Sicherheitsteams des israelischen Unternehmens vpnmentor durchkämmen das Internet regelmäßig nach offenen Servern und nicht abgesicherten Datenbanken. Am 24. Januar 2020 stieß ein Sicherheitsteam in einem S3 Bucket der Amazon AWS-Cloud auf eine ungesicherte Datenbank. In der Datenbank waren um die 900.000 Dateien einsehbar, die offenbar aus Patientenakten stammten.

Ärzte nutzten Hersteller-Cloud

heise online daily Newsletter Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden. Newsletter jetzt abonnieren

Da diese Datenbank benannt war, ließ sich aus den Daten relativ schnell das französische Unternehmen NextMotion als Betreiber identifizieren. Die Patientendaten waren von Ärzten, die die Tools von NextMotion nutzen, in der vermeintlich sicheren medizinischen Cloud des Unternehmens abgelegt worden. Die Sicherheitsforscher hatten dort Zugriff auf hochsensible Bilder, Videodateien und Unterlagen zu Eingriffen im Bereich plastischer Chirurgie, dermatologischer Behandlungen und Patientenberatungen, die von Kliniken mit der NextMotion-Technologie durchgeführt wurden.

Der Inhalt der Datenbank erstreckt sich von Rechnungen für Behandlungen über Skizzen für Eingriffe bis hin zu Videodateien mit 360-Grad-Scans von Körpern und Gesichtern von Patienten. Hinzu kamen intimste Fotos von Patientinnen vor und nach Brust- oder Gesäß-OPs. Das Sicherheitsteam wandte sich am 27. Januar an NextMotion, am 5. Februar waren die Daten nicht mehr abrufbar.

Schwerwiegende Folgen befürchtet

Die Sicherheitsforscher geben an, auch Daten gefunden zu haben, mit denen Patienten identifiziert werden können und die sich teilweise auf Finanzinformationen zu diesen Personen beziehen. Auch Namen von operierenden Chirurgen sind in den Dokumenten zu finden. Für die betroffenen Patienten und deren Ärzte ist es ein Desaster, wenn solche vertraulichen Arztunterlagen in die Öffentlichkeit oder in die Hände von Cyberkriminellen gelangen – letzteres könnte Missbrauch Tür und Tor öffnen.

Die detaillierten Daten umfassen auch finanzielle Details und lassen teils eine Identifizierung der Patienten zu. (Bild: vpnmentor)

Für das Unternehmen NextMotion ist dieser Sicherheitsvorfall ebenfalls ein Desaster, untergräbt er doch deren Geschäftsmodell der ‘sicheren Speicherung der Daten in einer medizinischen Cloud’. Die Sicherheitsforscher von vpnmentor schreiben in ihrem Blog-Beitrag, dass dies für das Unternehmen geschäftsschädigend sein dürfte, da die Kunden das Vertrauen in die Leistungen der Firma verlieren und Patienten möglicherweise Schadensersatz verlangen könnten.

Dienstleister für Schönheitsoperationen

Die französische Firma NextMotion wurde 2015 von einem Team plastischer Chirurgen gegründet, um Kliniken Leistungen und Tools zur Dokumentation von Schönheitsoperationen anzubieten. Mit eigenen Tools sollen Schönheitschirurgen die Ergebnisse vor und nach Eingriffen dokumentieren und ihren Patienten und Patientinnen zeigen können. Die Firma wirbt damit, dass mit den Foto-, Video- und Softwaretools die Patienten beruhigt und der Ruf der jeweiligen Schönheitschirurgen verbessert werden könne. Denn den Patienten lässt sich so quasi per Tablet oder Smartphone mit Vorher-/Nachher-Fotos und Videos zeigen, wie sich eine Schönheitsoperation oder eine dermatologische Behandlung auswirkt.

Sogar intimste Bilder zu schönheitschirurgischen Eingriffen fanden sich in der offen zugänglichen Datenbank. (Bild: vpnmentor)

Alle Daten, die mit den Tools der Firma erfasst werden, sollen in einer sicheren, HDS-konformen (Personal Data Hosting) medizinischen Cloud liegen, aber vom Arzt überall, sogar per Handy-App, abrufbar sein. Das Unternehmen arbeitet also in einem sehr sensiblen, medizinischen Umfeld, wo Daten der Patienten sicher gespeichert werden müssen. Auf der Website betont die Firma, dass höchsten Ansprüchen wie DSGVO, HIPPA, ISO usw. entsprochen werde. Das Unternehmen ist inzwischen global in 170 Kliniken in 35 Ländern aktiv und strebt eine weitere globale Expansion an.

Das Unternehmen versucht zu verharmlosen

In einer Mitteilung des Unternehmens auf der Webseite zur Datensicherheit gesteht der CEO des Unternehmens den Datenvorfall zwar ein, aber die Einlassungen erwecken nicht den Eindruck, dass man sich dort des Ernstes der Lage bewusst ist. So wird auf die sichere medizinische Cloud sowie ein sicheres Hosting (Personal Data Hosting) verwiesen. Die Anwendung sowie die NextMotion-Datenverwaltungspraxis sei 2018 von einer auf GDPR (die DSGVO) spezialisierten Anwaltskanzlei geprüft worden, um die Einhaltung der angeblich 2019 in Kraft getretenen Datenverordnung zu gewährleisten, so der CEO der Firma in seiner Einlassung – die Verlautbarung ist anscheinend hastig erstellt worden, denn die Datenschutzgrundverordnung trat am 25. Mai 2018 und nicht erst 2019 in Kraft.

Dass alle diese Maßnahmen versagt haben, bleibt ebenso unerwähnt wie eine Aussage darüber, wo der Fehler lag bzw. wie dieser künftig vermieden werden soll. Der promovierte CEO des Unternehmens streitet sogar ab, dass persönliche Informationen wie Anschriften, Geburtsdaten etc. von Patienten dort abrufbar waren, und versucht, Kunden zu beschwichtigen.

Zudem stehen die Einlassungen den Aussagen der Sicherheitsforscher entgegen, die Rechnungen und weitere persönliche Dokumente aus den Patientenakten einsehen konnten und teilweise in geschwärzter oder gepixelter Form veröffentlicht haben. Dass Fotos und Videos eine Person identifizierbar machen, scheint dem CEO auch unbekannt zu sein. Die Testierung durch eine spezialisierte Anwaltskanzlei ist im nachhinein offenbar ihr Geld nicht wert gewesen, denn zu einer datenschutzrechtlichen Bewertung hätte auch das nun eingetretene Szenario samt Abwehrmaßnahmen (z. B. verschlüsselter Speicherung der Dateien) analysiert werden müssen.

Der lange Arm der Datenschutzgrundverordnung

Was den israelischen Sicherheitsforschern komplett entgangen ist: Jeder Arzt, der die Leistungen des Anbieters NextMotion genutzt und dort Daten gespeichert hat, beging mit dem Vorfall womöglich eine Datenschutzverletzung nach DSGVO. Denn NextMotion ist letztendlich ein Auftragsdatenverarbeiter und der Arzt ohne entsprechende, datenschutzrechtlich ausreichende Absicherung in der Haftung.

Da es sich um medizinische und sehr persönliche Daten handelt, ist der Vorfall (auch wenn er von Sicherheitsforschern aufgedeckt wurde und derzeit keine Belege für einen Missbrauch vorliegen) aus Sicht der DGSVO gravierend. Patienten könnten also auch ihre Ärzte ggf. auf Schadensersatz verklagen und Behörden müssten im Gültigkeitsbereich der DSGVO gegen alle Kunden des Unternehmens wegen des DSGVO-Verstoßes ermitteln. Interessant wird dies bei der Frage, ob auch deutsche Schönheitschirurgen und –Kliniken Kunden von NextMotion waren. Da könnten sich bei einer Nachprüfung noch bisher ungeahnte Implikationen für alle Beteiligten ergeben. Weitere Details zur aufgedeckten Datenschutzverletzung sind ebenfalls bei vpnmentor abrufbar.

Bei Problemen mit der Wiedergabe des Videos aktivieren Sie bitte JavaScript

(tiw)