Ein IT-Sicherheitsforscher war auf eine Subdomain unterhalb der Webseite meditec-gmbh.com gestoßen. Dort entdeckte er eine Anwendung im Debug-Modus, die bei Anfragen nach nicht existierenden Pfaden ganz hilfreich andere, existierende URLs empfahl. Eine davon lieferte gültige Session-IDs aus. Wer in seinem Browser oder auf der Kommandozeile eine solche fremde Session-ID in ein entsprechendes eigenes Session-Cookie einsetzte, konnte sich im Namen des eingeloggten Mitarbeiters mitsamt all seiner Zugriffsrechte auf der Reha-Plattform bewegen. Damit war unter anderem der Zugriff auf Patientenakten, Diagnosen und Aufnahmen ärztlicher Diktate, Daten zur Krankenversicherung und Rechnungen möglich.

Mit diesen Erkenntnissen wandte sich der Sicherheitsforscher an den CCC, der regelmäßig bei der Meldung von Sicherheitslücken unterstützt. Der Club konnte die Schwachstellen nachvollziehen und hat sie an Reha Vita [1], Meditec, die jeweiligen Landesdatenschutzbehörden und das CERT-Bund gemeldet. Während Meditec zügig reagierte, blieb eine Rückmeldung von Reha Vita bis jetzt aus. Somit bleibt unklar, ob die betroffenen Patient*innen über das Datenleck informiert wurden.

Der Fall erinnert erschreckend an die aktuellen Schwachstellen der elektronischen Patientenakte (ePA). Auch hier ermöglichte ein sorgloser Umgang mit trivialen Anforderungen an den medizinischen Datenschutz einen tiefen Einblick in vertrauliche Gesundheitsdaten. Dazu meint Matthias Marx, Sprecher des CCC: „Wer Gesundheitsdaten speichert, muss Datenschutz und Datensicherheit von Anfang an mitdenken und nicht erst nach dem nächsten Vorfall.“

Zu weiteren Risiken und Nebenwirkungen der Digitalisierung des Gesundheitswesens lesen Sie unsere praktischen 10 Prüfsteine zur Digitalisierung des Gesundheitswesens.

Links

[1] Reha Vita unterstützt Patienten mit psychischen und/oder psychosomatischen Erkrankungen https://www.reha-vita.de/portfolio-items/psychosomatische-rehabilitationsnachsorge-psy-rena/