Die Patientendaten offen im Internet zugänglich zu machen ist natürlich nicht im Sinne des Erfinders. Leider passieren solche Leaks immer wieder und so können unter anderem intime Daten eingesehen werden. Jetzt hat ein israelisches Sicherheitsteam des Unternehmens vpnmentor eine offene Datenbank entdeckt die Patientendaten zu Schönheitsoperationen enthalten hat. Das Team durchsucht das Internet regelmäßig auf offene, nicht gesicherte Server und wurde am 24. Januar 2020 wieder fündig. In einem S3 Bucket der Amazon AWS-Cloud fanden die Forscher eine ungesicherte Datenbank mit ca. 900.000 Dateien. Diese Dateien scheinen offenbar aus Patientenakten zu stammen.
Französischer Cloud-Hersteller – Patientendaten offen im Internet
Durch die Namensgebung der Datenbank konnte relativ schnell das Unternehmen welches diese Datenbank betreibt ermittelt werden. Der französische Medizin-Hersteller NextMotion speichert hier Daten von Ärzten die Tools von NextMotion nutzen. Neben hochsensiblen Bilder und Videodateien waren auch Unterlagen zu Eingriffen im Bereich der plastischen Chirugie gespeichert worden, sowie Daten zu dermatologischen Benhandlungen und Patientenberatungen. Skizzen von Eingriffen, Patientengesichter und Videos sind ebenfalls öffentlich einsehbar gewesen. Die Daten stammen von Ärzten oder Kliniken in diesem medizinischen Bereich die NextMotion Tools im Einsatz haben. Darunter können auch deutsche Patienten betrofffen sein.
Missbrauch Tür und Tor öffnen
Die Sicherheitsforscher geben unter anderem an, auch Daten gefunden zu haben, die eine Identifizierung der Patienten ermöglicht. Auch Namen von Operatören sind in den Dokumenten zu finden. Gelangen solche Informationen in die Hände von Cyberkriminellen ist das ein Desaster für die Patienten und auch für die Ärzte. Sogar Finanzinformationen sollen sich unter diesen Daten befinden. Damit öffnet man Tür und Tor für den Missbrauch solcher vertraulichen Daten.
Auch für das Unternehmen NextMotion ist das eine Katastrophe. Das Unternehmen welches 2015 von einem Team plastischer Chirurgen gegründet wurde, stellt Kliniken und Ärzten Tools zur Verfügung für eine Dokumentation bei Schönheitsoperationen und mehr. Die Firma wirbt damit, dass mit den Foto-, Video- und Softwaretools die Patienten beruhigt und der Ruf der jeweiligen Schönheitschirurgen verbessert werden könne. Die Daten welche in der Cloud gespeichert werden, sollen für den behandelten Arzt von überall erreichbar sein. So kann der Arzt auch auf seinem Handy oder Tablet die Daten einsehen. Die Firma wirbt auf Ihrer Webseite dass die Ansprüche der DGSVO, HIPPA, ISO usw. entsprochen werde. Mittlerweile ist das Unternehmen in 35 Ländern aktiv und betreut ca. 170 Kliniken.
Statement des Unternehmens
Auf der Firmenwebseite gesteht der CEO den Vorfall war ein, aber Stellungnahme erweckt nicht den Eindruck, dass man sich bewusst ist wie Ernst diese Lage ist. Es wird auf die medizinische Cloud und sicheres Hosting verwiesen. Die Anwendung des Unternehmens sei von einer spezialisierten Anwaltskanzlei geprüft worden um die Datenverordnung zu gewährleisten. Warum der Fehler aufgetreten ist oder was man in Zukunft anders bzw. besser machen will wird nicht beschrieben. Das Unternehmen schweigt dazu und streitet sogar ab das Informationen wie Namen und Geburtsdaten etc. von Patienten aufrufbar waren. Dagegen stehen die Aussagen des Sicherheitsteam welche Bilder von Personen sowie Rechnungen und persönliche Dokumente in verpixelter Form veröffentlicht haben.
Datenschutzgrundverordnung
Da es sich um medizinische und sehr persönliche Daten handelt, ist der Vorfall aus Sicht der DSGVO gravierend. Jeder Arzt, der die Leistungen des Anbieters NextMotion genutzt und dort Daten gespeichert hat, beging mit dem Vorfall womöglich eine Datenschutzverletzung nach DSGVO. Denn NextMotion ist letztendlich ein Auftragsdatenverarbeiter und der Arzt ohne entsprechende, datenschutzrechtlich ausreichende Absicherung in der Haftung.
Patienten könnten also die Ärzte auf Schadenseratz verklagen und Verstoß gegen die DGSVO-Richtlinien. Auch die Behörden müssten in einem solchen Falle Ermittlungen einleiten. Ob nun deutsche Schönheitschirurgen oder Schönheitskliniken betroffen sind lässt sich nicht konkret bestätigen. Dennoch zeigt dieser Vorfall wieder einmal wie unachtsam teilweise Daten in irgendwelche Clouds geladen werden. Ob diese korrekt und sicher abgelegt werden bleibt häufig offen.
Gerne beraten wir Sie in Sachen Cloud und sichere Speicherung von Daten in Cloud-Datenbanken.
Kontaktieren Sie uns Spezialteam für Datenbank-Sicherheit und holen Sie die nötigen Informationen ein.
Quelle:
Beitrag von vpnmentor: https://www.vpnmentor.com/blog/report-nextmotion-leak/
Beitrag von Heise – Author: Günter Born: https://www.heise.de/security/meldung/Patientendaten-aus-franzoesischer-Medizin-Cloud-offen-im-Internet-4661592.html
