Patientendaten millionenfach auf ungesicherten Servern gelandet

Millionen Patienten weltweit sind Opfer eines riesigen Datenlecks geworden. Nach Recherchen des Bayerischen Rundfunks (BR) und der US-Investigativplattform “ProPublica” wurden hochsensible medizinische Daten auf ungesicherten Internetservern gespeichert – sie waren damit relativ leicht zugänglich.

„Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs, der Herzschrittmacher ist gut erkennbar. Es sind intimste Bilder, die über Jahre hinweg frei verfügbar im Netz zu finden gewesen sind. Diese Datensätze von weltweit mehreren Millionen Patienten liegen auf Servern, die nicht geschützt sind. Auch Tausende Patienten aus Deutschland lassen sich in diesem Datenleck finden“, heißt es in der Auswertung des BR und und des US-amerikanischen Rechercheportals.

Die Bilder seien hochauflösend und gespickt mit zahlreichen Informationen. Fast alle davon seien personenbezogen: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst.

In Deutschland sind laut BR-Recherchen mehr als 13.000 Datensätze von Patienten betroffen, in mehr als der Hälfte seien Bilder enthalten: „Sie waren noch bis vergangene Woche zugänglich und stammen von mindestens fünf verschiedenen Standorten. Der größte Teil der Datensätze entfällt auf Patienten aus dem Raum Ingolstadt und aus Kempen in Nordrhein-Westfalen“, heißt es weiter.

Weltweit sei die Dimension deutlich größer, Server auf der ganzen Welt seien ungeschützt: In rund 50 Ländern von Brasilien über die Türkei bis Indien sollen 16 Millionen Datensätze offen im Netz sein. Besonders betroffen sind den Informationen zufolge Patienten aus den USA.

Datenschutzbeauftragter warnt vor den Folgen

Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, sprach in einer ersten Reaktion von einem “verheerenden ersten Eindruck”, als ihm die Reporter einen Patientendatensatz in anonymisierter Form zeigten. Er warnte vor möglichen Folgen: “Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt.” Diese Daten würden unsere digitale Identität ausmachen, “sie gehören nicht in die Hände Dritter”.

Auch Sebastian Schinzel, Professor für IT-Sicherheit an der FH Münster, spricht von einem “handfesten Skandal”. Er arbeitet derzeit in einem Projekt des Bundeslandes Nordrhein-Westfalen daran, die Cybersicherheit für die Gesundheitswirtschaft zu verbessern: “Diese Daten sind hochsensibel, und ich möchte natürlich auf keinen Fall, dass das im Internet steht, ohne Passwort-Authentifizierung. Ich finde das katastrophal.”

Behörde für IT-Sicherheit informiert 46 Länder

Auch das für IT-Sicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) ist informiert. Auf Anfrage habe ein Sprecher mitgeteilt, dass man 17 Fällen nachgehe und “drei betroffene Einrichtungen direkt über den Sachverhalt” informiert habe. Das BSI darf aus rechtlichen Gründen nicht selbst auf die Daten zugreifen. In den restlichen 14 Fällen, in denen die IP-Adresse alleine nicht ausreichte, um das Leck zu identifizieren, habe man die Internetprovider kontaktiert. Diese seien nun angehalten, die betroffenen Einrichtungen zu informieren. Außerdem habe man Behörden in 46 Ländern kontaktiert.

Mehrere Server mit sensiblen Patientendaten waren nach BR-Informationen bis vergangene Woche erreichbar, darunter ein Server mit 7000 Untersuchungsdaten von Patienten in Bayern. Das Bayerische Landesamt für Datenschutzaufsicht steht mit dem Betreiber des Servers in Kontakt, wie ein Sprecher auf Anfrage schriftlich mitteilt. Nun würden nächste Schritte geprüft: “Dies kann von offensichtlichen Maßnahmen wie einer verbesserten IT-Sicherheit bis hin zur Einleitung eines Bußgeldverfahrens gehen.” Der BR hat ihm bekannte Standorte kontaktiert. Mittlerweile sind die Server vom Netz.

“Warnsignal in Richtung Spahn”

Eine erste Reaktion aus der Ärzteschaft kam am Dienstag von der Freien Ärzteschaft (FÄ). „Dieser Datenskandal sollte ein Warnsignal für Bundesgesundheitsminister Jens Spahn sein, der mit seiner Digitalpolitik einen gefährlichen Weg beschreitet“, erläuterte der Vorsitzende Wieland Dietrich. Es sei bedauerlich, dass die FÄ ihre Befürchtungen schon zu einem Zeitpunkt bestätigt sehen müsse, an dem die Massenspeicherung von Patientendaten noch am Anfang stehe. „Wir können nur noch einmal eindrücklich vor der zentralen Speicherung sensibler Patientendaten warnen. Die Politik befindet sich da auf einem Irrweg.“ Es bleibe zu hoffen, dass der aktuelle Datenskandal bei vielen Verantwortlichen endlich zu einem Umdenken führe und die Debatte um den Schutz der Patientendaten neu entfache.

Als “Skandal” bezeichnete Monika Buchalik, Vizepräsidentin der Landesärztekammer Hessen, das am Dienstag – „bittererweise am Tag der Patientensicherheit“ – publik gewordene Patientendatenleck. Auch die Landesärztekammer Hessen habe immer wieder gefordert, Datensicherheit vor blinden Digitalisierungswahn zu stellen, so Buchalik weiter. „Eine Forderung, die uns seitens der Politik und der Krankenkassen wiederholt den Vorwurf eingebracht hat, den digitalen Fortschritt verhindern zu wollen. Völlig zu Unrecht: Die Digitalisierung im Gesundheitswesen sollte jedoch nur dann vorangetrieben werden, wenn sie die Versorgung der Patienten unterstützt und dieser nicht schadet. Das vermutliche Datenleck ist eine Katastrophe, da es das Vertrauen in den Umgang mit hochsensiblen Patientendaten erschüttert.“

“Auch Netzwerk-Server müssen gesichert werden”

Am Nachmittag äußerte sich auch Bundesgesundheitsminister Jens Spahn zu dem Datenskandal, der am Dienstag öffentlich gemacht wurde. Der CDU-Politker mahnte höchste Datenschutzvorkehrungen für Patienten an. Das gesamte Gesundheitswesen müsse dafür sensibilisiert werden, wie wichtig Datensicherheit sei, sagte der CDU-Politiker in Berlin laut “Deutschlandfunk”. Dies gelte für jede einzelne Arztpraxis, jede Apotheke, jedes Krankenhaus sowie für Dienstleister. Auch Netzwerk-Server müssten gesichert werden.

Quelle: www.aend.de, abgerufen am 17.09.2019

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*
*

NACH OBEN