Eine zentrale Datenverwaltung geht immer Hand in Hand mit demselben Risiko: dass sich weniger wohlmeinende Menschen jede Menge Informationen abgreifen, die nicht in ihre Hand gehören. Ob das in diesem Fall geschehen ist, wissen wir noch nicht. Fest steht nur: Etwa eine Million private deutsche Patientendaten waren zwei Wochen lang im Netz frei abrufbar, und zwar ohne Hacker-Fähigkeiten. Die Entdecker des Datenlecks konnten sogar Arzttermine canceln oder verschieben, ganz, wie es ihnen beliebt. Zum Glück ließen sie die Finger davon und meldeten stattdessen das Problem.


Datenlecks sind leider keine Rarität

Daten von 960.000 Menschen unverschlüsselt abrufbar

Die Lücke entstand im Terminvergabesystem Dubidoc, das von vielen Arztpraxen zur einfachen Terminverwaltung verwendet wird. Das Programm ist mit einer ISO 27001-Zertifizierung versehen, alle Daten werden in einem deutschen Rechenzentrum gespeichert. So weit, so unverdächtig. Die Informationen über 960.000 Menschen mit 3,3 Millionen Behandlungsterminen scheinen sicher aufgehoben, trotzdem konnte der Chaos Computer Club CCC ohne Probleme über einen offenen PHP Sympfony Profiler auf die gesamte Datenbank zugreifen. Alle Daten waren dort unverschlüsselt abrufbar. Die »Eindringlinge« sahen Namen, Geburtsdaten, Telefonnummern, E-Mail-Adressen und Geschlechtszuordnungen ein. Sie konnten die behandelnden Ärzte identifizieren und Details über alle aktuellen Termine erfahren.

Datenleck entstand aufgrund »eines menschlichen Fehlers«

Der Abruf erfolgte einfach über das World Wide Net, ohne besondere Tricks. Die Hacker konnten sich sogar mit den Zugangsdaten einer Ärzten in Dubidoc einloggen, mit der Möglichkeit, ihre Termine vollständig zu verwalten. Doch statt Chaos zu stiften, informierte der CCC die beteiligten Unternehmen und das Datenleck konnte geschlossen werden. Es sei aufgrund eines »menschlichen Fehlers bei Wartungsarbeiten« entstanden. Kurzzeitig waren Daten von 324 Praxismitarbeitern einsehbar, ohne irgendeine Sicherheitsbarriere. Auch dieses Problem ist nun behoben und über Datenklau oder -missbrauch wurde nichts bekannt. Vielleicht war der CCC schnell genug.


Quelle: futurezone.at

Teile den Artikel oder unterstütze uns mit einer Spende.

PayPal SpendeAmazon Spendenshopping

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.