inSuite von Doc Cirrus
Datenleck in Praxissoftware – Zehntausende Patientendaten im Web zugänglich
In der Praxissoftware inSuite von Doc Cirrus haben Datenaktivisten gravierende Datenlücken entdeckt, über die Patientendaten zugänglich waren. Die Rede ist von über 60.000 betroffenen Patienten und 270 Praxen. Das Unternehmen spricht von Programmierfehlern.
Veröffentlicht:
Ende-zu-Ende-Verschlüsselung und doch Daten im Zugriff von Unbefugten? Datenaktivisten haben einmal mehr eine Lücke in einem PVS entdeckt.
© NicoElNino / stock.adobe.com
Berlin. Datenaktivisten der Gruppe „Zerforschung“ haben nach eigenen Angaben im Praxisverwaltungssystem inSuite von Doc Cirrus Datenlecks entdeckt, die es ermöglicht haben, auf E-Mail-Konten der in der Software registrierten Arztpraxen zuzugreifen. Darüber sei es möglich gewesen, die E-Mail-Kommunikation zwischen den Ärzten und Patienten einzusehen.
Zudem hätten sie persönliche Patientendaten einsehen können, zum Beispiel Laborbefunde, Blutwerte oder Atteste, heißt es in dem Bericht, den die Gruppe veröffentlicht hat, nachdem sie zuvor das Unternehmen und den Berliner Datenschutzbeauftragten informiert hatte. „Daten von mehr als einer Million Patienten“ habe die Software „verloren“, heißt es.
Laut Tagesschau.de hat der Berliner Datenschutzbeauftragte bestätigt, dass er Hinweise zu einer Sicherheitslücke von Gesundheitsdaten bekommen habe, von der „mehr als 60.000 Patientinnen und Patienten von mehr als 270 Praxen betroffen“ seien. Doc Cirrus zeigt sich in einer Pressemitteilung dankbar, auf „Programmierfehler in unserer Software“ aufmerksam gemacht worden zu sein.
„Schwachstellen im Bereich der Arzt-Patienten-Kommunikation“ hätten „unbefugte Dritte mit IT-Know-how und Fachkenntnissen in die Lage versetzt“, unbefugt auf Einrichtungs- und Patientendaten einiger Kunden zuzugreifen. Die Programmierfehler seien mittlerweile behoben, die betroffenen Dienste seien größtenteils wieder aktiv. Die betroffenen Kunden seien informiert worden.
„IT-Sicherheit gehört nach oben auf der Prioliste“
Auf der Website verweist Doc Cirrus auf umfangreiche Zertifizierungen, inklusive ein Zertifikat der Kassenärztlichen Bundesvereinigung (KBV) als zugelassene Software zur Abrechnung und anderem mehr. Auch über ein CE-Kennzeichen verfügt die Software. Das Unternehmen wirbt damit, dass die Daten zu 100 Prozent lokal gespeichert würden, „auf Ihrem Doc Cirrus Datensafe“.
Die Datenaktivisten von „Zerforschung“ fordern unter anderem, dass das Unternehmen und die betroffenen Praxen alle Patienten über diese Lücke informieren und dass die Datenschutzbehörde gegen das Unternehmen vorgeht und Strafen ausspricht. Datenschutz und IT-Sicherheit müssten „bei Software-Herstellern ganz oben auf die Prioritätenliste“. (ger)
