Eine Arztpraxis in Celle hat einen Datengau erlebt. Nicht nur, dass ein Telekom Business Router nicht wie gewünscht und erwartet konfiguriert werden konnte, auch ein IT Dienstleister prüfte, bisherigen Informationen nach, sein Arbeitsergebnis nicht hinreichend. Vermutlich wurden auch weder Patienten noch die zuständige Datenschutzbehörde zeitnah informiert.
Dies wird sicherlich für die Arztpraxis kein leichtes Unterfangen und kann als Gradmesser  für Sanktionen bei Datenlecks im medizinischen Bereich gesehen werden, sobald eine Entscheidung öffentlich wird. Auch wenn die Ärzte anscheinend nicht selber das Datenleck herbeigeführt haben, bleiben sie verantwortlich.

Aber was war passiert?

Innerhalb der Praxis arbeitete man auf einem Windowsserver mit einer Freigabe für Laufwerke mit der Berechtigung "Jeder". Dies sollte man u. E. nicht nur bei der Verarbeitung von medizinischen Daten tunlichst unterbinden. Hinzu kam, dass auf dem Businessrouter der Telekom ein Port nach außen geöffnet werden sollte, doch der Konfigurationsassistent machte daraus zehn Ports. Hierbei wurde unbeabsichtigt auch der Standardport für die eingebundenen Laufwerke mit Berechtigung "Jeder" nach außen geöffnet und die Daten waren frei zugänglich, also öffentlich erreichbar. Nachdem heise, durch einen Tippgeber die Arztpraxis darauf aufmerksam gemacht hatte, ließ sie einen IT Dienstleiter das System prüfen. Dieser fand die Schwachstelle des Routers, schloss sie und spielte eine neue Version der Firmware des Routers auf. Dies öffnete wiederum besagte Ports, weil die alten Einstellungen nun wieder geladen wurden. Leider scheint es so, dass der Dienstleister nach Abschluss seiner Arbeiten nicht erneut prüfte, welche Ports geöffnet waren und die Daten waren weiterhin frei zugänglich. Es handelte sich um 30.000 Patienten, deren Kartei und Dokumentation einer Orthopädiepraxis komplett öffentlich waren. Die Schwachstelle, respektive der eigenwillige Konfigurationsassistent, des Routers war der Telekom seit Mai bekannt. Die Telekom versicherte, man werde jetzt schnellstmöglich einen Patch liefern, der die vorherigen Einstellungen zu den Ports zurücksetzt.

[Update 27.11.2019]: Die Telekom gab bekannt, dass zwei weitere Typen der Digitalisierungsbox betroffen sind und stellt nun Updates bereit.