Unter diesem Titel informiert „Zerforschung“, eine Gruppe von IT-Sicherheitsforscher*innen, über ihre Erfahrungen bei der Untersuchung der in Arztpraxen eingesetzten Software “InSuite” von DocCirrus.

Die Software “inSuite” soll Ärztinnen und Ärzten ihren Praxisalltag erleichtern: Durch ein Terminbuchungstool, digitalisierte Patientenakten oder die Möglichkeit, Dokumente wie etwa Laborbefunde direkt mit Patienten oder anderen behandelnden Ärzten zu teilen. Wer auf die Homepage der Berliner Firma Doc Cirrus geht, wird mit Werbeversprechen überhäuft: Die Software sei wartungs- und sorgenfrei, eine maßgeschneiderte und zukunftsorientierte Lösung für jede Arztpraxis. Und natürlich – so schreibt der Hersteller – seien die Patientendaten absolut sicher: Er verspricht ein 360°-IT-Sicherheitskonzept und den Schutz vor unbefugten Zugriffen.

Schon im ersten Absatz des Erfahrungsberichts der Gruppe „Zerforschung“ wird deutlich, was von diesem Heilsversprechen zu halten ist: „Unfassbar, aber wahr: Auch in Deutschland kommt die Digitalisierung an. Mittlerweile sogar in Arztpraxen. Termine buchen, Akten durchsuchen, Krankschreibungen und Abrechnungen ausstellen – das alles kann mit einer Software erledigt werden. Die kennt dann Praxen und Patient*innen sehr gut – sehr, sehr gut sogar. Genauso unfassbar, aber leider auch wahr: Als wir uns eine dieser Softwarelösungen für Arztpraxen mal genauer angeschaut haben, hat sie sehr viele Daten verloren. Sehr, sehr viele: Von mehr als einer Million Patient*innen.“

Detailliert wird im Erfahrungsbericht beschrieben, was mit der Software von DocCirrus möglich ist und welche Lücken das Sicherheitskonzept beim Schutz der Patient*innen- und Behandlungsdaten aufweist. In mehreren Kapiteln unter den Überschriften

• „Schock 1: Ich sehe was, was du deinen Ärzt*innen schreibst
• Schock 2: Ente-zu-Ente-Verschlüsselung: Alles nur quak
• Schock 3: Wir kennen alle Dokumente deiner Ärzt*innen
• Schock 4: Wir können alle Infos der Praxis abrufen
• Schock 5: Wir können Daten aus mehreren Praxen abrufen“

werden die Probleme detailliert beschrieben. Um dann festzustellen: „… Wir sind nun in allen Praxen registriert. Das heißt auch: Wir können in allen Praxen die Daten aller Patient*innen abrufen. Das haben wir natürlich nicht getan – sondern uns für jede Praxis nur angeschaut, wie viele Patient*innen dort im System registriert sind. ohhhhh fuuuuuuck, ich habe gerade mal die anzahl der patient*innen zusammengezählt das sind mehr als 1.750.000“.

Nach Abschluss ihrer Recherchen hat „Zerforschung“ den Hersteller der Software, die Berliner Landesdatenschutzbeauftragte sowie das CERTBund beim BSI über ihre Erkenntnisse informiert.

In ihrem Erfahrungsbericht informieren sie über die Reaktion des betroffenen Unternehmens: „Was dann passierte, hatten wir bisher nicht erlebt: Das Unternehmen hat das System erstmal abgeschaltet. Bei der Schwere der Sicherheitslücken fanden wir das aber auch angebracht. Und auch sonst hat sich der Hersteller erstmal gut verhalten: Er hat sich von sich aus bei uns gemeldet, die Lücken bestätigt und angekündigt, die Betroffenen darüber zu informieren, welche Daten abgeflossen sind und welche weiteren Maßnahmen getroffen werden sollen… Wir hatten den Eindruck, dass das Unternehmen wirklich betroffen ist und versucht, sowohl weiteren Schaden zu verhindern als auch den bereits entstandenen einzudämmen. Nur leider passierte dann nicht mehr viel. Bis heute ist uns nicht bekannt, ob Patient*innen über die Sicherheitslücke und die abgeflossenen Daten informiert wurden… Auch scheint das Unternehmen die Lücken unter den Teppich kehren zu wollen. Auf der Website findet sich zu dem Thema bisher nur eine, etwas verstecke Pressemitteilung, aus der die Schwere der Lücken nicht klar hervorgeht.“

„Zerforschung“ schließt den informativen Beitrag mit der Feststellung: „Die Daten, von denen wir in diesem Artikel reden, sind mal wieder Gesundheitsdaten und damit sehr sensible Daten und zurecht in der DSGVO besonders geschützt. Hierfür vermissen wir bei DocCirrus – aber auch bei anderen Herstellern von Gesundheitssoftware – das nötige Bewusstsein… Wir fordern daher:

1. Das Unternehmen bzw. die Praxen müssen alle Patient*innen über diese Lücke, die gefährdeten Daten und die damit verbundenen Risiken informieren.
2. Die Datenschutzbehörde muss gegen das Unternehmen vorgehen und empfindliche Strafen verhängen – nach der DSGVO sind hier bis zu 20 Millionen möglich.
3. Datenschutz und insbesondere IT-Sicherheit muss bei Softwareherstellern ganz oben auf die Prioritätenliste. Und so gilt mal wieder: Wenn ein Produkt marktreif genug ist, um persönliche Daten zu speichern muss es auch reif genug sein, diese für sich zu behalten.“ 

Zerforschung arbeitet ehrenamtlich. Auf der Homepage erklären die Sicherheitsforscher*innen:

„Wenn euch gefällt was wir machen, dürft ihr uns gern unterstützen. Ihr könnt uns einerseits finanziell unterstützen, andererseits freuen wir uns auch über Werkzeug oder lustige/interessante Hardware, die wir mal auseinandernehmen sollten… Wenn ihr uns Geld zukommen lassen möchtet, ist uns eine Überweisung am liebsten: IBAN: DE94
1101 0100 2295 8724 50 BIC: SOBKDEBBXXX
Kontoinhaber*in (falls benötigt): radforschung
GbR...

Was machen wir mit dem Geld? Für viele Projekte und Experimente kaufen wir Hardware, Bauteile und Software. Entweder um sie auseinanderzunehmen oder um sie als Analysewerkzeug zu benutzen. Wir versuchen, beim finanziellen Aufwand unserer Projekt möglichst transparent zu sein, sodass ihr bei vielen unserer Veröffentlichungen nachschauen könnt, wofür wir wie viel Geld ausgegeben haben…“