Sicherheitslücke in Telekom-Routern
Ende November ist ein massives Datenleck in einer Arztpraxis aufgefallen. Im Internet waren sämtliche Patienten- und Stammdaten frei zugänglich, immerhin knapp 30.000 Betroffene. Dies ist natürlich unstreitig ein Datenschutz-Verstoß. Allerdings war dieser Verstoß nicht durch den Arzt begründet, sondern wurde durch einen technischen Fehler in seinem Telekom-Router verursacht. Der Arzt hatte eigentlich lediglich die Ports 80 und 443 für den Betrieb eines Webservers im Router weitergeleitet. Der Router aktivierte jedoch nicht nur diese beiden Ports sondern eine Port-Range von jeweils 10 Ports (80 – 89 sowie (440 – 449). Pikant daran ist, dass sich in letzter auch der Port 445 für die Windows-Dateifreigabe befindet. Über diese sollten eigentlich die Patientendaten nur innerhalb der Arztpraxis verfügbar sein und wurden durch den technischen Fehler auch in das Internet freigegeben. Die Telekom bestätigte mittlerweile, dass der Fehler bereits seit Mai 2019 bekannt war und die Router “Digitalisierungsbox Standard”, “Digitalisierungsbox Premium” und “Digitalisierungsbox Smart” betrifft. Sollten Sie diese Router nutzen, aktualisieren Sie bitte dringend die Firmware der Router.
Unstreitig ist, dass der Arzt als Verantwortlicher für die Patientendaten nun entsprechend der DSGVO in der Pflicht ist. Sicherlich wird und muss die Aufsichtsbehörde hier auch ein Bußgeld verhängen. Dieses Bußgeld muss der Arzt dann in einem Verfahren auf Schadenersatz gegen seinen IT-Dienstleister und die Telekom, vielleicht sogar in gesamtschuldnerischer Haftung geltend machen.