Praxissoftware mit Lücke:
Patientendaten landen ungeschützt im Netz

Mit der Praxissoftware inSuite sollen Ärzte ihren Alltag leichter bewältigen können. Das Programm bringt Terminbuchungen, digitale Patientenakten und die Option des Datenaustauschs mit sich. Sicherheitsforscher haben nun allerdings einige gravierende Probleme entdeckt. Software-Experten von Zerforschung haben inSuite untersucht und geprüft, ob das Tool seine Werbeversprechen halten kann. Die Anwendung soll dem Hersteller zufolge sicher sein und die Nutzerdaten vor unbefugten Zugriffen schützen. Die Qualität des Produkts soll unter anderem von der kassenärztlichen Bundesvereinigung sowie der DQS-Zertifizierungsstelle bestätigt worden sein. In der Praxis kommt jedoch ein anderes Ergebnis zum Vorschein. Die Anfrage der Forscher wird von dem System unverschlüsselt beantwortet

Mehr als eine Million Daten waren abrufbar

Die Sicherheitsforscher haben es mit vergleichsweise geringem Aufwand geschafft, auf die Mail-Postfächer der Arztpraxen zuzugreifen. Damit konnte die gesamte Kommunikation zwischen dem jeweiligen Arzt und den Patienten mitgelesen werden. Über eine weitere Schwachstelle war es möglich, fast alle in dem Tool gespeicherten Informationen auszulesen. Hierzu zählen der Name, die Adresse, das Geburtsdatum, der Versicherungsstatus und verschriebene Medikamente. Die Lücken haben es Angreifern erlaubt, die Daten von mehr als einer Million Patienten abzurufen.

Nachdem die Experten ihre Ergebnisse dem Hersteller mitgeteilt haben, wurde das System vorübergehend heruntergefahren. Inzwischen sollen die Schwachstellen beseitigt worden sein. Ob die Patienten über die Sicherheitslücken und die möglichen Konsequenzen informiert wurden, bleibt offen. Die Entwickler einer Software sind nicht verpflichtet, ein datenschutzkonformes Programm anzubieten. Für den Datenschutz sind die Arztpraxen verantwortlich.

Siehe auch: