Datenpanne bei Online-Terminbuchungsportal

Praxismanagement , Praxis-IT Autor: Anouschka Wasner

Praxen sollten bei der Wahl ihres Online-Terminvergabesystems unter anderem auf Aspekte wie Ende-zu-Ende-Verschlüsselung und Mehr-Faktor-Authentifizierung achten. Praxen sollten bei der Wahl ihres Online-Terminvergabesystems unter anderem auf Aspekte wie Ende-zu-Ende-Verschlüsselung und Mehr-Faktor-Authentifizierung achten. © ST.art – stock.adobe.com; iStock/alashi

IT-Sicherheitsexperten hatten offenbar über ein Online-Buchungssystem für Arzttermine Zugang zu Millionen Namen, Telefonnummern und geplanten Arztkontakten. Verantwortlich für die behördliche Meldung der Datenschutzverletzung ist der Auftraggeber.

Per Klick zum Arzttermin – Patienten und Praxen freuen sich über die gesparten Telefonate. Wer denkt daran, dass schon der Arztbesuch als solcher eine zu schützende Information ist: Der Gang zur Psychologin, zum Schönheitschirurgen oder ins Kinderwunschzentrum ist nichts für die Öffentlichkeit, und Arbeitgeber oder Versicherungen sollten über die verschiedenen Arztbesuche keinen Einblick in die Krankheitsgeschichte bekommen. Sie hatten ihn aber, zumindest theoretisch: Sicherheitsexperten berichteten Ende 2020 auf dem Kongress des Chaos Computer Clubs (CCC), wie sie Zugang zu Millionen Terminvereinbarungen inklusive Arzt- und Patientendaten bekamen. Wie das?

Im Sommer 2020 sei Mitgliedern des CCC von unbekannten Hackern eine umfangreiche Liste mit Patientendaten sowie die dazugehörige Beschreibung einer Sicherheitslücke in einem Arzttermin-Buchungsportal zugespielt worden, erklärt der IT-Sicherheitsexperte ­Martin Tschirsich, weshalb es zu den Nachforschungen gekommen ist. Die anonymen Absender erklärten, sie hätten Ende 2019 nach Erstellen eines Gratis-Benutzeraccounts auf der Homepage des Portals über ein relativ einfaches Verfahren ca. eine Million Terminvereinbarungen unbefugt abgerufen. 

Diese Aussage hat das Team um den „Berufs-Hacker“ Tschirsich geprüft und stellte nach eigenen Angaben fest, dass über die beschriebene Lücke tatsächlich der Zugriff auf ca. 150 Millionen Terminvereinbarungen möglich war. Die meisten Datensätze enthielten neben dem Patientennamen und dem jeweiligen Termin außerdem Geschlecht, Telefonnummer und Angaben zur Volljährigkeit und zu Termin­absagen. Darüber hinaus konnten Name, Ort, Fachgebiet und Titel des Arztes bzw. der Ärztin ausgelesen werden, so Tschirsich.

Software hat möglicherweise ganze Kalender hochgeladen

Der IT-Experte geht davon aus, dass diese Datensätze aus Arztpraxen stammen, die über den Anbieter eine Software installiert haben, die den kompletten Terminkalender der Arztpraxis hochlädt. Auf jeden Fall habe man auf Terminvereinbarungen bis in die 1990er-Jahre zugreifen können.

Durch die Überprüfung der Sicherheitslücke seitens Tschirsich und seiner Partner Christoph ­Saatjohann und dem Anästhesisten Dr. Christian Brodowski wurde der Anbieter offensichtlich auf die Schwachstelle aufmerksam, hat sie am 21. Juli 2020 abgestellt und auf seiner Homepage darüber informiert. Anders als in vergleichbaren Situationen haben die IT-Sicherheitsexperten deswegen auf eine direkte Kontaktaufnahme zu dem Unternehmen verzichtet. 

Auf Anfrage teilte das Unternehmen mit, der Angriff habe in Deutschland terminbezogene Daten von 45 Patienten betroffen. Hinweise darauf, dass die eingesehenen Daten für andere Zwecke verwendet wurden, habe es keine gegeben. Man habe die betroffenen Gesundheitseinrichtungen und die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) informiert. 

Gemäß DSGVO ist der Verantwortliche für die Datenverarbeitung meldepflichtig. Das ist der Auftraggeber. Im konkreten Fall heißt das: Die Terminserviceplattform verarbeitet Daten im Auftrag einer Arztpraxis. Verantwortlicher ist und bleibt der Auftraggeber, und damit der oder die Praxisverantwortliche. Der Auftragsverarbeiter, also die Plattform, muss den Verantwortlichen zwar über die Verletzungen des Schutzes personenbezogener Daten informieren, der Praxisverantwortliche muss die  Verletzung aber an die Aufsichtsbehörde melden. 

Die Berliner Aufsichtsbehörde berichtete jetzt auf direkte Nachfrage nur von einer Datenpannenmeldung eines Auftragsgebers in dem entsprechenden Zeitraum. Ob es sich dabei um diesen Vorfall handelt, werde gerade geprüft, weiter könne man sich zu dem laufenden Verfahren nicht äußern. Offenbar wurde der Behörde also ein Vorfall seitens einer medizinischen Einrichtung gemeldet, die möglicherweise zuvor von dem Terminbuchungsportal informiert wurde. Andere Datenschutzbehörden sagten auf Nachfrage von ­Medical Tribune, es lägen ihnen bislang keine Meldungen in diesem Zusammenhang vor, oder man könne aus zeitlichen bzw. nicht näher genannten Gründen keine Auskunft dazu erteilen.

Terminvereinbarungen können zusammengeführt werden

Dass die bis dato zugänglichen Daten wahrscheinlich keine direkten medizinischen Informationen enthielten, bedeutet keine wirkliche Entwarnung. Das Unternehmen weist zwar auf einen Unterschied zwischen Gesundheitsdaten und medizinischen Daten hin. Der Europäische Datenschutzausschuss EDSA definiere medizinische Daten so, dass diese im Zusammenhang mit ärztlicher Diagnose und/oder Behandlung erzeugt werden. Medizinische Daten geben zusammenhängende Informationen über Krankengeschichte, klinische Behandlung etc. Die Fachrichtung des Arztes dagegen oder der bei der Terminvereinbarung durch den Patienten angegebene Besuchsgrund gehöre zu den weiter gefassten Gesundheitsdaten. Es handele sich letztlich um administrative Daten.

Doch unabhängig von dieser Unterschiedung gelten Daten als sensibel, wenn über sie ein Rückschluss auf den Gesundheitszustand möglich ist. Tschirsich bestätigt das Risiko dahinter: Über einen vollen Namen, Telefonnummer und Ort kann man die Identität einer Person quasi zweifelsfrei feststellen. Damit lassen sich dann mehrere Terminvereinbarungen, auch über verschiedene Praxen hinweg, zusammenführen und sogar Bewegungsprofile erstellen, so der IT-Sicherheitsexperte. 

Regelmäßige Psychotherapie-Sitzungen, Termine in HIV-Schwerpunktpraxen, Fruchtbar­keitsbe­handlungen, Schönheitsoperationen usw. können somit also in Verbindung gebracht werden. Und sind Fachrichtung und Spezialisierungen der jeweiligen Ärzte bekannt, können erst recht heikle Zusammenhänge zutage treten. In der Vergangenheit wurden vergleichbare Daten missbraucht zur Verunglimpfung, Erpressung und Doxing der Betroffenen, warnt Tschirsich. 

Die Bedrohung durch Doxing – eine Art digitales Mobbing, für das mit bösartiger Absicht Daten aus dem Internet zusammengetragen werden – wurde 2018 in Deutschland auch der weniger digitalen Welt ein Begriff, als  private Daten von fast 1000 Personen des öffentlichen Lebens im Netz veröffentlicht werden sollten und auch wurden. Betroffen waren Politiker aller Bundestagsfraktionen außer der AfD. Doxing-Attacken reichen von der reinen Preisgabe von Daten über eher harmlose Aktionen wie gefälschte Bestellungen bis hin zum Identitätsdiebstahl oder zur Erpressung. 

Könnte es auch bei anderen Terminvermittlungssystemen solche Sicherheitslücken geben? Dazu Tschir­sich: „Wir hatten aktuell keinen Anlass, weitere Anbieter zu untersuchen. Ausschließen können wir Vergleichbares nicht.“ Und wie können Praxen ihre Termindaten schützen? „Keine Online-Terminvergabesysteme nutzen oder nur solche, die die Umsetzung eines überzeugenden Ende-zu-Ende-Verschlüsselungskonzepts mit Mehr-Faktor-Authentifizierung nachweisen und damit die Risiken für unauthorisierten Zugriff auf ein Minimum reduziert haben“, sagt der Sicherheitsexperte.

Medical-Tribune-Recherche

Der Beitrag wurde am 25.01.2021 geändert.