Nachdem Ende Januar ein massives Datenleck bei den ZAR-Rehakliniken publik wurde, sind nun weitere Kunden des verantwortlichen IT-Dienstleisters MediTec Medizinische Datentechnologie GmbH betroffen. Insgesamt waren bei der von MediTech betreuten Reha Vita GmbH Daten von 17.000 Patientinnen und Patienten einsehbar. Darüber informiert jetzt der Chaos Computer Club.
Betroffen waren laut Pressemitteilung unter anderem die Patientenakten samt Diagnosen – teils über psychische Erkrankungen –, Entlassungsberichte und Audiomitschnitte von Diktiergeräten der Ärzte, aber auch Bankverbindungen und Daten zur Krankenversicherung sowie das Geburtsdatum von Patienten. Zu den Patienten gehören auch Spieler des FC Energie Cottbus. Bisher haben sich weder die Reha Vita noch MediTec zu dem Vorfall geäußert.
MediTec hat sich auf Verwaltungssoftware für Arztpraxen und Reha-Einrichtungen spezialisiert und ist nach eigenen Angaben in rund 180 Einrichtungen im deutschsprachigen Raum im Einsatz. Bis Ende 2023 gehörte das Unternehmen noch zur Curalie GmbH, die wiederum Teil von Fresenius Helios war.
Ein IT-Sicherheitsforscher "war auf eine Subdomain unterhalb der Webseite meditec-gmbh.com gestoßen" und hatte sich beim CCC gemeldet. Ein Subdomain-Scan zeigte unter anderem, dass bei einer Subdomain vergessen wurden, den Debug-Modus zu deaktivieren. Bei der Eingabe einer falschen URL war es demnach möglich, eine Liste möglicher weiterer URLs zu erhalten. Einer der gelisteten Endpunkte diente für die Server-Client-Kommunikation (Server-Sent Events) und listete ohne Zugriffsschutz unter anderem gültige Session IDs eingeloggter Nutzer. Mit dieser Session ID konnte man sich laut CCC ein gültiges Cookie konstruieren und war auf der Plattform eingeloggt.
Heraus kam dabei, dass bei einem der Kunden unter anderem die seit April 2020 ausgelaufene Django-Version 1.11 verwendet wird. Zudem war auch die auf dem Server installierte Python-Version 2.7.18 installiert, die ebenfalls bereits seit Jahren abgelaufen ist. Es zeigte sich, dass bei mindestens fünf Domains und Subdomains Zugriff auf Metadaten zu der installierten Software möglich waren, und die Server-Software häufig über Jahre keine Updates erhalten hatten.
Der Webserver einer Website lief sogar noch auf einem System mit Linux Kernel 3.0 vom Oktober 2013 – andere Webserver wurden zwar mit neueren, aber ebenfalls veralteten Kernel-Versionen betrieben. Auch andere Reha-Einrichtungen waren betroffen.
Bei einer Installation, in der die meisten Kunden der MediTec Medizinische Datentechnologie GmbH zusammengefasst zu sein scheinen, handelt es sich zwar um eine LTS-Version des Kernels, allerdings wurden dort seit fast fünf Jahren keine Sicherheitspatches mehr eingespielt. Sowohl die Betriebssysteme als auch die Python-Standardbibliothek und das Python-Framework Django scheinen noch unterstützt und mit Sicherheitspatches versorgt worden zu sein.
Der Chaos Computer Club (CCC) informierte einen der betroffenen Kunden, den IT-Dienstleister und zwei Landesdatenschutzbehörden. Ein Zugriff auf die Patientendaten und die Kunden, beziehungsweise Metadaten, wurde zwar geschlossen, jedoch wird weiter mit veralteter Software gearbeitet. Laut CCC erinnere der Fall erschreckend an die "aktuellen Schwachstellen der elektronischen Patientenakte", bei dem ein "sorgloser Umgang mit trivialen Anforderungen an den medizinischen Datenschutz" für tiefe Einblicke gewährt. "Wer Gesundheitsdaten speichert, muss Datenschutz und Datensicherheit von Anfang an mitdenken und nicht erst nach dem nächsten Vorfall", so Matthias Marx, Sprecher des CCC.