Ein Unternehmen, das Software für die Online-Buchung und Patientenverwaltung in Arzt- und Zahnarztpraxen entwickelt, hat irrtümlich eine Datenbank mit mehr als 3,1 Millionen persönlichen Daten von Patienten offengelegt. Hier einige Informationen zu diesem Fall, der zeigt, dass Patientendaten bei einer Speicherung niemals sicher sind.
Anzeige
Ich bin über den nachfolgenden Tweet des Sicherheitsforschers Bob Diachenko (@MayhemDayOne) auf den Fall aufmerksam geworden. Das Ganze ist auf LinkedIn dokumentiert.
[NEW REPORT] 3.1 million patients' details exposed by a medical software company, ES cluster was 'meow-ed' and all data destroyed: https://t.co/TTKnSBNcmZ
— Bob Diachenko (@MayhemDayOne) August 11, 2020
Bob Diachenko entdeckte die ungesicherte Datenbank am 13. Juli 2020 und begann sofort mit einer Untersuchung, um den Eigentümer zu ermitteln. Die Hinweise deuteten auf eine Softwarefirma namens Adit, die Software für die Online-Buchung und Patientenverwaltung in Arzt- und Zahnarztpraxen entwickelt. Diachenko schickte der Firma einen Hinweis, erhielt aber keine Antwort.
3,1 Millionen Patientendaten
Die Datenbank enthält Patientennamen, E-Mail-Adressen, Telefonnummern und die Praxen, in denen die Patienten behandelt werden. Datenbank umfasste die persönlichen Daten von mehr als 3,1 Millionen Patienten und war ohne ein Passwort oder eine andere für den Zugriff erforderliche Authentifizierung per Internet zugänglich.
Anzeige
Daten plötzlich unbrauchbar
Etwas mehr als eine Woche nach der Entdeckung waren die Daten plötzlich vernichtet. Diachenko vermutet, dass die Daten möglicherweise von einem böswilligen Bot gestohlen worden sein könnten. Der "Meow Bot" hat in den letzten Wochen Hunderte von ungeschützten Datenbanken angegriffen. Doch im Gegensatz zu anderen bösartigen Bots, die exponierte Daten finden und löschen, verlangt er kein Lösegeld, was einige zu der Annahme veranlasst hat, dass der Bot in Wirklichkeit wohlwollend ist und die Informationen der betroffenen Personen schützen will. Er ist identisch mit einem anderen Angriff, den Sicherheitsforscher eine Woche zuvor gegen ein UFO-VPN beobachtet haben, und veranschaulicht die Verbreitung von Meow-Bots und ihre Fähigkeit, ungesicherte Datenbanken zu finden und anzugreifen. Weitere Details sind hier nachlesbar.
Anzeige
Genau das befürchten Ärzte, Ärztinnen und Patientenschützer in Deutschland im Zusammenhang mit der Telematikinfrastruktur (TI). Sie ist eine zentrale Lösung, in der behandelnde Ärzte und medizinische Einrichtungen Zugang zu wichtigen Daten bekommen sollen, wenn die Patienten dem zustimmen. Da hängen zunächst das Versichertenstammdatenmanagment (VSDM), demnächst noch der elektronische Medikationsplan (eMP), das Notfalldatenmanagement (NFDM), künftig auch der Impfausweis, die Kommunikationsdienste KIM (Kommunikation im Medizinwesen), kv.dox (von der KBV betrieben) und KV-Connect (wird zu KIM migriert), der elektronische Datenaustausch im Disease-Management (eDMP), der elektronische Arztbrief (eArztbrief) im Zusammenhang mit der qualifizierten elektronischen Signatur (QES, rechtssichere digitale Unterschrift) oder auch die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) dran.
Zum Verständnis: Viele Ärzte sind 60+ und sollen sich jetzt mit allgemeinen IT-Grundlagen, IT-Sicherheit, Datenschutz und Datensicherheit auseinandersetzen. Wenn man sich allein die Dauerbaustelle Konnektor anschaut, wundert es viele nicht, dass die Digitalisierung im Gesundheitswesen kritisch beäugt wird. Manche sprechen vom "BER des Gesundheitswesens". Künftig sind Arztpraxen, Zahnarztpraxen, Psychotherapeuten, Apotheken, Krankenhäuser, Krankenkassen, die Kassenärztlichen Vereinigungen und künftig auch Hebammen, Pflegekräfte und Co. miteinander vernetzt und das alles über TI.
Wer haftet im Sicherheitsvorfall? Was, wenn hochsensible Patientendaten in falsche Hände geraten? Was passiert, wenn die TI mal länger ausfällt? Man könnte noch viel mehr Fragen stellen.
Ich sage es mal so: Wenn es nur die Dauerbaustelle Konnektoren und Ärzte 60+ wären, ginge es uns noch gut …
sollte ich 2022 hier noch bloggen, kann ich mich schon heute auf nette Artikel zu 'Vorfällen' freuen.
Wir haben schon etwas länger 2020 ;)
Da war eine 2 runtergefallen – ich sage ja, ich sollte aufhören …
Ehm. Nein. Ich bin dagegen – und mit Sicherheit auch viele Andere. :)
Inzwischen ist es so, daß man bei Dir erheblich mehr Informationen bekommt, als bei den alteingesessenen Seiten.
Das soll ein Kompliment sein. ;)
Eine runtergefallene Zahl ist noch lange kein Grund um Aufzuhören. Da müssten vorher viele andere den Job an den Nagel hängen. :)
Ich hoffe Du und Dein Blog bleibst uns allen noch lange erhalten.
Diese Meldung passt in diesem Kontext auch ganz gut:
https://www.heise.de/tp/features/Oberster-Datenschuetzer-und-73-Mio-Buerger-ausgetrickst-4863346.html
Wurde auch im Kuketz Blog schon thematisiert. Erstaunlicherweise (oder auch nicht ?) hat man in den großen Medien und den ÖR bislang noch gar nichts davon gehört oder gelesen, obwohl schon seit mehreren Tagen bekannt.
Klingt alles nach einer interessanten Zukunft, gerade auch für Datenabschnorchler. Aber Daten sind ja das Gold der Zukunft, wie wir alle wissen. Egal, wo sie herkommen und was mit diesen geschieht. Das Thema DSGVO hat dann auch erstmal nur untergeordnete Prio…
Oh, danke für diesen Beitrag und den Link auf Telepolis!
Fazit: Leider wird das immer vergessen und es ist immer meine Rede, dass Datenschutz vor DSGVO (BDSG) und Datenschutz nach DSGVO (BDSG) nichts wert ist.
Es wird nichts geschützt, wenn alles offen ist. Internet macht Freude und findet viele Freunde für leichten Zugang zu Daten, die so NIE möglich gewesen wären.
NB: Ich muss mal wieder öfter bei Telepolis vorbeischauen. Die haben mich irgendwie mal vergrazt.
Wie zukünftig mit sensitivsten Patientendaten umgegangen werden darf (und soll) ist ja das eine. Meiner Meinung nach sehr zweifelhaft, das Thema personenbezogene Daten und deren präventiver Schutz interessiert dabei anscheinend genau niemanden (öffentlich wird jedoch geheuchelt, wie wichtig der Schutz dieser sei).
Aber wie seitens der Politik mal wieder hinterrücks an der Öffentlichkeit vorbei verdrehte Fakten im Vergleich zum Stand der öffentlichen Diskussion geschaffen werden, das ist der eigentliche Skandal. Bleibt aber offensichtlich unter der Decke medialer Informationsbereitstellung. Thematik von den großen Medien bislang verpennt, zu wenig Brot-und-Spiele- bzw. Fussball-affin, Maulkorb? Who knows…