Hamburg, 09.01.2026: Der Telemedizin-Anbieter DrAnsay.de hat den Datenschutz durch mehrere Maßnahmen erhöht und dank eines unabhängigen Sicherheitsforschers eine Sicherheitslücke erkannt und sofort geschlossen.
Große Tech-Unternehmen nutzen sog. Bug-Bounty-Programme, um trotz höchster Datenschutzmaßnahmen unerkannte Risiken zu erkennen. Sogenannte “White-Hat-Hacker” erhalten dann eine Belohnung, wenn sie eine schwer zu findende Sicherheitslücke identifizieren und diese dann dem Unternehmen melden als sogenannte “Responsible Disclosure”, d. h. der White-Hat-Hacker nutzt die Sicherheitslücke nur, um diese nachzuweisen und zu dokumentieren. Hierfür wird ein exemplarischer, sehr kleiner Datensatz kurzfristig gespeichert und anschließend gelöscht.
DrAnsay erhielt Anfang Januar Kenntnis davon, dass ein unabhängiger Sicherheitsforscher als “White-Hat-Hacker” eine sicherheitsrelevante Schwachstelle in einem technischen Systembestandteil der Plattform entdeckt hat. Nach aktuellem Kenntnisstand handelte es sich um einen Konfigurationsfehler in einer externen Datenbank-Anbindung, der dann sofort innerhalb weniger Stunden behoben wurde. Der Zugriff auf die Daten erforderte spezielle Software und mehrere geheime Tokens, die nur mit erheblichem Aufwand von erfahrenen Hackern entdeckt werden konnten.
Die internen System-Logfiles bestätigen, dass es sich um einen üblichen “White-Hat-Hacker”-Vorgang handelte, ohne darüber hinausgehende Gefährdung des Datenschutzes. Dies bestätigt auch die zusätzliche Sicherheitsmaßnahme von DrAnsay, welche laufend automatisiert prüft, ob Patientendaten im Internet unbefugt erscheinen. Das Sicherheitsrisiko für die Datensätze der Verschreibungen, E-Mail-Adressen und Telefonnummern von bis zu 330.000 Nutzer:innen konnte also erfolgreich ausgeschlossen werden.
Darüber hinausgehende Daten waren nicht betroffen, insbesondere keine Zahlungsdaten, Indikationen, Passwörter oder Ausweisdaten.
Seit 2024 hat sich DrAnsay dem Thema Datensicherheit mit sehr hoher Priorität gewidmet und in diesem Rahmen regelmäßige Tests initiiert, wie bspw. im Mai/Juni 2025 mit externen Sicherheitsspezialisten Tests durchgeführt.
DrAnsay optimiert zudem kontinuierlich den Datenschutz und hat die Datensicherheit in 2025 insbesondere durch folgende Maßnahmen zusätzlich optimiert:
- Durchführung mehrerer interner Sicherheitschecks und Audits,
- Durchführung mehrerer Penetrationstests bei den Systemen, zuletzt im November,
- Mitarbeiterqualifikation und -schulungen,
- Durchführung einer SonarQube Auto-Überprüfung auf Sicherheit,
- Umsetzung von Secure SDLC-Maßnahmen.
Bei all diesen hohen Sicherheitsmaßnahmen und -tests wurde eine Sicherheitslücke nicht entdeckt. Da es sich um einen üblichen White-Hat-Hacker-Vorgang handelt, ohne Risiko für die Rechte und Freiheiten der betroffenen Patient:innen, besteht keine Meldepflicht gegenüber Aufsichtsbehörden oder Betroffenen. DrAnsay hat dies trotzdem den zuständigen Datenschutzbehörden gemeldet, um maximale Transparenz sicherzustellen.
Darüber hinaus hat das Unternehmen weitere Maßnahmen geplant, darunter kontinuierliche, externe Penetrationstests nach aktuellem Stand der Technik, sowie die Erweiterung des Bug-Bounty-Programms.
Das Unternehmen dankt dem Sicherheitsforscher für den verantwortungsvollen Hinweis und bedauert die aufgrund der Feiertage verzögerte Kenntnisnahme. DrAnsay nimmt Datenschutz sowie Informationssicherheit weiterhin sehr ernst und arbeitet konsequent daran, die technischen und organisatorischen Schutzmaßnahmen weiter zu stärken.