Statement

Am 11. März wurde Medicus vom BSI über eine Sicherheitslücke in SafePlay informiert. Diese Lücke ermöglichte theoretisch, dass eingeloggte Nutzer mit IT-Kenntnissen die Befunde anderer Nutzer abrufen konnten.

Der ursächliche Fehler war durch ein Update in die Software gelangt und wurde umgehend und innerhalb weniger Stunden nach Benachrichtigung durch das BSI behoben.

Auf Basis eingehender Untersuchungen konnten Medicus feststellen, dass ein Zugriff über die Sicherheitslücke zum ersten Mal wenige Stunden vor der Benachrichtigung durch das BSI geschah. Davon waren ausschließlich die Datensätze von sechs Nutzern betroffen. Alle diese Nutzer gehören zu einem Kunden von Medicus, 21Dx GmbH. Weitere Kunden (und deren Nutzer) waren nicht betroffen. Nichtsdestotrotz hat Medicus all ihre Kunden umgehend informiert, sowohl über die initiale Information des BSI als auch über alle Korrekturen und Ergebnisse der Untersuchungen.

Wir bedauern den Vorfall sehr! Die Sicherheit der uns anvertrauten persönlichen Daten der Nutzer unserer Kunden hat höchste Priorität für uns. Wir möchten uns ausdrücklich bei allen von dem Vorfall betroffenen Personen und Kunden entschuldigen. Gleichzeitig danken wir allen Beteiligten, vor allem dem BSI, für die schnell und konstruktive Zusammenarbeit in der Behebung des Problems.




On March 11, the BSI reported a security issue in the Safeplay system to Medicus. This issue would have allowed any logged-in users (patients) to access the reports of other users in the platform using developer tools (if exploited).

The issue was introduced through an unfortunate bug that was pushed on February 14. It was corrected within a few hours of being reported. Medicus has conducted a detailed investigation, which concluded that six user profiles have been accessed by the party who first detected the issue. All six are users of 21Dx GmbH, one of Medicus’ clients. Medicus can confirm that no other clients or users have been affected. All clients were notified immediately after the initial discovery, and again later after the conclusion of the investigation.

We very much regret this incident. The security of the personal data entrusted to us by our customers' users is our highest priority. We would like to expressly apologize to all persons and customers affected by the incident. We would also like to thank all those involved, especially the BSI, for their quick and constructive cooperation in helping us fix the issue.