Dubidoc: Daten von 960.000 Menschen durch Sicherheitslücke offen im Netz

Dubidoc ist eine Software, die das in Essen ansässige Unternehmen Takuta GmbH Ärzt*innen mit eigener Praxis zur Verwaltung von Patient*innen-Terminen anbietet.

Der Chaos Computer Club (CCC) hat am 16.02.2024 eine massive Sicherheitslücke aufgedeckt, durch die Daten von 960.000 Menschen offen im Netz einsehbar waren. Unter anderem waren auch Informationen zu 3,3 Millionen Behandlungs-Terminen abrufbar. Unter den offen zugänglichen Daten waren Namen, Geburtsdaten, Telefonnummern und e-Mailadressen zu finden, aber auch Informationen zu den behandelnden Ärzt*innen und zu Termindetails.

Auf der Homepage von Dubicoc sucht man vergeblich nach einem Hinweis auf diese massive Datenpanne. Stattdessen wird zur Frage Sind meine Daten und die Daten meiner Patienten bei dubidoc sicher?“ vollmundig erklärt: Wir speichern alle Daten in einem deutschen Rechenzentrum, das nach ISO 27001 (IT-Sicherheit) zertifiziert ist. Zu den Sicherheitsvorkehrungen zählen u.a. strenge Zutrittskontrollen, eine Notstromversorgung sowie redundante Netzwerkanbindungen. Wir achten auf die Einhaltung aktueller europäischer Datenschutzrichtlinien und setzen daher auf eine verschlüsselte Datenübertragung und sichere Passwörter. Die Überwachung der Datensicherheit erfolgt auf mehreren Ebenen und wird von ausgewiesenen Fachexperten verantwortet.”

Der CCC greift diese Aussage auf und stellt süffisant fest: Leider purzelten aus einem offen zugänglichen PHP Symfony Profiler Zugangsdaten für Datenbank und E-Mail sowie die Zugangsdaten von Nutzer*innen im Klartext heraus. Der Datenbank-Server war noch dazu frei aus dem Internet erreichbar. Angeblich könne dieser freie Datenbank-Zugriff leider nicht eingeschränkt werden, weil die Applikation auf einem Managed Server bei einem ‚renommierten Provider‘ gehostet ist, teilt das Unternehmen mit. Eine Ausrede, die – selbst wenn sie wahr wäre – selbstverständlich keine ist.“

Bleibt lediglich noch die Frage an die  Takuta GmbH: Wurde der Name für die Software vom Begriff dubios abgeleitet?


Eine – unvollständige – Übersicht über Datenpannen und Datenlecks im Gesundheitswesen in Deutschland finden Sie hier.

 

Schreibe einen Kommentar