menschen, die Spaß daran haben, Technik auseinanderzunehmen, um zu verstehen, wie diese funktioniert.“ Im vorliegenden Fall schauten sie sich die Softwarelösung für Arztpraxen „InSuite“ genauer an. Am 26. Juni dieses Jahres konnten sie durch die Schwachstelle an die sensibelsten Daten wie beispielsweise Kontaktdaten, Behandlungsverläufe oder Versicherungsnummern zehntausender Patienten gelangen. Hierzu meldeten sie sich zunächst auf der Webseite an. Anschließend war sofort eine Liste der Praxen sichtbar, bei denen man registriert ist. Über die verschiedenen Praxen wurden zunächst nur Informationen über die Öffnungszeiten und die Adresse angezeigt. Mit einem Blick in die Entwickler-Tools stellten das Hackerkollektiv fest, dass auch weitere Details einsehbar sind, darunter die Zugangsdaten zum allgemeinen E-Mail-Postfach der Praxis. Konkret bedeutet das, dass es den Forschern möglich war, alle Mails, die die Praxis erhält, zu lesen. Zudem stellten sie fest, dass Dokumente selbst – entgegen der Angaben der Software – nicht Ende-zu-Ende-verschlüsselt übertragen werden. Sensible Informationen wie die Ergebnisse von Bluttests oder Krankheitsbefunde konnten hierdurch an Dritte gelangen. Hierzu muss lediglich die Information in der Anfrage des Browsers, an wen verschlüsselt werden soll, weggelassen werden.

Welche weiteren Schwachstellen wurden entdeckt?

Es gelang „Zerforschung“ darüber hinaus, die Anfragen, um eigene Dokumente abrufen zu können, zu ändern. Bereits durch eine kleine Änderung erhielten sie eine Liste mit sämtlichen Dokumenten, die in der Arztpraxis gespeichert sind. Darunter befanden sich neben Rezepten und Krankschreibungen auch Diagnosen oder Überweisungen zu anderen Ärzten. Eine weitere kleine Änderung in der Anfrage führte dazu, dass sie eine Liste aller Praxispatienten erhielten. Diese beinhaltete auch Informationen über die Adresse, das Geburtsdatum, die Versicherungsnummer und mehr. Auch weitere Dokumente wie Rechnungen der Arztpraxis oder Zertifikate für die Abrechnung mit der Krankenkasse konnten aufgerufen werden. Es gelang ihnen beliebige Aktionen auszuführen, die eigentlich der Administrator ausführen können sollte. Die Sicherheitslücke betraf jedoch nicht nur eine Praxis, die Hacker konnten sich in allen Praxen registrieren und die Daten aller Patienten aus der jeweiligen Praxis abrufen.

DocCirrus räumt die Probleme ein

Nach der Entdeckung am 26. Juni wendete sich „Zerforschung“ umgehend an den Hersteller DocCirrus sowie an den CERTBund beim Bundesamt für Sicherheit in der Informationstechnik und den Berliner Landesdatenschutzbeauftragten. Letzterer geht davon aus, dass 270 Arztpraxen und mehr als 60 000 Patienten betroffen waren. DocCirrus reagierte umgehend und schaltete das System zunächst vollständig ab. Seit dem 25. Juli ist die Softwarelösung nun teilweise wieder online. Laut Hersteller wurden die betroffenen Patienten informiert und die Sicherheitslücken behoben. Da es sich jedoch um sensible Daten handelt, die durch die DSGVO besonders geschützt sind, fordert „Zerforschung“ ein Vorgehen gegen das Unternehmen und eine Strafe.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Nach 28 Jahren ist Schluss – MetaGer künftig nur noch kostenpflichtig

Nach 28 Jahren ist Schluss

MetaGer künftig nur noch kostenpflichtig

Nach mehr als 28 Jahren endet eine Ära des deutschen Suchmaschinen-Urgesteins MetaGer. Grund hierfür ist, dass Yahoo sämtliche Verträge gekündigt hat, weshalb eine Werbefinanzierung und damit eine kostenlose Nutzung nicht mehr möglich ist. […]

Hackerangriff auf Radiosender – Cyberkriminelle fordern Lösegeld

Hackerangriff auf Radiosender

Cyberkriminelle fordern Lösegeld

Cyberkriminelle haben es auf den Münchner Radiosender Geretsried abgesehen und sämtliche Musikdateien verschlüsselt. Der Sender muss aktuell ein Notband laufen lassen. Die geforderte Lösegeldsumme, um wieder Zugriff auf die Dateien zu erhalten, will der Sender jedoch nicht zahlen. […]

Comeback für ausrangierte Smartphones – Informationskampagne der VZ

Comeback für ausrangierte Smartphones

Informationskampagne der VZ

Smartphones werden ständig durch neue Modelle ersetzt. Die alten Handys landen dann in Schubladen. Im Rahmen einer Info-Kampagne fordern die Verbraucherzentralen dazu auf, ausrangierte Handys stattdessen fachgerecht zu entsorgen oder zu spenden. Das spart Geld und wertvolle Ressourcen. […]

Großflächige Handyüberwachung – wie ist die Rechtsgrundlage der Maßnahme?

Großflächige Handyüberwachung

Wie ist die Rechtsgrundlage der Maßnahme?

2020 wurde eine großflächige Handyüberwachung von Telefónica-Mobilfunkkunden durchgeführt. Die Rechtsgrundlage für eine solche Maßnahme ist bis heute umstritten. Experten fordern daher den Gesetzgeber dazu auf, das sogenannte „IP-Catching“ endlich deutlich zu regeln. […]

Urteile des EuGH - Milliardenstrafe gegen Google und Apple verhängt

Urteile des EuGH

Milliardenstrafe gegen Google und Apple verhängt

Der EuGH hat zwei Urteile gegen zwei Internetriesen gefällt. Google muss 2,4 Milliarden Euro Strafe zahlen, Apple steht vor 13 Milliarden Euro Steuernachzahlung. Die Entscheidungen verdeutlichen die strengen Wettbewerbsvorschriften und Steuerregulierungen der EU gegen Tech-Giganten. […]