Sicherheitspanne: Sensible Patientendaten ungeschützt im Netz Von Moritz Baumann, dpa

Laut einem Medienbericht sind weltweit millionenfach hochsensible
Gesundheitsdaten auf unsicheren Servern gespeichert worden. Auch
Patienten aus Bayern sind betroffen.

Ingolstadt (dpa/lby) - Weil ein Arzt den Computer seiner Ingolstädter
Praxis falsch eingestellt hat, sind sensible Gesundheitsdaten von
rund 7200 Patienten offen zugänglich im Internet gelandet. Das
bestätigte das Landesamt für Datenschutzaufsicht (LfD) am Dienstag.
Zuvor hatten der Bayerische Rundfunk (BR) und die
US-Investigativplattform ProPublica berichtete, dass weltweit 16
Millionen medizinische Datensätze offen im Netz stünden. Darin fänden

sich unter anderem Brustkrebsscreenings, Wirbelsäulenbilder und
Röntgenaufnahmen - alles personalisiert.

In Ingolstadt sind die Patienteninformationen laut LfD ohne
Passwortschutz auf einem Praxisrechner gespeichert worden. Das
Problem: Der Computer sei mit dem Internet verbunden gewesen, wodurch
die Daten für jeden einsehbar waren. Derzeit prüft die Behörde, wer
alles auf den Rechner zugegriffen hat. Danach werde entschieden, ob
die Patienten informiert werden müssen. Derzeit sei noch offen, ob
gegen den Arzt ein Bußgeldverfahren eingeleitet wird.

Bundesweit sind nach Recherchen des BR und ProPublica mehr als 13 000
medizinische Datensätze offen zugänglich. Weltweit seien noch weit
mehr Patienten betroffen. Der Bundesbeauftragte für Datenschutz
sprach von einem «verheerenden ersten Eindruck». Es sei nicht
ausgeschlossen, dass es hohe Bußgelder geben werde, sagte Ulrich
Kelber. Derweil teilte das bayerische Gesundheitsministerium mit, den
Ausbau einer bundesweiten Telematikinfrastruktur vorantreiben zu
wollen. Dies ermögliche den sicheren Austausch von Gesundheitsdaten
und die medizinische Vernetzung verschiedener Einrichtungen.

Bei den Daten handele es sich oft um Bilder, die von
Magnetresonanztomographie-Untersuchungen stammen (MRT). Diese Bilder
würden auf einen speziellen Server geschickt, berichtete der BR. Das
System werde für die Bildarchivierung verwendet. Auch
Röntgenaufnahmen und Bilder aus der Computertomographie landeten auf
diesen Servern. In Ingolstadt wurden die Daten dagegen direkt auf dem
Rechner gespeichert - nicht auf einem Server oder in der Cloud.
Trotzdem waren sie von außen zugänglich.

Das Bundesamt für Sicherheit in der Informationstechnik BSI wurde von
IT-Sicherheitsforschern darüber informiert und hat die betroffenen
Einrichtungen davon in Kenntnis gesetzt, teilte die Behörde am
Dienstag mit. Es lägen keine Erkenntnisse vor, dass die Daten
tatsächlich in krimineller Absicht abgeflossen seien.
Bundesgesundheitsminister Jens Spahn (CDU) mahnte höchste
Datenschutzvorkehrungen an.

Nach Angaben des LfD ist es grundsätzlich problematisch, wenn
Praxisrechner über das Internet erreichbar sind. Derzeit überprüften

die Datenschutzbehörden bundesweit 38 solche Fälle. Gegebenenfalls
werde man die Einrichtungen zwingen, zusätzliche Schutzsysteme zu
installieren, sagte ein Sprecher der Deutschen Presse-Agentur. Das
seien jedoch Einzelfälle Es gebe keine «massehaft offenen Server» mit

medizinischen Informationen.

Das bestätigte auch der Landesdatenschutzbeauftragte Thomas Petri:
Nach seinen Informationen ist keine der öffentlichen Kliniken im
Freistaat direkt betroffen. Das Risiko sei trotzdem hoch: Immer
wieder seien medizinische Einrichtungen das Ziel von Cyberangriffen.
Mit spezieller Schadsoftware könne der gesamte Betrieb lahmgelegt
werden.

Das Klinikum in Ingolstadt und das Diagnosticum, eine große
radiologische Praxis, teilten mit, dass ihre Server nicht von der
Datenpanne betroffen seien. Doch viele ihrer Patienten bekämen nach
der Untersuchung eine CD mit nach Hause, auf der beispielsweise
Röntgenbilder gespeichert sind. Diese Aufnahmen könnten durchaus in
der betroffenen Praxis gelandet sein.