Theoretischer Angriffsvektor eliminiert

Wir bei RED medical nehmen die Themen Sicherheit und Datenschutz sehr ernst. Daher bauen wir unsere Systeme nicht nur „Secure by Design“, sondern lassen unsere Sicherheitsmechanismen laufend durch externe Institutionen überprüfen. Selbst wir können bei einem so komplexen Produkt nie vollkommen ausschließen, dass nicht doch an irgendeiner Stelle eine Angriffsmöglichkeit besteht. Am Ende ist es aus unserer Sicht entscheidend, dass Fehler schnellstmöglich entdeckt und transparent beseitigt werden.

Am Montag, dem 27. April 2020, wurden wir von unserem Benutzer Henning Meyer darauf hingewiesen, dass eine theoretische Möglichkeit besteht, auf Basis eines vorhandenen Zugangscodes zu einer Videosprechstunde einen anderen Code zu erraten. Dazu hätte der Angreifer mit sehr hoher Rechenleistung und noch größerem Aufwand viele Millionen Zugangscodes ausprobieren müssen. Im Ergebnis wäre es dem Angreifer unter sehr unwahrscheinlichen Bedingungen möglich gewesen, sich als einer der beiden Sprechstundenteilnehmer auszugeben. 

Wir haben sofort gemäß unserem dafür vorbereiteten Notfallplan reagiert. Als erstes wurde überprüft, ob das beschriebene Verfahren in der Praxis bereits genutzt wurde. Da ein solcher Angriff aufgrund des Ausprobierens vieler ungültiger Codes auf unserer Seite sofort entdeckt worden wäre, konnten wir dies sehr schnell ausschließen. Als nächstes haben wir unsere externe Datenschutzbeauftragte eingeschaltet, um die Situation zu analysieren. Gleichzeitig haben wir sofort mit den nötigen Entwicklungsarbeiten begonnen, um die mögliche Sicherheitslücke zu schließen. Bereits in der Nacht  vom 28. auf den 29. April haben wir das Verfahren zur Erzeugung der Zugangscodes so angepasst, dass die oben beschriebene Möglichkeit nicht mehr besteht. 

Die von unserer Datenschutzbeauftragten durchgeführte Analyse hat ergeben, dass zu keinem Zeitpunkt persönliche Daten unserer Benutzer gefährdet waren.