Unsichere Praxissoftware Patientendaten ungeschützt im Netz
Wegen einer Sicherheitslücke bei einer Praxissoftware waren laut NDR und WDR Daten von Behandlungsverläufen und Attesten für Fremde einsehbar. Ein Problem: Hersteller sind nicht verpflichtet, datenschutzkonforme Software zu liefern.
Die Software "inSuite" soll Ärztinnen und Ärzten ihren Praxisalltag erleichtern: Durch ein Terminbuchungstool, digitalisierte Patientenakten oder die Möglichkeit, Dokumente wie etwa Laborbefunde direkt mit Patienten oder anderen behandelnden Ärzten zu teilen. Wer auf die Homepage der Berliner Firma Doc Cirrus geht, wird mit Werbeversprechen überhäuft: Die Software sei "wartungs- und sorgenfrei", eine "maßgeschneiderte" und "zukunftsorientierte Lösung" für jede Arztpraxis. Und natürlich - so schreibt der Hersteller - seien die Patientendaten absolut sicher: Er verspricht ein "360°-IT-Sicherheitskonzept" und den "Schutz vor unbefugten Zugriffen." Auf der Website prangen außerdem Auszeichnungen und Zertifikate, die die Qualität und Sicherheit des IT-Produkts zu bestätigen scheinen: unter anderem von der Kassenärztlichen Bundesvereinigung und der DQS-Zertifizierungsstelle.
Laborbefunde und Blutwerte für Dritte zugänglich
Doch trotz all dieser Versprechungen haben Software-Experten und -Expertinnen der Gruppe "Zerforschung" bei Doc Cirrus mehrere gravierende Probleme entdeckt. "Zerforschung" ist eine zivilgesellschaftliche Gruppe, die es sich zur Aufgabe gemacht hat, IT-Sicherheitslücken aufzudecken. Die Aktivistinnen und Aktivisten konnten nach eigenen Angaben in kürzester Zeit Zugang zu E-Mail-Konten der bei "inSuite" registrierten Arztpraxen erlangen. So hätten sich auch von Unbefugten sämtliche E-Mail-Kommunikation zwischen Arzt und Patienten einsehen lassen. Durch andere Lücken konnten sie die persönlichen Daten von registrierten Patientinnen und Patienten abgreifen. Auch hoch sensible Dokumente wie Diagnosen, Laborbefunde, Blutwerte oder Atteste waren für Dritte zugänglich.
Wie üblich informierten die Aktivistinnen und -Aktivisten das betroffene Unternehmen, in diesem Fall Doc Cirrus, und den Berliner Datenschutzbeauftragten. Der bestätigte auf Anfrage von NDR und WDR, dass er Hinweise zu einer Sicherheitslücke von Gesundheitsdaten bekommen habe, von der "mehr als 60.000 Patient:innen von mehr als 270 Praxen betroffen" seien. Insgesamt gehe es um mehr als eine Million Datensätze, in denen auch "Dokumente, Diagnosen, Blutwerte, Laborergebnisse und Krankschreibungen" enthalten seien. "Aufgrund der vorliegenden Hinweise schätzen wir die uns bekannten Sicherheitslücken derzeit als erheblich ein", teilt der Berliner Datenschutzbeauftragte mit. DocCirrus erklärte, nachdem man von den Sicherheitslücken erfahren habe, habe man diese umgehend geschlossen. Es seien zu keinem Zeitpunkt sensible Daten abgeflossen.
Unternehmen spricht von Programmierfehler
Zudem veröffentlichte das Unternehmen nach der Anfrage von NDR und WDR auf seiner Website eine Stellungnahme, in der es "Programmierfehler" und "Schwachstellen im Bereich der Arzt-Patienten-Kommunikation" einräumte, die es ermöglicht hätten, "auf Einrichtungs- und Patientendaten einiger unserer Kunden zuzugreifen." Die Firma schreibt, dass es aber keinen Grund zur Annahme gebe, dass tatsächlich Praxis- und Patienteninformationen "von Dritten eingesehen oder abgegriffen wurden" - abgesehen von den IT-Aktivistinnen und -Aktivisten von Zerforschung." "Die betroffenen Dienste" seien "unverzüglich von uns deaktiviert und überprüft" worden", teilt die Firma mit.
Jenseits dieser Stellungnahme gibt sich Doc Cirrus wortkarg. So will das Unternehmen weder beantworten, wie viele Arztpraxen in Deutschland die Software benutzen und von der Sicherheitslücke betroffen waren, noch ob die von den Sicherheitslücken betroffenen Patientinnen und Patienten informiert wurden.
In einigen Praxen gab es offenbar in der Folge technische Probleme - etwa im Centrum für Gesundheit in Berlin der AOK Nordost, einem der Kunden von Doc Cirrus. Dort war es mehr als eine Woche lang unter anderem nicht möglich, online Termine zu buchen. Inzwischen sind die Dienste aber wieder aktiv. Wie viele Patientinnen und Patienten von der Sicherheitslücke betroffen gewesen seien, will aber auch die AOK Nordost nicht mitteilen. "Bitte haben Sie Verständnis, dass wir mit Blick auf das Geschäftsgeheimnis keine Antwort auf diese Frage geben", teilte ein Sprecher per E-Mail mit. Die betroffenen Patienten seien auch nicht informiert worden. Denn ihrer Analyse zufolge sei nicht zu einer Datenschutzverletzung gekommen. Ein Gespräch zur Sicherheitslücke hatte die AOK bereits zuvor abgelehnt.
Zertifikate - nicht für den Datenschutz
Aber muss eine Firma, die eine Software herstellt, bei der Ärztinnen und Ärzte Gesundheitsdaten speichern und über die sie mit Patientinnen und Patienten kommunizieren, die Datensicherheit nicht überprüfen lassen? Betrifft keines der vielen Zertifikate, die zum Beispiel die Kassenärztliche Bundesvereinigung (KBV) der Software von DocCirrus ausgestellt hat, den Datenschutz? Nein, teilt die KBV auf Anfrage mit, "die IT-Sicherheit der einzelnen Praxisverwaltungssysteme liegt in den Händen der jeweiligen Anbieter."
Der Sprecher des Bundesdatenschutzbeauftragten, Christof Stein, erklärt: "Tatsächlich hat ein Softwarehersteller keine Verpflichtung, seine Software in irgendeiner Art und Weise datenschutzkonform auszugestalten." Das gelte auch für Software, die sensible Daten verarbeite. Verantwortlich ist seinen Angaben zufolge letztlich die Arztpraxis. Sie müsse überprüfen, dass die Softwaren datenschutzkonform sei - und dürfe sich nicht auf irgendwelche Zertifikate oder Gütesiegel verlassen: "Das Motto 'Je mehr Zertifikate, desto besser' sollte man sowieso grundsätzlich immer hinterfragen, weil diejenigen, die die Zertifikate ausstellen natürlich auch ganz bestimmte Kriterien anlegen, die man gegebenenfalls als Verbraucherin und Verbraucher gar nicht kennt", sagt Christof Stein.