Millionen Patientendaten ungeschützt im Netz

Ausgerechnet zum ersten internationalen Tag der Patientensicherheit
ist eine gravierende Sicherheitslücke rund um Millionen
Patientendaten bekannt geworden. Es geht unter anderem um Röntgen-
und MRT-Aufnahmen, die offenbar jahrelang frei im Netz standen.

München (dpa) - Sensible medizinische Daten von Millionen Patienten
weltweit standen auf offen zugänglichen Servern im Netz, teils über
Jahre hinweg. Wie der Bayerische Rundfunk berichtete, stammen mehr
als 13 000 der entdeckten Datensätze aus Deutschland von mindestens
fünf verschiedenen Server-Standorten. Zu den Daten gehören
medizinische Bilder wie Brustkrebs-Screenings, Wirbelsäulenbilder und
Röntgenaufnahmen. Der größte Teil der Datensätze entfalle auf
Patienten aus dem Raum Ingolstadt und aus Kempen in
Nordrhein-Westfalen, hieß es.

In Ingolstadt seien allerdings nur in einem Fall sensible Daten von
Patienten aus einer Arzt-Praxis abgeflossen, bestätigte das
bayerische Landesamt für Datenschutzaufsicht. Dabei seien
Untersuchungsdaten von rund 7200 Patienten ohne Passwortschutz
abrufbar gewesen. Der betroffene Arzt sei informiert worden und habe
den Rechner daraufhin abgeschaltet. Nach aktuellem Stand sei keine
der öffentlichen Kliniken in Bayern betroffen, teilte der bayerische
Datenschutzbeauftragte Thomas Petri mit.

Das Bundesamt für Sicherheit in der Informationstechnik BSI wurde von
IT-Sicherheitsforschern darüber informiert und hat die betroffenen
Einrichtungen davon in Kenntnis gesetzt, teilte die Behörde am
Dienstag mit. Es lägen keine Erkenntnisse vor, dass die Daten
tatsächlich in krimineller Absicht abgeflossen seien.
Bundesgesundheitsminister Jens Spahn (CDU) mahnte höchste
Datenschutzvorkehrungen an. Für die Speicherung von Patientendaten
seien jederzeit höchste Schutzstandards zu garantieren, sagte Spahn.
Dies gelte für jede Arztpraxis, jede Apotheke, jedes Krankenhaus und
für Dienstleister.

Nach den Recherchen des BR mit der US-Investigativplattform
ProPublica sollen in rund 50 Ländern von Brasilien über die Türkei
bis Indien 16 Millionen Datensätze offen im Netz stehen. Besonders
betroffen seien Patienten aus den USA. «Allein bei einem einzelnen
Anbieter für radiologische Untersuchungen lagen nach einer Auswertung
von ProPublica mehr als eine Million Datensätze von Patienten vor»,
heißt es in dem Bericht weiter.

Dabei hat es nicht ein großes Datenleck gegeben, sondern eine
Vielzahl von ungeschützten Servern etwa für die Bildspeicherung. Ein
potenzieller Angreifer brauche kein Spezialwissen, um sich Zugang zu
diesen PACS genannten Servern (Picture Archiving and Communication
System) zu verschaffen, auf denen Aufnahmen aus Röntgen- oder
MRT-Befunden gespeichert werden, sagte der IT-Sicherheitsexperte Dirk
Schrader der dpa. Mit etwas Internet-Affinität und einem frei im Netz
verfügbaren «Dicom-Viewer» habe man sich problemlos die Aufnahmen
ansehen können.

Nach Einschätzung des BSI waren die Daten zugänglich, «weil
einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch
Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden».
Datenschutz wurde dabei in vielen Fällen offenbar schlicht vergessen.
Schrader hatte mehr als 2300 IT-System weltweit identifiziert, auf
590 davon war ein Zugriff möglich. Dabei sei der Aufwand für die
Sicherung der Daten «ziemlich minimal», sagte Schrader. An der
Firewall müssten entsprechende Filterregeln eingebaut werden. Die
Maßnahmen wären relativ schnell umsetzbar. Mit einem halben Tag
Recherche dazu, wer Zugriff haben muss, sowie zehn Minuten Ausführung
wäre es getan, schätzt Schrader.

Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, sprach von
einem «verheerenden ersten Eindruck». Es müsse nun geklärt werden,
ob
möglicherweise auch Drittanbieter in der Verantwortung stehen. Es sei
nicht ausgeschlossen, dass es hohe Bußgelder geben werde.

Der Bundesgesundheitsminister müsse endlich selbst Verantwortung für
die Sicherheit von Patientendaten übernehmen, forderte Eugen Brysch
von der Deutschen Stiftung Patientenschutz. Brysch schlug ein
Bundesamt für Digitalisierung im Gesundheitswesen vor.
«Patientendaten gehören auf sichere Server in Deutschland.» Spahn
müsse dafür sorgen, «dass die sensibelsten Daten eines Menschen nicht

ungeschützt durch das Internet vagabundieren».

Adäquate Sicherheitsmaßnahmen seien besonders im Gesundheitswesen
dringend erforderlich, schätzt auch David Emm, Sicherheitsforscher
beim Antiviren-Spezialisten Kaspersky. Verstärkt würden auch
Cyberkriminelle die Branche in den Blick nehmen. «Wir gehen davon
aus, dass allein im Jahr 2018 bei Organisationen aus dem
medizinischen Bereich 28 Prozent der im Krankenhaus befindlichen
Geräte angegriffen wurden», sagte Emm.