Patientendaten aus 50 Ländern waren offenbar frei zugänglich im Internet. Der Bundesdatenschutzbeauftragte spricht von einem „verheerenden ersten Eindruck“.

Daten wie diese sind von Millionen Patienten weltweit frei zugänglich. (Foto: Imago) Röntgenbild

Düsseldorf, München Sensible medizinische Daten von weltweit mehreren Millionen Patienten sind nach einem Bericht des Bayerischen Rundfunks (BR) auf offen zugänglichen Servern im Netz gelandet. In Deutschland seien mehr als 13.000 Datensätze von Patienten betroffen, in mehr als der Hälfte sind auch medizinische Bilder wie Brustkrebsscreenings, Wirbelsäulenbilder und Röntgenaufnahmen enthalten.

Sie seien noch bis vergangene Woche zugänglich gewesen und stammten von mindestens fünf verschiedenen Server-Standorten. Der größte Teil der Datensätze entfalle auf Patienten aus dem Raum Ingolstadt und aus Kempen in Nordrhein-Westfalen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nach eigenen Angaben die betroffenen medizinischen Einrichtungen anhand der ihm vorliegenden IP-Adressen in Kenntnis gesetzt. In drei Fällen habe das BSI die Einrichtungen direkt kontaktieren können, in 14 weiteren Fällen seien die jeweiligen Internet-Service-Provider gebeten worden, ihre Kunden anhand der IP-Adressen zu identifizieren und zu informieren.

Zudem habe das BSI 46 internationale Partnerorganisationen über den Sachverhalt informiert. Das BSI darf nach derzeitiger Rechtslage diese Daten nicht abrufen oder analysieren, auch nicht um die Betreiber der ungesicherten Webserver zu identifizieren.

Nach den Recherchen des BR mit der US-Investigativplattform ProPublica lagen die Bilder und andere Patientendaten auf ungesicherten Servern. Danach sollen in rund 50 Ländern von Brasilien über die Türkei bis Indien 16 Millionen Datensätze offen im Netz gestanden haben. Besonders betroffen seien Patienten aus den USA. „Allein bei einem einzelnen Anbieter für radiologische Untersuchungen lagen nach einer Auswertung von ProPublica mehr als eine Million Datensätze von Patienten vor“, heißt es in dem Bericht weiter.

Dem Vernehmen nach hat es nicht ein einzelnes großes Datenleck gegeben, sondern es entstand durch eine Vielzahl von ungeschützten Servern. Der Experte für Informationssicherheit Dirk Schrader habe weltweit mehr als 2300 Rechner gefunden, auf denen die Datensätze offen lagen.

Nach Einschätzung des BSI waren die Patientendaten zugänglich, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden. Dem BSI lägen keine Informationen vor, dass die Patientendaten tatsächlich in krimineller Absicht abgeflossen sind.

Bei den Daten handelte es sich oft um Bilder, die von Magnetresonanztomografie(MRT)-Untersuchungen stammen. In der MRT-Röhre entstehen zwei- und dreidimensionale Bilder vom Körperinneren der Patienten. Diese Bilder würden von den Geräten auf einen speziellen Server geschickt, berichtete der BR. Das System werde für die Bildarchivierung verwendet, ein sogenanntes „Picture Archiving and Communication System“ (PACS). Auch Röntgenaufnahmen und Bilder aus der Computertomografie landeten auf diesen Servern.

„Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient“, sagte BSI-Präsident Arne Schönbohm.

Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, sprach von einem „verheerenden ersten Eindruck“. Nach jetzigem Kenntnisstand seien in Deutschland zwei Krankenhäuser betroffen, sagte Kelber der Nachrichtenagentur dpa. Es müsse nun geklärt werden, ob möglicherweise auch Drittanbieter in der Verantwortung stehen. Es sei nicht ausgeschlossen, dass es hohe Bußgelder geben werde, sagte Kelber.

Cyberkriminelle haben nach Einschätzung des russischen Antiviren-Softwareherstellers Kaspersky verstärkt die Gesundheitsbranche im Blick: „Wir gehen derzeit davon aus, dass allein im Jahr 2018 bei Organisationen aus dem medizinischen Bereich 28 Prozent der im Krankenhaus befindlichen Geräte angegriffen wurden“, sagte David Emm, Sicherheitsforscher bei Kaspersky. Angriffe auf vernetzte Geräte in der medizinischen Infrastruktur könnten im schlimmsten Falle das Leben von Patienten gefährden.

Aus diesem Grund sei es wichtig, dass Anbieter aus dem Gesundheitswesen adäquate Sicherheitsmaßnahmen gewährleisten. Dazu gehörten Firewalls zum Schutz von privaten oder Unternehmensnetzen gegen Angriffe aus dem Internet, verschlüsselte Datenbanken und eine spezielle Autorisierung von Personal – also die Festlegung, wer befugt ist, auf persönliche Daten von Patienten zuzugreifen.

Robert Freudenreich, Chief Technology Officer des Augsburger Verschlüsselungssoftwareanbieters Boxcryptor, fordert eine Pflicht zur Verschlüsselung besonders schützenswerter Daten. Die Datenschutzgrundverordnung (DSGVO) biete in diesem Punkt zu viel Interpretationsspielraum. Im Artikel 32 der DSGVO werde lediglich von „geeigneten technischen und organisatorischen Maßnahmen“ zum Schutz der Daten gesprochen. Deswegen gebe es noch keine flächendeckende Verschlüsselung besonders sensibler Daten, beklagte Freudenreich.

Mit Agenturmaterial

Mehr: Die Anbindung der Praxen an das Gesundheitsdatennetz verläuft schleppend. Doch Jens Spahn greift durch und droht unwilligen Ärzten mit Sanktionen.