Sicherheitslücke bei dubidoc – und was wir daraus gelernt haben

von Shabnam Fahimi-Weber
Im Zeitraum vom 25. Dezember 2023 bis zum 08. Januar 2024 existierte eine Sicherheitslücke, die theoretisch den Zugriff auf schützenswerte Daten unserer Kunden ermöglichte. Dieser Vorfall hat mein gesamtes Team und mich zutiefst getroffen. Als praktizierende Ärztin und Gründerin von dubidoc ist es meine Überzeugung, dass der Schutz von persönlichen Daten die höchste Priorität haben muss. Nicht umsonst sehen wir den Schutz der persönlichen Daten unserer Nutzer als eine zentrale Säule unseres Unternehmens.

Ursache für den Vorfall war ein menschlicher Fehler bei Wartungsarbeiten, den wir nach Bekanntwerden umgehend behoben haben.

Mein Team und ich stehen für ehrliche Kommunikation. Gerade weil der Schutz und die Sicherheit von Daten bei uns einen so hohen Stellenwert genießt, wollen wir im Hinblick auf den bedauerlichen Vorfall gleichwohl für Transparenz sorgen.

Was genau ist vorgefallen?

Leider ist uns bei Wartungsarbeiten am 25. Dezember 2023 ein Fehler unterlaufen. Bei der Einrichtung eines Subsystems für einen Partner sorgte eine fehlerhafte Einstellung dafür, dass ein Debugging-Tool dieses Systems nicht ordnungsgemäß deaktiviert wurde. Dies hatte zur Folge, dass mit ausreichender IT-Fachkenntnis des von uns betriebenen Systems dieses Tool über das Internet aufrufbar war. Darüber bestand potenziell die Möglichkeit, auf eine Kopie unserer Datenbank zuzugreifen. Wir wurden am 07. Januar 2024 durch den Chaos Computer Club (CCC) auf diese Sicherheitslücke aufmerksam gemacht, welche wir nach Kenntnisnahme sofort behoben haben.

Das System wurde von uns einer vollständigen Prüfung unterzogen sowie weitere technische und organisatorische Maßnahmen eingeleitet. Die Überprüfung des Systems lieferte, über den Hinweis auf die Sicherheitslücke durch den CCC hinaus, keine Hinweise auf unerlaubte Zugriffe auf die von uns verarbeiteten Daten. Natürlich sind wir unseren Informationspflichten umgehend nachgekommen und haben die Behörden und unsere Kunden informiert.

Wir sind sehr erleichtert, dass nach Untersuchung des Vorfalls kein Hinweis auf einen weiteren unbefugten Zugriff auf unsere Datenbank vorliegt. Dennoch tut es uns sehr leid, dass es zu diesem Vorfall gekommen ist.

Welche Daten waren betroffen?

Insgesamt waren potentiell Daten von 963.746 Patienten sowie deren mithilfe von dubidoc vereinbarte Termine betroffen. Es handelt sich überwiegend um Stammdaten wie Nachname, Geburtsdatum sowie zugehörige Termininformationen. Ein großer Anteil der Datensätze ist allerdings unvollständig. Das heißt, dass beispielsweise eine Mailadresse fehlt. Potenziell betroffen waren außerdem die Zugangsdaten des Subsystems von bis zu 324 Praxismitarbeitern, welche im Debugging-Tool temporär einsehbar waren, falls sie in diesem Zeitraum einen Login durchgeführt haben. Alle Passwörter werden jedoch nach gängigem Standard verschlüsselt in der Datenbank gespeichert und wurden daher nicht kompromittiert.

Es ist mir besonders wichtig darauf hinzuweisen, dass dubidoc keine medizinischen Daten, die über die Verwaltung eines Termins hinausgehen, verarbeitet. Befunde und andere medizinischen Daten sind grundsätzlich kein Bestandteil von dubidoc und somit nicht vom Vorfall betroffen.

Was tun wir, um ähnliche Vorfälle in Zukunft zu verhindern?

Inzwischen haben wir unsere Sicherheitsvorkehrungen noch weiter verstärkt. Dafür wurde die Konfiguration des betroffenen Servers angepasst. Zusätzlich wurde der direkte Zugriff auf die Datenbank, auch mit Zugangsdaten, aus dem Internet verhindert. Weiterhin wäre das Debug-Tool selbst dann nicht mehr erreichbar, wenn es – wie am 25. Dezember 2023 geschehen – fälschlicherweise nicht manuell deaktiviert worden wäre. Durch diese Maßnahmen werden unsere Systeme während Wartungsarbeiten zusätzlich gesichert.

Was haben wir aus dem Vorfall gelernt?

Jenseits der technischen Anpassungen, die das Sicherheitsniveau auch während Wartungsarbeiten deutlich erhöhen, sind wir dafür sensibilisiert, wie leicht ein menschlicher Fehler die Sicherheit eines ansonsten sehr sicheren Systems untergraben kann.

Wir haben den Vorfall von Beginn an sehr ernst genommen. Denn uns ist bewusst, wie wichtig Vertrauen, gerade im medizinischen Bereich, ist. Für uns als ärztlich geführtes Start-up stellt dieser Vorfall einen Wendepunkt dar, denn unser Bestreben liegt täglich daran, den Menschen zu helfen und dabei die digitalen Risiken auszuschließen. Unser Ziel ist nun mehr denn je, Sicherheit in den Fokus unserer Softwareprodukte zu rücken. Den guten Ruf, der dubidoc in Sachen Datensicherheit entgegengebracht wurde, wollen wir uns neu erarbeiten. Wir bauen dabei auf das fortgesetzte Vertrauen unserer Kunden, Patienten und Partner, für das wir besonders in dieser für uns herausfordernden Situation sehr dankbar sind.

Bei Fragen sind wir gerne für Sie da. Sie erreichen uns unter support@dubidoc.de

Dr. Shabnam Fahimi-Weber
CEO & Gründerin dubidoc

Über dubidoc

dubidoc ist ein deutsches Tech-Unternehmen im Gesundheitsbereich, das sich auf die Bereitstellung einer fortschrittlichen Terminmanagement-Lösung für Ärzte und medizinische Einrichtungen spezialisiert hat. Mit einer benutzerfreundlichen Oberfläche, der interoperablen Anbindung an bestehende PVS Systeme und einem smarten Algorithmus unterstützt dubidoc Ärzte dabei, ihre Termine effizient zu organisieren und die Patientensteuerung zu verbessern. dubidoc wurde von erfahrenen Ärzten entwickelt und hat das Ziel, die medizinische Praxisabwicklung zu optimieren und zur Sicherstellung der ambulanten Versorgung beizutragen.

 

Pressekontakt

Caroline Stenger