Von externen IT-Experten wurden wir Ende des vergangenen Monats auf Sicherheitslücken in unseren IT-Systemen hingewiesen. Im Rahmen eines Responsible-Disclosure-Verfahrens (geregeltes Verfahren zur Offenlegung von Sicherheitslücken), für das wir den beteiligten Personen ausdrücklich danken möchten, wurden wir auf Programmierfehler in unserer Software aufmerksam gemacht.
Die betroffenen Dienste wurden nach Eingang der Meldung unverzüglich von uns deaktiviert und überprüft.
Unsere Analyse hat ergeben, dass durch Programmierfehler Schwachstellen im Bereich der Arzt-Patienten-Kommunikation vorlagen, die unbefugte Dritte mit IT-Know-how und Fachkenntnissen in die Lage versetzt hätten, unbefugt auf Einrichtungs- und Patientendaten einiger unserer Kunden zuzugreifen.
Unsere Analysen von Logs und Zugriffsmustern bieten keinen Grund zur Annahme, dass abseits des Responsible-Disclosure-Verfahrens Praxis- oder Patienteninformationen von Dritten eingesehen oder abgegriffen wurden.
Die Programmierfehler sind mittlerweile korrigiert, die betroffenen Dienste sind größtenteils bereits wieder aktiv, lediglich ein letzter Dienst wird möglichst zeitnah wieder nach einem Update zur Verfügung gestellt.
Der Teil unserer Kunden, der potentiell von den Schwachstellen hätte betroffen sein können, wurde von uns unverzüglich nach Bekanntwerden des Problems informiert bzw. erhält entsprechende Informationen und Hinweise bei nächstmaliger Nutzung der Dienste.
Bei den potentiell betroffenen Kunden haben wir uns zudem für den Ausfall der Dienste entschuldigt und unser Bedauern ausgedrückt, dass diese Programmierfehler trotz unserer umfangreichen technisch-organisatorischen und IT-architekturellen Maßnahmen - bspw. extern beauftragte Penetrations-Tests sowie die Zertifizierung nach ISO 27001 - nicht bereits im Rahmen unserer Qualitätssicherungs- und Testprozesse identifiziert wurden. Entsprechend werden wir weitere präventive Maßnahmen und Abläufe etablieren, um insbesondere das Auftreten sicherheitsrelevanter Programmierfehler zu vermeiden.
Neben unseren Kunden und Partnern haben wir die zuständigen Behörden über den Vorfall fristgerecht und umfassend informiert.