Wie Zerforschung die Sicherheitslücken von DocCirrus aufgespürt hat

Das zivilgesellschaftliche Kollektiv Zerforschung 🔬 ist bekannt dafür, Sicherheitslücken bei digitalen Anwendungen aufzuspüren. Jetzt haben die Aktivist*innen beispielhaft dargelegt, wie sie dabei vorgehen. 🕵️‍♀️

Herausgekommen ist ein amüsanter 😄 und zugleich erschreckender 😮 Artikel über den Fall des Gesundheitsportals DocCirrus. Da er aber auch recht lang ist, hier für die Eiligen eine:

👉 Kurzzusammenfassung 👈

Auf einen Tipp aus dem Bekanntenkreis experimentierten die Aktivist*innen mit dem Portal DocCirrus und finden schnell die Zugangsdaten zu den E-Mail-Adressen von mehreren Arztpraxen.

Getreu ihrer Faustregel „Wo eine derart simple Lücke besteht, wurde vielleicht an noch mehr Stellen unsauber gearbeitet“ treffen sie sich in – oft nachts stattfindenden – Calls und gehen systematisch weiter vor. In diesem Fall schafften sie es schließlich, über eine Millionen sensible Daten von Patient*innen abzurufen.

Als sie alle Sicherheitslücken aufgedeckt hatten, „war es 6 Uhr morgens“. Nach etwas Schlaf wurden die Befunde dokumentiert und an die Firma sowie den zuständigen Landesdatenschutzbeauftragten versandt.

Die Firma hinter DocCirrus reagierte zwar umgehend und schaltete das Portal ab. Doch es ist weiter offen, ob Patient*innen über die Panne informiert wurden.

Zerforschung fordert nun eine harte Strafe nach der Datenschutzgrundverordnung (DSGVO). Schließlich sind Gesundheitsdaten sehr sensibel und daher besonders geschützt.

Für das Kollektiv gilt: „Wenn ein Produkt marktreif genug ist, um persönliche Daten zu speichern muss es auch reif genug sein, diese für sich zu behalten.“