Der Chaos Computer Club (CCC) ist dafür bekannt, immer wieder Sicherheitsrisiken und Datenlecks bei Unternehmen aufzudecken. Dieses Mal hat es den Praxisterminplaner dubidoc erwischt. Eine Datenpanne bei dem Anbieter führte dazu, dass persönliche Daten von rund 960.000 Patientinnen und Patienten frei zugänglich im Netz erreichbar waren.
Der CCC schreibt in seiner Pressemitteilung dazu:
„Leider purzelten aus einem offen zugänglichen PHP Symfony Profiler Zugangsdaten für Datenbank und E-Mail sowie die Zugangsdaten von Nutzer*innen im Klartext heraus. Der Datenbank-Server war noch dazu frei aus dem Internet erreichbar.“
Datenleck trotz ISO 27001
Besonders an dem Vorfall ist, dass die Daten in einem deutschen Rechenzentrum mit ISO 27001 Zertifizierung für IT-Sicherheit gespeichert waren. Diese Zertifizierung setzt gewisse Sicherheitsstandards vorausgesetzt, wie etwa strenge Zutrittskontrollen und redundante Netzwerkanbindungen. Die Überwachung der Datensicherheit erfolgt auf mehreren Ebenen und wird von “ausgewiesenen Fachexperten” verantwortet.
Laut einem Bericht des Spiegels, war es den CCC-Mitgliedern gelungen, sich über das Benutzerkonto einer Ärztin bei dubidoc anzumelden. Der Datenzugriff war wohl über 2 Wochen möglich gewesen und es konnten bestehende Arzttermine eingesehen, verschoben und abgesagt werden.
Über 3 Millionen Behandlungstermine betroffen
Insgesamt hatten die Hacker Zugriff auf über 3 Millionen Behandlungs- und „Demo-Termine“. Neben den Termindetails, sowie Namen der behandelnden Ärzte, war der Zugriff auf Namen, Geburtsdaten, Rufnummern, Emailaderessen und Geschlechter möglich.
Der Anbieter dubidoc selbst, bestätigt die Datenpanne gegenüber dem Spiegel. Grund dafür sei ein „menschlicher Fehler bei Wartungsarbeiten“ gewesen, welcher dazu führte, dass die Zugangsdaten von 324 Praxismitarbeitern „ohne zusätzliche Sicherheitsbarriere“ ausgelesen werden konnten.
Dabei betont dubidoc, dass es sich bei dem betroffenen Server um einen separaten handle und das Hauptsystem von dubidoc nicht verwundbar gewesen sei. Darüber hinaus sei die Datenpanne behoben und die betroffenen Unternehmen und Praxis über den Vorfall informiert worden. Auch Hinweise auf einen Missbrauch der Daten seien nicht bekannt.