News 18.09.2019, 08:00 Uhr

Millionen Patientendaten ungeschützt im Netz

Aus einer Untersuchung des BR mit der US-Investigativplattform ProPublica geht hervor, dass weltweit Millionen von Patientendaten ungeschützt im Netz zugänglich waren oder immer noch sind.
Sensible medizinische Daten von Millionen Patienten weltweit standen auf offen zugänglichen Servern im Internet, teils über Jahre hinweg. Wie der Bayerische Rundfunk berichtete, stammen mehr als 13'000 der entdeckten Datensätze aus Deutschland von mindestens fünf verschiedenen Server-Standorten. Zu den Daten gehören medizinische Bilder wie Brustkrebs-Screenings, Wirbelsäulenbilder und Röntgenaufnahmen. Der grösste Teil der Datensätze entfalle auf Patienten aus dem Raum Ingolstadt und aus Kempen in Nordrhein-Westfalen, hiess es.
In Ingolstadt seien allerdings nur in einem Fall sensible Daten von Patienten aus einer Arztpraxis abgeflossen, bestätigte das bayerische Landesamt für Datenschutzaufsicht. Dabei seien Untersuchungsdaten von rund 7200 Patienten ohne Passwortschutz abrufbar gewesen. Der betroffene Arzt sei informiert worden und habe den Rechner daraufhin abgeschaltet. Nach aktuellem Stand sei keine der öffentlichen Kliniken in Bayern betroffen, teilte der bayerische Datenschutzbeauftragte Thomas Petri mit.
Das Bundesamt für Sicherheit in der Informationstechnik BSI wurde von IT-Sicherheitsforschern darüber informiert und hat die betroffenen Einrichtungen davon in Kenntnis gesetzt, teilte die Behörde am Dienstag mit. Es lägen keine Erkenntnisse vor, dass die Daten tatsächlich in krimineller Absicht abgeflossen seien. Bundesgesundheitsminister Jens Spahn (CDU) mahnte höchste Datenschutzvorkehrungen an. Für die Speicherung von Patientendaten seien jederzeit höchste Schutzstandards zu garantieren, sagte Spahn. Dies gelte für jede Arztpraxis, jede Apotheke, jedes Krankenhaus und für jeden Dienstleister.

Über 16 Millionen Datensätze weltweit

Ob Schweizer Patientendaten betroffen sind, ist derzeit unklar, schreibt der «Tages-Anzeiger». Die Bilder seien hochauflösend und mit vielen Informationen versehen: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst.
Nach den Recherchen des BR mit der US-Investigativplattform ProPublica sollen in rund 50 Ländern von Brasilien über die Türkei bis Indien 16 Millionen Datensätze offen im Netz stehen. Besonders betroffen seien Patientinnen und Patienten aus den USA. «Allein bei einem einzelnen Anbieter für radiologische Untersuchungen lagen nach einer Auswertung von ProPublica mehr als 1 Million Datensätze von Patienten vor», heisst es in dem Bericht weiter.
Nächste Seite: Vielzahl ungeschützter Server sind das Problem

Vielzahl ungeschützter Server sind das Problem

Vielzahl ungeschützter Server sind das Problem

Dabei hat es nicht ein grosses Datenleck gegeben, sondern eine Vielzahl ungeschützter Server etwa für die Bildspeicherung. Ein potenzieller Angreifer brauche kein Spezialwissen, um sich Zugang zu diesen PACS genannten Servern (Picture Archiving and Communication System) zu verschaffen, auf denen Aufnahmen aus Röntgen- oder MRT-Befunden gespeichert werden, sagte der IT-Sicherheitsexperte Dirk Schrader der dpa. Mit etwas Internetaffinität und einem frei im Netz verfügbaren «Dicom Viewer» habe man sich problemlos die Aufnahmen ansehen können.
Nach Einschätzung des BSI waren die Daten zugänglich, «weil einfachste IT-Sicherheitsmassnahmen wie ein Zugriffsschutz durch Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden». Datenschutz wurde dabei in vielen Fällen offenbar schlicht vergessen. Schrader hatte mehr als 2300 IT-Systeme weltweit identifiziert, auf 590 davon war ein Zugriff möglich. Dabei sei der Aufwand für die Sicherung der Daten «ziemlich minimal», sagte Schrader. An der Firewall müssten entsprechende Filterregeln eingebaut werden. Die Massnahmen wären relativ schnell umsetzbar. Mit einem halben Tag Recherche dazu, wer Zugriff haben muss, sowie zehn Minuten Ausführung wäre es getan, schätzt Schrader.
Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, sprach von einem «verheerenden ersten Eindruck». Es müsse nun geklärt werden, ob möglicherweise auch Drittanbieter in der Verantwortung stehen. Es sei nicht ausgeschlossen, dass es hohe Bussgelder geben werde.

Mehr Datenschutz gefordert

Der Bundesgesundheitsminister müsse endlich selbst Verantwortung für die Sicherheit von Patientendaten übernehmen, forderte Eugen Brysch von der Deutschen Stiftung Patientenschutz. Brysch schlug ein Bundesamt für Digitalisierung im Gesundheitswesen vor. «Patientendaten gehören auf sichere Server in Deutschland.» Spahn müsse dafür sorgen, «dass die sensibelsten Daten eines Menschen nicht ungeschützt durch das Internet vagabundieren».

2018: 28 Prozent der Krankenhausgeräte angegriffen

Adäquate Sicherheitsmassnahmen seien besonders im Gesundheitswesen dringend erforderlich, schreibt David Emm, Sicherheitsforscher bei Kaspersky, in einer Mitteilung. «Diese Massnahmen sind insbesondere wichtig, weil wir feststellen, dass Cyberkriminelle verstärkt die Gesundheitsbranche im Blick haben. Wir gehen derzeit davon aus, dass allein im Jahr 2018 bei Organisationen aus dem medizinischen Bereich 28 Prozent der im Krankhaus befindlichen Geräte angegriffen wurden», so Emm.



Kommentare
Es sind keine Kommentare vorhanden.