Nahezu ungeschützte Gesundheitsdaten im Kreis Heinsberg

Bis vor einer Woche betrieb der Kreis Heinsberg zwei Portale zur Verwaltung sensibler Daten. Neben personenbezogenen Daten wie Name, Anschrift und Telefonnummer, wurden auch Informationen zu psychischen Problemen nahezu ungeschützt gespeichert. In einem weiteren Portal wurden Informationen zum sprachlichen Förderbedarf von Grundschülern erfasst.

Sozialpsychiatrischer Dienst

Auf der Webseite des Kreises Heinsberg wird das Angebot des sozialpsychatrischen Dienstes wie folgt beschrieben:

Die Arbeit des Sozialpsychiatrischen Dienstes des Gesundheitsamtes richtet sich an Menschen, die unter psychiatrischen Erkrankungen oder psychosozialen Störungen und Behinderungen leiden, sowie deren Angehörige.
Die Unterstützung der Betroffenen erfolgt in Form einer individuellen psychosozialen Beratung und in der Vermittlung weitergehender Hilfen durch andere Institutionen.

https://service.kreis-heinsberg.de/dienstleistungen-a-z/-/egov-bis-detail/dienstleistung/151316/show

Die Verwaltung der Betroffenen sowie die Dokumentation durchgeführter Gespräche erfolgte in einem aus dem Internet erreichbaren Portal.

Wie die Eingabe eines simplen Hochkommas in das Feld Anmeldename ergab, war dieses Formular anfällig für SQL Injections. Auch der Versuch im Feld Kennwort führte zu einem internen Serverfehler. Damit war wahrscheinlich, dass die Passwörter im Klartext in der Datenbank gespeichert werden.

sqlmap bestätigte den Verdacht ungehashter Passwörter

Mit den funktionsfähigen Zugangsdaten war der Spaß auch schon vorbei. Nach dem Login präsentierte sich eine Übersicht von Klienten, also Personen, die aufgrund psychischer Erkrankungen betreut werden.

Die Übersicht lieferte Namen und Anschrift der Klienten

Auch die Detailansicht einzelner Klienten hatte es in sich. Neben weiteren personenbezogenen Daten, wurde auch eine Liste geführter Gespräche angezeigt. Aus den Gesprächsnotizen gingen eindeutige Details zu den Problemen der Betroffenen hervor. Zudem wurden Details zu den Kindern und weiteren Familienverhältnissen der Betroffenen erfasst.

Die hier gezeigten Screenshots wurden bereits vor der Speicherung geschwärzt, um die Daten der Betroffenen zu schützen. Auf weitere gängige Schwachstellen aus dem OWASP Katalog habe ich an dieser Stelle nicht mehr geprüft, um eine Veränderung der Daten auszuschließen.

Bei diesen Daten handelt es sich um besonders sensible Daten nach Art. 9 DSGVO. Derartige Daten dürfen nur mit entsprechender Grundlage und unter Einhaltung besonderer Schutzmaßnahmen verarbeitet werden. Letzteres ist hier offensichtlich nicht der Fall, denn SQL Injections und ungehashte Passwörter entsprechen nicht dem Stand der Technik. Hier wurde mit sensiblen Daten fahrlässig umgegangen.

Darüber hinaus ergeben sich aus dem Datenleck mögliche Konsequenzen für Betroffene. So könnten die Klienten oder deren Kinder in Bewerbungsprozessen von Firmen benachteiligt werden. Bei Familienangelegenheiten und zur Sicherheit getrennten Kindern kann es zudem zu Gefährdungen kommen.

Sprachstandserfassung

Wenn man einmal ein bewährtes Portal entwickelt hat, bietet es sich an, dessen Grundgerüst erneut zu verwenden. So kommt eine ähnliche Loginmaske auch bei der Sprachstandserfassung für Grundschüler zum Einsatz:

Die Probleme sind identisch. Auch hier war der Zugriff auf die gespeicherten Daten möglich. Für die Schüler wurde neben Namen, Anschrift und Geburtsdatum auch die Namen der Eltern gespeichert. Zudem wurden Informationen zu Familiensprache und dem ermittelten Förderbedarf erfasst.

Im Vergleich zu dem Portal des sozialpsychatrischen Dienstes, erscheinen die Daten hier nahezu unbedeutend. Dennoch gelten auch für die Daten Minderjähriger besondere Anforderungen an den Schutz personenbezogener Daten.

Meldung und Behebung

Die Meldung der Schwachstellen an die Datenschutzbeauftrage des Kreises Heinsberg erfolgte am 23.11.2020. Am 24.11.2020 meldete sie sich telefonisch und versprach die Klärung des Sachverhalts. Am selben Tag meldete sie sich erneut und informierte mich über die Abschaltung beider Portale. Meldepflichten gemäß der DSGVO seien in diesem Fall nicht zu beachten.

Aufgrund der schwere des Problems entschied ich mich zu einer Verkürzung der Responsible Disclosure Frist auf sieben Tage.

Nach Intervention des Kreises Heinsberg wurde der Titel von “Ungeschützte Gesundheitsdaten im Kreis Heinsberg” zu “Nahezu ungeschützte Gesundheitsdaten im Kreis Heinsberg” geändert.