Ungefähr eine Million Patient*innen-Datensätze des Praxis-Terminplaners "dubidoc" waren offen zugänglich, inklusive Informationen über etwa drei Millionen Behandlungs- und "Demo-Termine". Unmittelbar nach Entdeckung informierten wir das erkrankte Unternehmen und die Landesdatenschutzbehörde Nordrhein-Westfalen.

Es wird die geneigte Leserin kaum überraschen, dass wir auf diese Daten zugreifen konnten, obwohl sie in einem deutschen Rechenzentrum mit ISO 27001 Zertifizierung für IT-Sicherheit gespeichert werden. Die Sicherheitsmaßnahmen umfassen unter anderem strenge Zutrittskontrollen, eine Notstromversorgung und redundante Netzwerkanbindungen. Die Überwachung der Datensicherheit erfolgt auf mehreren Ebenen und wird von "ausgewiesenen Fachexperten" verantwortet.

Leider purzelten aus einem offen zugänglichen PHP Symfony Profiler Zugangsdaten für Datenbank und E-Mail sowie die Zugangsdaten von Nutzer*innen im Klartext heraus. Der Datenbank-Server war noch dazu frei aus dem Internet erreichbar.

Angeblich könne dieser freie Datenbank-Zugriff leider nicht eingeschränkt werden, weil die Applikation auf einem Managed Server bei einem "renommierten Provider" gehostet ist, teilt das Unternehmen mit. Eine Ausrede, die –selbst wenn sie wahr wäre– selbstverständlich keine ist.

Zu weiteren Risiken und Nebenwirkungen der Digitalisierung des Gesundheitswesens lesen Sie unsere 10 Prüfsteine und fragen Sie Ihre Ärztin oder Apothekerin.

Dieser Beitrag erschien in der Reihe Disclosure.