+
Vertrauensverhältnis: eine Behandlung im Krankenhaus.

Sicherheit

Großes Leck bei Patientendaten

  • schließen

Informationen über die Gesundheit von Menschen sind hoch sensibel. Nun zeigen Recherchen, dass Millionen Datensätze jahrelang ungeschützt im Internet zugänglich waren.

Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs: Millionen hochsensibler Datensätze von Patienten aus aller Welt, darunter auch aus Deutschland, sollen seit Jahren frei im Internet zugänglich sein. Das haben Recherchen des Bayerischen Rundfunks und der US-amerikanischen Rechercheorganisation Pro Publica ergeben. Das für IT-Sicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigte die Datenlecks.

In Deutschland sind laut BR-Recherchen mehr als 13 000 Datensätze von Patienten betroffen. Sie waren noch bis vergangene Woche zugänglich und stammen von mindestens fünf verschiedenen Standorten. Der größte Teil der Datensätze entfällt auf Patienten aus dem Raum Ingolstadt und aus Kempen in NRW.

Weltweit soll die Dimension deutlich größer sein, Server auf der ganzen Welt seien ungeschützt: In rund 50 Ländern von Brasilien über die Türkei bis Indien sollen 16 Millionen Datensätze offen im Netz liegen. Besonders betroffen sind Patienten aus den USA. Allein bei einem einzelnen Anbieter für radiologische Untersuchungen lagen nach einer Auswertung von Pro Publica mehr als eine Million Datensätze offen.

Das Problem sind den Recherchen zufolge spezielle Computersysteme, in denen die Bilddaten von MRT-, Sonografie- oder Röntgengeräten abgespeichert werden. Diese Server sind durch Netzwerke mit anderen Klinikabteilungen verbunden, damit diese auf die Daten zugreifen können. Um einen Zugriff über das Internet zu verhindern, müssen die Server eigentlich besonders gesichert werden. Das war aber nicht der Fall.

Den Stein ins Rollen brachte ein deutscher Computerexperte, der offenbar gezielt nach Sicherheitslücken bei den Klinikservern gesucht hatte. Nach Angaben von Pro Publica fand er neben fünf offenen Servern in Deutschland insgesamt 187 ungeschützte Systeme in den USA. „Da ist nicht einmal Hacken nötig, das ist wie eine offene Tür“, zitiert Pro Publica einen IT-Sicherheitsexperten.

Noch mal Glück gehabt?

Pro Publica erklärte, keine Beweise dafür gefunden zu haben, dass Patientendaten aus diesen Systemen tatsächlich kopiert und an anderer Stelle veröffentlicht worden seien. Auch das BSI erklärte, es lägen keine Informationen darüber vor, „dass die Patientendaten tatsächlich in krimineller Absicht abgeflossen sind“.

Das BSI war von dem deutschen Computerexperten informiert worden. Die Behörde hat nach eigenen Angaben daraufhin die betroffenen medizinischen Einrichtungen in Deutschland sowie 46 internationale Partnerorganisationen über das Datenleck informiert. „Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient, beklagte BSI-Präsident Arne Schönbohm.

Bundesgesundheitsminister Jens Spahn (CDU) forderte die Branche auf, dem Datenschutz Priorität einzuräumen. Zu viele nähmen das Thema noch „zu sehr auf die leichte Schulter“. Höchster Datenschutz sei wichtig für Vertrauen in das digitale Gesundheitswesen. Die Deutsche Krankenhausgesellschaft (DKG) ging nicht darauf ein, warum Kliniken die Server nicht gesichert hatten. DKG-Hauptgeschäftsführer Georg Baum erklärte nur, die Krankenhäuser seien sich der Verantwortung für die Patientensicherheit bewusst. Er forderte zugleich mehr Geld für die Gewährleistung der Cybersicherheit.

Die Grünen mahnten an, die Datenschutzbehörden besser auszustatten, um „schnell und vielleicht sogar präventiv“ auf solche Vorkommnisse reagieren zu können. Datenschutz und Datensicherheit müssten im Gesundheitswesen so selbstverständlich werden wie Händewaschen.

Das könnte Sie auch interessieren

Kommentare