Berufsverband Niedergelassener Chirurgen e.V.

IT-Panne in einer Arztpraxis: Wieso stehen sämtliche Daten der Praxis offen im Internet?

Im Oktober 2019 erreichte die Redaktion des Computermagazins c’t im Heise-Verlag die E-Mail eines IT-Experten, der im Internet einen frei zugänglichen Windows-Server entdeckt hatte, über den sämtliche digital gespeicherten Daten einer Praxis zugänglich waren – von Patientenstammdaten und Befunden über Arbeitsverträge, Gesprächsnotizen, Kündigungen, Spendenbescheinigungen und Schuldnerlisten bis hin zu den betriebswirtschaftlichen Auswertungen der Praxis. Die Redaktion ging dem Hinweis nach, konnte die Angaben bestätigen und veröffentlichte in der aktuellen Ausgabe ihres Magazins einen ausführlichen und sehr lesenswerten Bericht über den Fall und ihr Vorgehen bei der Recherche.

Demnach ging es um die Daten von rund 30.000 Patienten einer orthopädischen Gemeinschaftspraxis in Celle. „Der Server war ungeschützt, die Zugriffsrechte waren auf ‚Jeder’ gesetzt. Jeder, der die IP-Adresse kannte, konnte also darauf zugreifen. Und diese war kein Geheimnis, sie ließ sich leicht über die frei zugängliche Server-Suchmaschine Shodan herausfinden“, heißt es in dem c’t-Artikel. Man habe daraufhin umgehend die Praxis kontaktiert und sie auf das Datenleck aufmerksam gemacht. Dort habe man den IT-Dienstleister kontaktiert, der das katastrophale Datenleck gestopft habe. Allerdings war die Reparatur offenbar nicht nachhaltig, denn einige Tage später konnte man von außen erneut ungehindert auf sämtliche Praxisdaten zugreifen.

Die weiteren Recherchen und eigene Tests der Redakteure ergaben, dass ein ungewöhnliches Verhalten eines Telekom-Routers – nämlich der „Digitalisierungsbox Premium“, wie sie Businesskunden zur Verfügung gestellt wird – Schuld an dem erneut offenen Praxisserver hatte. Unter bestimmten Voraussetzungen stehen bei diesem Modell mehr Ports für den ungeschützten Datenzugriff von außen hin offen als man bei einem Router normalerweise erwarten würde. Selbst wenn man diese Lücken schloss, griff der Router nach jedem Neustart auf die alte Konfiguration zurück. Erst nachdem die Redaktion den IT-Dienstleister der betroffenen Praxis erneut kontaktiert hatte, gelang es diesem, das Datenleck dauerhaft zu schließen. In dem c’t-Bericht heißt es weiter, bei der Telekom sei „diese Schwäche beim Port-Forwarding seit Mai 2019 bekannt“ gewesen. Doch erst jetzt soll ein Patch für Abhilfe sorgen.

Damit ist man dann auch bei der Haftungsfrage angelangt. Haftet die Telekom für den schludrigen Umgang mit sicherheitsrelevanten Updates? Ist der IT-Dienstleister verantwortlich, der erst durch Nachfrage der c’t-Redaktion auf das Datenleck aufmerksam wurde (und es offenbar auch nicht selbst nachhaltig zu schließen vermochte)? Oder liegt die Verantwortung allein bei den Praxisinhabern, die den Schutz der ihnen anvertrauten Patientendaten gewährleisten müssen? In jedem Fall, so der Hinweis der c’t-Redakteure, handele es sich „nach Datenschutzgrundverordnung (DSGVO) um einen meldepflichtigen Vorfall, der laut Art. 33 unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Datenschutzaufsichtsbehörde zu melden ist“. In einem solchen Fall sieht die DSGVO vor, dass die vom Datenleck betroffenen Personen unverzüglich informiert werden. Wer diese Mitteilungspflichten nicht nachkommt, kann mit einem Bußgeld von bis zu zehn Millionen Euro oder zwei Prozent des Jahresumsatzes bestraft werden.

Dies ist eine knappe Zusammenfassung des ausführlichen und frei zugänglichen Artikels der c’t, den man in voller Länge hier lesen kann. Hier ist auch ein Video zu sehen, in dem der c't-Redakteur Ronald Eickenberg über seine Recherche und seine Einschätzung des Falls berichet. Am Ende des Artikels weist die Redaktion auch auf den „Netzwerkcheck von heise Security“ hin, mit dem man einen sogenannten externen Portscan auf die eigene Internet-IP-Adresse durchführen und auf diese Weise feststellen kann, ob unter der eigenen IP-Adresse offene Ports erreichbar sind.

 

Aktuelles | Über den BNC | Bundeskongress | Für Patienten | Presse | Landesverbände | Mitgliederbereich | Partner | Veranstaltungen | Praxisbörse | Chirurgensuche | FAQ für Ärzte | Kontakt Berufsverband Niedergelassener Chirurgen e.V. © 2014 | Impressum | Datenschutzhinweise | Design & Umsetzung: zollsoft GmbH