FRANKFURT (Dow Jones)--Fast eine Million Patienten waren von einer IT-Sicherheitslücke beim Arzttermin-Dienst Dubidoc betroffen. Zwei Wochen lang konnten Unbefugte über Dubidoc auf diese Daten zugreifen, berichtet der "Spiegel".

Wie der Anbieter auf Anfrage erklärte, führte ein "menschlicher Fehler bei Wartungsarbeiten" am ersten Weihnachtsfeiertag dazu, dass die Zugangsdaten von 324 Praxismitarbeitern "ohne zusätzliche Sicherheitsbarriere" ausgelesen werden konnten.

Mitgliedern des Chaos Computer Clubs (CCC) gelang es, sich über das Nutzerkonto einer Ärztin im Terminbuchungsdienst anzumelden. Dort konnten die IT-Spezialisten aktuelle Termine anzeigen, verschieben und absagen. Screenshots, die dem Spiegel vorliegen, zeigten, dass dabei nicht nur Patientenname, Geburtsdatum und Geschlecht einsehbar waren, sondern auch Telefonnummern und E-Mail-Adresse sowie Terminart und -dauer und der Name des behandelnden Arztes.

Die Hacker konnten sich auch in einem E-Mail-Postfach anmelden, über das Dubidoc Terminbestätigungen an Patienten verschickt. Sie hatten außerdem Zugriff auf die Kopie einer Datenbank mit 3,3 Millionen Kalendereinträgen und rund 960.000 Patientendatensätzen.

"Eine solch verantwortungslose Speicherung von Gesundheitsdaten ist ethisch fragwürdig", sagt Matthias Marx, Sprecher des CCC, zum Spiegel: "Mindestanforderungen für den Einsatz digitaler Technologien wurden ignoriert. Dabei steht dieses Datenleck leider exemplarisch für die geplante Digitalisierung des Gesundheitswesens in Deutschland." Dubidoc räumte auf Spiegel-Anfrage ein, dass "temporär ein unbefugter Zugriff möglich war" und "insoweit kein ausreichender Schutz der Daten bestand". Dies sei bereinigt worden.

Kontakt zum Autor: unternehmen.de@dowjones.com

DJG/mod

(END) Dow Jones Newswires

February 18, 2024 08:15 ET (13:15 GMT)