![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Beim (wohl umstrittenen) Online-Anbieter Dr. Ansay gab es ein fettes Datenleck. Es lie\u00dfen sich Rezepte f\u00fcr Cannabis-Produkte \u00fcber die Suchmaschinen Bing und DuckDuckGo abrufen. Der Betreiber hat den Sachverhalt einger\u00e4umt, sucht die Schuld aber bei den Suchmaschinen, die die Dateien \"illegaler Weise\" indexiert haben und droht wohl mit rechtlichen Schritten.<\/p>\n
<\/p>\n
Auf dem Online-Portal Dr.Ansay lassen sich Krankschreibungen, aber auch Rezepte von Patienten ordern. Bei der Kombination Dr. Ansay und Rezepte k\u00f6nnte der Eindruck entstehen, dass da ein Mediziner das Portal betreibt. Aber ein Blick ins Impressum der Webseite offenbart (f\u00fcr mich \u00fcberraschend), dass Dr. jur. Can Ansay als beauftragter Rechtsanwalt f\u00fcr den Inhalt der Seite verantwortlich zeichnet. Der Sitz der als Ltd. fungierenden Unternehmung ist Malta, als weitere Adresse wird Hamburg angegeben.<\/p>\n
Beim Portal hat es ein fettes Datenleck gegeben: Ein Verzeichnis mit generierten PDF-Dateien zu Canabis-Rezepten war wohl frei per Internet erreichbar und wurde von der Suchmaschine Bing indexiert.<\/p>\n
Die Suchmaschine DuckDuckGo greift auf diese Daten zu und lieferte demnach auch Treffer auf die betreffenden PDF-Dokument mit Canabis-Rezepten. Dritte konnten also sehen, wer Rezepte f\u00fcr Cannabis f\u00fcr medizinische Zwecke auf der Plattform eingereicht hatte, welche Krankenkasse zust\u00e4ndig ist und wo die Person wohnt.<\/p>\n
Datenlecks sollten, speziell in diesem sensiblen Bereich nicht vorkommen, auszuschlie\u00dfen ist das nicht. Nachdem\u00a0 der Fehler bekannt wurde, hat der Betreiber den Ordner wieder gesch\u00fctzt. PDF-Dateien mit Rezepten sind nicht mehr auffindbar. Aber die Metadaten der Rezepte waren bzw. sind weiterhin per Suchmaschinen (Bing, DuckDuckGo) und Microsoft Copilot abrufbar.<\/p>\n
Ich hatte \u00fcber dieses Datenleck im Blog-Beitrag\u00a0Autsch: Datenleck bei Dr. Ansay, Cannabis-Rezepte in DuckDuckGo sichtbar<\/a> \u00fcber die Details berichtet und auch etwas zur Plattform geschrieben. Ob dort Cannabis-Rezepte von \u00c4rzten verordnet werden, interessiert in diesem Kontext weniger – und da habe ich keine Probleme mit. Dass ein Datenleck aufgetreten ist, bleibt weniger sch\u00f6n, ist aber passiert.<\/p>\n Unternehmen, die gut mit so etwas umgehen, arbeitet man so etwas auf. Ich erw\u00e4hne in diesem Kontext den Beitrag\u00a0Datenschutz-GAU bei Stay Informed Kindergarten-App<\/a>, wo deren Datenschutzbeauftragter mich kontaktierte und weitere Informationen bereitstellte. Dort war das Bem\u00fchen, den Fall umfassend aufzubereiten, erkennbar.<\/p>\n Von Dr. Ansay liegt jetzt auch eine Reaktion vor.\u00a0In diesem Kommentar<\/a> hat ein Leser auf die Stellungnahme\u00a0Datenleck vom 14.05.2024<\/a> verlinkt (danke daf\u00fcr).<\/p>\n In einem eigenen Absatz versucht der Betreiber zu relativieren – was aber zumindest vom Streisand Effekt sehr in die Hose gehen d\u00fcrfte. Hier der betreffende Text, den ich mal zur Dokumentation herausziehe:<\/p>\n DuckDuckGo nutzt die Suchergebnisse von Bing, welche ohne Erlaubnis die Daten von unserem Server gecrawlt und indexiert hat. Das war technisch m\u00f6glich aufgrund eines zu geringen Sicherheitsniveaus, das unbemerkt verursacht wurde von dem Ex-Mitarbeiter Florian K.,<\/p>\n der zudem mit seinem Partner Maurice F. rechtswidrig die Konkurrenz-Webseite Canngo gestartet hat ohne diese Datenschutzl\u00fccke, aber mit strafbaren Urheberrechts- und Arztpflicht-Verletzungen. Die beiden haben offenbar mit mehreren Fake-Accounts auf Social Media ihre Webseite beworben und als erste die Anleitung zum Abruf der Daten gepostet. Wir stellen Strafanzeigen und halten Euch \u00fcber die Polizei-Ermittlungen auf dem Laufenden.<\/p><\/blockquote>\n Dr\u00f6seln wir doch mal die Aussage, die ich auf zwei Abs\u00e4tze gesplittet habe, auf. Die Aussage, dass die Rezepte illegal in den Suchmaschinen gelistet w\u00fcrden, und ohne Erlaubnis des Unternehmen gecrawlt wurden, ist meiner Meinung nach Bullshit vom Feinsten. Der Verantwortliche auf dransay.com ist zwar Jurist (Dr. Jur), sollte sich aber soweit \u00fcber die Technik informieren, dass er zumindest wei\u00df, dass Suchmaschinen-Crawler \u00fcber eine robots.txt ausgeschlossen werden k\u00f6nnen, bevor er solche Aussagen trifft.<\/p>\n Die Aussage \u00fcber den Ex-Mitarbeiter ist meiner Meinung nach eine Nebelkerze, die mit dem Datenschutzvorfall nichts zu tun hat. Die Strafanzeige in diesem Zusammenhang ist Nebelkerze Nummer 2, was den DSGVO-Vorfall betrifft – der Start einer angeblichen Konkurrenz-Webseite interessiert in diesem Kontext nicht. Der Fehler wurde beim Betreiber gemacht – und es ist ein besonders schwerer Datenschutzvorfall nach DSGVO, da besonders sensitive Daten \u00fcber medizinische Sachverhalte von Patienten betroffen sind.<\/p>\n Fehler k\u00f6nnen passieren – das Unternehmen k\u00f6nnte dazu stehen. Nun versucht der Betreiber die vermeintliche \"Schuld\" auf Ex-Mitarbeiter sowie die Suchmaschinen abzuw\u00e4lzen und stellt sogar Strafanzeige. Auf elevated.city hat jemand die Schreiben des CEO und Juristen Dr. Ansary an Microsoft und DuckDuckGo ver\u00f6ffentlicht<\/a> – die dort ausgesprochenen Drohungen gegen\u00fcber Redmond sind lachhaft (Ansary will Strafanzeige stellen, wenn die Suchergebnisse nicht sofort entfernt werden).<\/p>\n Der Streisand-Effekt sowie \u00a7203 a ff. werfen nun ihre Schatten voraus. Durch die Strafanzeige wird ein Verfahren bei der Staatsanwaltschaft angesto\u00dfen. Je nach Staatsanwaltschaft kann das eingestellt oder verfolgt werden. Der Vorwurf des \"Aussp\u00e4hens von Daten\" d\u00fcrfte aber bei einer Suchmaschine eher – auch mit arger Ausdehnung des Rechts – nicht zu halten sein.<\/p>\n Inzwischen haben auch Golem<\/a> und heise<\/a> den Sachverhalt in separaten Artikeln behandelt. Interessant fand ich dort die Information aus der Apothekerzeitung<\/a>, dass der Betreiber der Plattform bereits eine einstweilige Verf\u00fcgung der Wettbewerbszentrale f\u00fcr COVID 19 Online-Testzertifikate erhalten hatte.<\/p>\n Was k\u00f6nnen und sollten Betroffene tun? Als erstes eine DSGVO-Auskunft beim Unternehmen anfordern. Dann eine Meldung an die Datenschutzaufsicht absetzen und sich \u00fcber den DSGVO-Vorfall beschweren. Und ggf. einen Anwalt, der sich mit Datenschutzrecht auskennt, kontaktieren, um die Frage eines Schadensersatzes zu kl\u00e4ren (hier<\/a> hat ein RA ein paar Details dazu ver\u00f6ffentlicht).<\/p>\n Ich habe inzwischen Beschwerde beim Hamburgischen Beauftragten f\u00fcr Datenschutz und Informationsfreiheit wegen des Vorfalls eingereicht.<\/p>\n Mich erinnert der obige Fall an das Bauhaus-Thema (Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen<\/a>). Dort hatte ich eine Entdeckung eines Lesers gemeldet, die Leute haben die Schwachstelle geschlossen, aber vergessen, die Daten in Bing.com l\u00f6schen zu lassen (auf meine zweite Eingabe wurde das auch nachgeholt).<\/p>\n Absolut ein \"geht gar nicht\" ist in meinen Augen der Versuch des Betreibers der Plattform, \"die Schuld\" anderen zuzuschieben. Hier kann man nur hoffen, dass die unter der Rubrik \"Was kann man tun?\" skizzierten Ma\u00dfnahmen empfindlich greifen.<\/p>\n Erg\u00e4nzung: Interessant, was ein Lesertipp, mal nach .txt-Dateien zu suchen, da zu Tage f\u00f6rdert. Die Plattformbetreiber haben eine lange Liste mit 240 Landtagsabgeordneten, insbesondere von den Parteien SPD und B\u00fcndnis 90\/Dien Gr\u00fcnen zusammen gestellt. Diese Textdatei ist noch immer frei auf dransay.com abrufbar bzw. \u00fcber die Suche verf\u00fcgbar. Gut, die Listen sind i.d.R. \u00fcber die Webseiten der jeweiligen Landtage abrufbar. Aber der Au\u00dfenstehende fragt sich schon, warum sich da jemand eine Liste von Abgeordneten bestimmter Parteien in eine Textdatei \"gie\u00dft\" und dann auch noch als notwendig erachtet, diese Datei frei auf seinen Server zu stellen?<\/p>\n \u00c4hnliche Artikel:<\/strong> Die CDU, die Wahlkampf-App, der Datenschutz und das Strafrecht, sowie Digitalkompetenz in der Politik<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" Beim (wohl umstrittenen) Online-Anbieter Dr. Ansay gab es ein fettes Datenleck. Es lie\u00dfen sich Rezepte f\u00fcr Cannabis-Produkte \u00fcber die Suchmaschinen Bing und DuckDuckGo abrufen. Der Betreiber hat den Sachverhalt einger\u00e4umt, sucht die Schuld aber bei den Suchmaschinen, die die Dateien … Weiterlesen Stellungnahme auf dransay.com und Details<\/h2>\n
![\"Datenleck](\"https:\/\/i.postimg.cc\/Xqx8rJY2\/image.png\")
<\/a> Hier die relevanten Angaben in Kurzform aus dem Dokument (siehe folgender Screenshot) herausgezogen und bewertet:<\/p>\n\n
Schuld sind die Anderen<\/h2>\n
Was kann man tun?<\/h2>\n
Schlechte Reaktion, wird zum Normalfall<\/h2>\n
Da w\u00e4re noch die Politikerliste<\/h2>\n
![\"Liste](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2024\/05\/l6sFmr0.png\")
<\/p>\n
\nSicherheitsvorf\u00e4lle M\u00e4rz\/April 2024 (Stand 9.4.2024)<\/a>
\nDatenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen<\/a>
\nM\u00f6gliche Schwachstelle bei Ticket-System der Koelnmesse aufgedeckt, gibt es einen 2. Modern Solutions-Fall?<\/a>
\nAmtsgericht J\u00fclich verurteilt Entdecker der Modern Solutions-Schwachstelle zu Geldstrafe (Jan. 2024)<\/a><\/p>\n