Sicherheitslücke
Patientendaten offen im Netz
Die Gesichter klar erkennbar, Körperaufnahmen in 3D: Ein Datenleck in einer Hersteller-Cloud machte Patientendaten von Schönheitschirurgen öffentlich zugänglich. Die Stellungnahme des Betreibers wirft Fragen auf.
Veröffentlicht:
Über 900.000 Dateien von Schönheitschirurgen sollen zeitweise öffentlich zugänglich gewesen sein, darunter auch Skizzen zu Behandlungsabläufen. (Symbolfoto)
© Benko Zsolt / stock.adobe.com
Neu-Isenburg. Massenweise scheinen sensible Patientendaten über Tage öffentlich im Internet einsehbar gewesen zu sein. Der Inhalt erstreckte sich offenbar von Rechnungen über Bilder von Gesichtern und Körpern der Patienten.
Das zumindest ergeben Recherchen des israelischen Unternehmens vpnmentor, das sich in der virtuellen Welt immer wieder auf die Suche nach Datenlecks begibt – und fündig wird.
Patienten deutlich erkennbar
Die jüngst bekanntgewordene Sicherheitslücke bezieht sich auf eine medizinische Datenbank des französischen Unternehmens „NextMotion“. Das Unternehmen bietet Schönheitschirurgen eine Cloud zur Organisation, Verwaltung und Speicherung von Medien- und Patientendaten. Ärzte weltweit vertrauten offenbar auf das Sicherheitsversprechen des Unternehmens.
Obwohl der „Schutz der Daten“, so heißt es auf der NextMotion-Website, „Priorität“ habe, waren nach Angaben der israelischen Sicherheitsforscher zwischenzeitlich über 900.000 Dateien öffentlich zugänglich, unter anderem Videoaufnahmen mit 3D-Aufnahmen der Gesichter und Körper der Patienten, aber auch Profilaufnahmen und Informationen zu vorgeschlagenen Schönheitsbehandlungen.
vpnmentor informierte das Unternehmen am 27. Januar über das Datenleck. Am 5. Februar sei es dann geschlossen gewesen, so die Sicherheitsforscher in ihrem Bericht.
Auch Deutsche betroffen?
Ob auch Kliniken und Patienten in Deutschland von dem Datenleck betroffen sind, ist derzeit noch unklar. Nach Angaben vpnmentors ist das Szenario zumindest denkbar. NextMonitor ist ein global agierendes Unternehmen, laut Website unterhält es aber keine Vertriebsgesellschaft in Deutschland. Die einzige europäische Vertriebsgesellschaft befindet sich demnach in Polen.
Die Unternehmenszentrale im französischen Saint-Mandé bei Paris war telefonisch für Nachfragen nicht erreichbar. Die Deutsche Gesellschaft der Plastischen, Rekonstruktiven und Ästhetischen Chirurgie weiß von dem Sicherheitsleck und hat ihre Mitglieder entsprechend informiert. Inwieweit diese betroffen sind, weiß die Gesellschaft noch nicht.
Stellungnahme wirft Fragen auf
NextMotion bestätigt das Datenleck auf seiner Website. Betroffen von der Sicherheitslücke seien „nur Mediendateien, keine Patientendaten“, heißt es in der Stellungnahme.
Die Aussage widerspricht der Veröffentlichung der israelischen Sicherheitsforscher, die Unterlagen zeigen, denen durchaus persönliche Patientendaten zu entnehmen sind. vpnmonitor zeigt die Tragweite des Datenlecks in veröffentlichten Bildern. Die sensiblen Bereiche wurden allerdings geschwärzt und unkenntlich gemacht.
NextMonitor geht in seiner Stellungnahme auch nicht weiter auf das Datenleck ein, bekräftigt stattdessen, dass man auf Datenschutz und Datensicherheit wert lege. (mu)
