inSuite von Doc Cirrus

Datenleck in Praxissoftware – Zehntausende Patientendaten im Web zugänglich

In der Praxissoftware inSuite von Doc Cirrus haben Datenaktivisten gravierende Datenlücken entdeckt, über die Patientendaten zugänglich waren. Die Rede ist von über 60.000 betroffenen Patienten und 270 Praxen. Das Unternehmen spricht von Programmierfehlern.

Veröffentlicht:
Ende-zu-Ende-Verschlüsselung und doch Daten im Zugriff von Unbefugten? Datenaktivisten haben einmal mehr eine Lücke in einem PVS entdeckt.

Ende-zu-Ende-Verschlüsselung und doch Daten im Zugriff von Unbefugten? Datenaktivisten haben einmal mehr eine Lücke in einem PVS entdeckt.

© NicoElNino / stock.adobe.com

Berlin. Datenaktivisten der Gruppe „Zerforschung“ haben nach eigenen Angaben im Praxisverwaltungssystem inSuite von Doc Cirrus Datenlecks entdeckt, die es ermöglicht haben, auf E-Mail-Konten der in der Software registrierten Arztpraxen zuzugreifen. Darüber sei es möglich gewesen, die E-Mail-Kommunikation zwischen den Ärzten und Patienten einzusehen.

Zudem hätten sie persönliche Patientendaten einsehen können, zum Beispiel Laborbefunde, Blutwerte oder Atteste, heißt es in dem Bericht, den die Gruppe veröffentlicht hat, nachdem sie zuvor das Unternehmen und den Berliner Datenschutzbeauftragten informiert hatte. „Daten von mehr als einer Million Patienten“ habe die Software „verloren“, heißt es.

Laut Tagesschau.de hat der Berliner Datenschutzbeauftragte bestätigt, dass er Hinweise zu einer Sicherheitslücke von Gesundheitsdaten bekommen habe, von der „mehr als 60.000 Patientinnen und Patienten von mehr als 270 Praxen betroffen“ seien. Doc Cirrus zeigt sich in einer Pressemitteilung dankbar, auf „Programmierfehler in unserer Software“ aufmerksam gemacht worden zu sein.

„Schwachstellen im Bereich der Arzt-Patienten-Kommunikation“ hätten „unbefugte Dritte mit IT-Know-how und Fachkenntnissen in die Lage versetzt“, unbefugt auf Einrichtungs- und Patientendaten einiger Kunden zuzugreifen. Die Programmierfehler seien mittlerweile behoben, die betroffenen Dienste seien größtenteils wieder aktiv. Die betroffenen Kunden seien informiert worden.

„IT-Sicherheit gehört nach oben auf der Prioliste“

Auf der Website verweist Doc Cirrus auf umfangreiche Zertifizierungen, inklusive ein Zertifikat der Kassenärztlichen Bundesvereinigung (KBV) als zugelassene Software zur Abrechnung und anderem mehr. Auch über ein CE-Kennzeichen verfügt die Software. Das Unternehmen wirbt damit, dass die Daten zu 100 Prozent lokal gespeichert würden, „auf Ihrem Doc Cirrus Datensafe“.

Die Datenaktivisten von „Zerforschung“ fordern unter anderem, dass das Unternehmen und die betroffenen Praxen alle Patienten über diese Lücke informieren und dass die Datenschutzbehörde gegen das Unternehmen vorgeht und Strafen ausspricht. Datenschutz und IT-Sicherheit müssten „bei Software-Herstellern ganz oben auf die Prioritätenliste“. (ger)

Mehr zum Thema

Forschung

Klinikum Chemnitz bekommt Datenintegrationszentrum

Kommentare
Sie müssen angemeldet sein, um einen Kommentar verfassen zu können.
Vorteile des Logins

Über unser kostenloses Login erhalten Ärzte und Ärztinnen sowie andere Mitarbeiter der Gesundheitsbranche Zugriff auf mehr Hintergründe, Interviews und Praxis-Tipps.

Die Newsletter der Ärzte Zeitung

» kostenlos und direkt in Ihr Postfach

Am Morgen: Ihr individueller Themenmix

Zum Feierabend: das tagesaktuelle Telegramm

Newsletter bestellen »

Health Data Ecosystems - Gesundheitsdatenökosysteme

© Roche Pharma AG

3. Internationale Webkonferenz

Health Data Ecosystems - Gesundheitsdatenökosysteme

Kooperation | In Kooperation mit: Roche Pharma AG
Top-Meldungen

Ehrung für Evolutionsforscher

Medizin-Nobelpreis für Erkenntnisse zur menschlichen Evolution

Gastbeitrag

Time is Brain – Uns fehlt das Screening auf Adrenoleukodystrophie!