Lediglich die IP-Adresse und ein Webbrowser waren nötig um auf den Server des schwedischen Gesundheitsamtes 1177 Vårdguiden zu gelangen. Dort fand Computer Sweden 2,7 Millionen Audio-Dateien mit Anrufen von Bürgern. Die Aufzeichnungen reichen bis ins Jahr 2013 zurück und enthalten teilweise hochsensible Informationen. 57.000 Dateien waren mit der vollständigen privaten Telefonnummer des Anrufers benannt.
Foto: Mehaniq - shutterstock.com
Thailändisches Subunternehmen ist verantwortlich
Die frei zugänglichen Gespräche waren von Medicall aufgezeichnet worden, einem thailändischen Subunternehmer des Gesundheitszentrums Medhelp. Das Zentrum bearbeitet für 1177 Vårdguiden Patientenanrufe. Zu Stoßzeiten leitete Medhelp Anrufe an Medicall weiter, wo schwedisches Gesundheitspersonal die Anfragen bearbeitet.
In den Gesprächen beantworten die Mitarbeiter des Zentrums Fragen zu Krankheitssymptomen oder Behandlungsmethoden. Oft geben die Bürger auch ihre Sozialversicherungsnummer an.
Solche Anrufe aufzuzeichnen ist in Schweden grundsätzlich erlaubt, da es für die Sicherheit des Patienten oder um Missbrauch aufzudecken wichtig sein kann. Allerdings müssen die Mitschnitte gemäß dem Gesetz und den Vorgaben der DSGVO für sensible personenbezogene Daten abgesichert sein.
Das tat Medicall nicht. Sie speicherten die Dateien auf einem offenen Webserver ohne Passwortschutz. Das Unternehmen verwendet Biz 2.0, ein Cloud-basiertes Call-Center-System des schwedischen Anbieters Voice Integrate Nordic AB. Die Gespräche wurden auf dem Server von Voice Integrate Nordic unter der von Computer Sweden untersuchten IP-Adresse gespeichert. Die Verbindung sei zwar über HTTPS erfolgt, die Sitzung jedoch nicht verschlüsselt gewesen.
Der betroffene Apache HTTP-Server (Version 2.4.7) soll zudem von 23 im CVE-Verzeichnis hinterlegten Sicherheitslücken betroffen sein, so dass er auch mit Passwortschutz angreifbar war. Der Zugriff auf den Server ist mittlerweile abgesichert.
Einschätzung von Experten
"Dieses Datenleck ist auf eine sicherheitsrelevante Fehlkonfiguration zurückzuführen," kommentiert Adam Brown, Manager bei App-Security-Anbieter Synopsys, den Vorfall. Hauptursache für solche Probleme seien unsichere Standardkonfigurationen, unvollständige oder ad-hoc vorgenommene Konfigurationen, ungeschützte Cloud-Speicher, fehlkonfigurierte HTTP-Header und Fehlerausgaben, die vertrauliche Daten enthielten.
Obwohl der Betreiber einige Sicherheitsmaßnahmen getroffen habe - die Verwendung von HTTPS gehört zum Beispiel dazu -, konnten diese Maßnahmen in diesem Szenario keinen Schutz bieten. Betriebssysteme, Frameworks, Bibliotheken und Anwendungen müssten sicher konfiguriert werden und zeitnah Patches und Updates erhalten.
Brown ist zudem der Meinung, dass Medicall es versäumt habe, die von der DSGVO geforderte "sichere Verarbeitung unter Berücksichtigung des Standes der Technik" einzuhalten. Das könnte empfindliche Sanktionen nach sich ziehen. Fehler dieser Art seien seit Jahren bekannt. Laut den OWASP-Top-10-Risiken für die Anwendungssicherheit gehören Fehlkonfigurationen seit 2010 zu den Hauptbedrohungen.
Schwachstelle Supply Chain
Das Datenleck ist nicht die erste Datenschutzverletzung der schwedischen Behörden. 2017 wurde bekannt, dass sensible Daten des schwedischen Militärs und der Führerscheinbehörde ins Ausland gelangt waren.
Auch damals war ein Subunternehmen beteiligt. Die Verkehrsbehörde hatte ihre IT-Verwaltung an den Computerkonzern IBM ausgelagert. Big Blue beauftragte wiederum Unternehmen in Tschechien und Rumänien. Von dort aus konnten Techniker ohne Sicherheitsüberprüfung auf sensible, in Schweden gespeicherte Daten zugreifen. Allerdings deutete laut den Behörden nichts darauf hin, dass die Daten missbräuchlich verwendet worden seien.
Betroffen waren militärische Informationen über Personal, Fahrzeuge sowie Verteidigungs- und Kontingentplanung. Laut der Verkehrsbehörde lagerten dort auch Details aus Zeugenschutzprogrammen.
Als Konsequenz trat damals die Generaldirektorin der Verkehrsbehörde zurück und zahlte eine Geldbuße von umgerechnet etwa 7.000 Euro. Sollte dieses Mal tatsächlich gegen die DSGVO verstoßen worden sein, droht eine wesentlich höhere Strafe.