Massenhaft sensible Daten aus deutschen Arztpraxen für Unbefugte zugänglich

Die eAV-Technik sieht in der Regel keinen eigenen Passwortschutz vor. Sobald die Komponente von außen erreichbar ist, können sich Unbefugte direkt an den Patientendaten bedienen. „Wir konnten unseren Zugriff von außen als einen Zugriff der Praxis ausgeben. Das System hat keine Chance zu unterscheiden“, erläutert IT-Sicherheitsforscher Saatjohann. Auch für nicht versierte Benutzer sei es möglich gewesen, die Systeme im Internet ausfindig zu machen und zum Beispiel Patientenlisten und elektronische Krankschreibungen oder Faxe abzurufen.

Ärzte richten ihre IT oft unsicher ein

Auch Praxen, die das staatliche Datenaustauschsystem für das Gesundheitswesen namens Telematikinfrastruktur (TI) nutzen, waren von ähnlichen Problemen betroffen, wie Saatjohann aufgedeckt hat. Allerdings wäre ein Angriff bislang nicht allzu gefährlich gewesen, weil über die TI bisher kaum sensible Daten ausgetauscht werden. Die TI soll perspektivisch aber alle Gesundheitsinstitutionen in Deutschland miteinander vernetzen.

Ob im Falle der eAV auch Daten an andere Unbefugte geraten sind, sei nicht abschließend zu klären, meint Armin Flender. Er ist Geschäftsführer des Deutschen Gesundheitsnetzwerks (DGN), das Hardware für die eAV herstellt. Auch wenn seine Technologie nicht der Ursprung des Fehlers war, plane man die Einführung von Prüfmechanismen, die automatisch eine Meldung über die Fehlkonfiguration zeigen würden, kündigt Flender an.

Das grundlegende Problem aber bleibe, die Arztpraxen hätten „mehrfach gegen Grundsätze der IT-Sicherheit verstoßen“. Immerhin: Mittlerweile sind keine Boxen mehr direkt über das Internet angreifbar. Grundsätzlich sei die eAV so konzipiert, dass bei richtiger Nutzung kein unbefugter Datenzugriff möglich sei, erklärte das Rechenzentrum der Hausärztlichen Vertragsgemeinschaft (HÄVG), das aufseiten der Ärzte hinter dem Projekt steht.

Manchmal liegt das Problem aber auch in der eingesetzten Software selbst, so wie bei Doctolib. Das französische Unternehmen betreibt mit 135.000 Ärzten und Therapeuten sowie 60 Millionen Patientenbesuchen pro Monat das wohl größte Onlineportal zur Terminbuchung in Europa. Vor wenigen Tagen erst hat sich die Berliner Senatsverwaltung für Doctolib als offiziellen Technologiepartner bei den Coronavirus-Impfungen entschieden.

Mitgliedern des CCC war nach eigener Aussage vor einigen Monaten anonym ein Satz Daten, die angeblich von Doctolib stammen sollen, zugespielt worden. Zwar sollen keine medizinischen Dokumente enthalten gewesen sein, dafür aber Telefonnummern sowie E-Mail-Adressen, zudem die Terminkalender der Praxen, die bis in das Jahr 1990 zurückreichten.

„Patienten, die etwa regelmäßig Termine bei einem Psychotherapeuten buchen, könnten damit leicht Opfer für Erpresser sein“, warnt Tschirsich. So wie Sylvia F.*, die zwischen 2012 und 2016 in einer Münchener Psychotherapie-Praxis insgesamt 21 Termine machte, wie aus dem Handelsblatt vorliegenden Daten ersichtlich ist. Nutzt eine Praxis Doctolib, übernimmt die Anwendung einmalig den gesamten Terminkalender der Praxis. Das Unternehmen erklärt, ein solcher Datenabfluss sei ihm nicht bekannt.

Sicherheitslücke bei Europas größtem Terminportal

Mehrere CCC-Mitglieder hatten daraufhin im Juli die Lücke verifiziert und dabei weitere etwa 6000 Termin-Datensätze erlangt. Sie mussten dafür über die Eingabe bestimmter Internetadressen eine Systemanfrage simulieren. Mehr Daten konnten sie nicht bekommen, weil diesmal das Alarmsystem von Doctolib anschlug.

Daraufhin hat das französische Unternehmen nach eigener Aussage die Lücke innerhalb weniger Stunden schließen können. Doctolib betont, dafür gesorgt zu haben, dass ein solcher Angriff nicht erneut vorkommen kann.

Bei einer weiteren Sicherheitslücke reichen die aufgedeckten Daten wortwörtlich bis tief ins Innere der betroffenen Patienten. Die Anwendung Teamportal des bayerischen Unternehmens Digithurst ermöglicht es Ärzten, radiologische Befunde wie Röntgenbilder über einen Browser anzusehen und zu versenden.

„Sichere Datenübertragung im Internet und Intranet“ heißt es auf der Website der Firma. Doch ausgerechnet über Internet und Intranet war auch Unbefugten der Zugriff möglich. Laut Tschirsich und Saatjohann hätten unautorisierte Nutzer die Authentifizierung der Anwendung umgehen und direkt auf die gespeicherten Daten zugreifen können. Wieder war alles, was sie dafür tun mussten, eine bestimmte Internetadresse einzugeben.

Bei einer Mainzer Radiologiepraxis seien demnach noch Befunde bis in das Jahr 2012 online abrufbar gewesen. „Die Schwachstelle ist durch unzureichende Sicherheitskonfigurationen der Webserver unserer Kunden entstanden“, bestätigt Digithurst-Geschäftsführer Rainer Kasan. Bis zu 270.000 Datensätze im Klartext seien gefährdet gewesen, schätzt er.

Nachdem Digithurst Anfang Dezember über das Problem informiert wurde, hätte man das System in den betroffenen Praxen gleich vom Netz genommen und dort die Lücke nach neun Tagen schließen können. Geschäftsführer Kasan erklärt, über Datenabflüsse habe man keine Informationen.

Er sieht ein Kernproblem. Man selbst nehme die IT-Sicherheit ernst: „Jedoch müssen Praxen und Kliniken dem Thema dieselbe Priorität zukommen lassen.“ Wie geschildert basiert ein Großteil der Sicherheitslücken auf Fehlern in den Praxen, es sind zudem nicht die ersten Sicherheitslücken im ärztlichen Bereich.

Der Gesetzgeber hatte deshalb 2019 die Kassenärztliche Bundesvereinigung (KBV), Spitzenorganisation der deutschen Ärzteschaft, verpflichtet, gemeinsam mit dem Bundesamt für Sicherheit in der Informations- technik (BSI) eine IT-Sicherheitsrichtlinie zu erarbeiten. Laut Gesetz hätte diese bis Juli 2020 verabschiedet werden sollen – sie ist es aber erst vor wenigen Tagen. Monatelang standen KBV und BSI im Zwist über die Ausgestaltung der Anforderungen.

Dass das BSI nun zugestimmt hat, soll mitunter am Druck durch das Bundesgesundheitsministerium liegen, heißt es aus Kreisen von Ärztevertretern. Man wollte das Thema wohl vom Tisch haben. Vom BSI heißt es dazu: „Unter Berücksichtigung der derzeitigen Corona-bedingten Ausnahmesituation hat das BSI [… den Richtlinien-Entwurf] für geeignet befunden, das IT-Sicherheitsniveau in den circa 180.000 Arzt- und Zahnarztpraxen in Deutschland in einem ersten Schritt und mit wenig Aufwand deutlich anzuheben.“ Die KBV wollte das nicht kommentieren.

Folglich sind die Anforderungen deutlich allgemeiner gehalten als ursprünglich vom BSI gefordert. „Das ist ein fauler Kompromiss und für die Patientensicherheit kaum förderlich“, sagt CCC-Hacker Tschirsich. Hinzu kommt, dass die Richtlinie nicht gleich in Kraft tritt, sondern zum Großteil erst 2022. IT-Sicherheitsexperten wird in Zukunft wohl trotz Richtlinie die Arbeit nicht ausgehen.

*Name geändert

Mehr: So soll die Coronavirus-Impfstrategie digital unterstützt werden.