Patientendaten millionenfach ungeschützt im Internet

[English]Auf ungeschützten Servern lagerten Millionen hochsensibler Patientendaten, die auch per Internet abrufbar waren. Das haben Recherchen des BR und der US-Investigativplattform ProPublica ergeben. Auch deutsche Patientendaten sind darunter.


Anzeige

Ich bin beim Frühstück durch eine Radio-Kurzmeldung auf das Thema aufmerksam geworden. Ein Beitrag von ProPublica in Englisch ist hier abrufbar. Der Bayrische Rundfunk (BR) hat das Thema hier auf Deutsch aufbereitet. Es handelt sich um Patientendaten, die bei Röntgen- und CT- sowie MRT-Untersuchungen angefallen sind. Experten hatten vor Jahren bereits davor gewarnt, weil die Daten ungesichert auf Archiv-Servern gespeichert wurden.

BR-Artikel Patientendaten im Netz
(Quelle: Screenshot BR-Seite)

Problem: Archivserver für Bilder

Der Hintergrund des Skandals: Die Aufnahmen, die bei Röntgen- und CR- sowie MRT-Untersuchungen anfallen werden von der Gerätesoftware auf ein sogenanntes "Picture Archiving and Communication System" (PACS) gesichert. Mit auf dem Server landen dann alle Daten des Patienten, die im betreffenden medizinischen Programm für die Untersuchung bekannt sind, und das einschließlich der 2- und 3D-Aufnahmen. Die Untersuchungsergebnisse sollen sich ja schließlich jederzeit, auch von anderen Ärzten, abrufen lassen. Das Problem: Sind die Server nicht ausreichend, oder überhaupt nicht geschützt, und per Internet erreichbar, ist es trivial, auf die Daten der Server zuzugreifen.

Ein vom BR eingeschalteter Experte für Informationssicherheit, Dirk Schrader von Greenbone Networks, sagt: "Bei den Systemen, die ich überprüft habe, hatte ich den Eindruck, dass ich im Zweifelsfall sogar in der Lage wäre, früher als der Arzt auf das Bild zuzugreifen." Schrader kontaktierte den BR, die seinerseits die Plattform ProPublica mit ins Boot nahm. Insgesamt konnte das Recherchenetzwerk weltweit mehr als 2.300 ungeschützte Server mit solchen Datensätzen identifizieren.


Anzeige

Auch deutsche Patienten/innen betroffen

Eine Auswertung der Datensätze zeigte, dass weltweit Millionen Patienten betroffen sind. Laut BR-Recherchen sind mehr als 13.000 Datensätze von deutschen Patienten betroffen, wobei in mehr als der Hälfte der Fälle Bilder mit den Datensätzen gespeichert sind. Diese Datensätze waren noch bis vergangene Woche (Mitte September) zugänglich und stammen von mindestens fünf verschiedenen deutschen Standorten. Der größte Teil der Datensätze entfällt, laut Bericht des BR, auf Patienten aus dem Raum Ingolstadt und aus Kempen in Nordrhein-Westfalen.

Bundesdatenschutzbeauftragter alarmiert

Das Recherchenetzwerk hat in Form des BR den Bundesbeauftragten für Datenschutz, Ulrich Kelber, kontaktiert und diesem Datensätze vorgelegt. Kelber, spricht von einem "verheerenden ersten Eindruck" und warnt vor möglichen Folgen: "Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt, und ihnen keinen Vertrag oder keinen Kredit gibt." Laut Kelber würden 'diese Daten unsere digitale Identität ausmachen, und gehören nicht in die Hände Dritter'.

Sebastian Schinzel, Professor für IT-Sicherheit an der FH Münster, spricht ebenfalls von einem "handfesten Skandal". Schinzel arbeitet derzeit in einem Projekt des Bundeslandes Nordrhein-Westfalen, die Cybersicherheit für den Gesundheitsbereich zu verbessern. Er wird vom BR folgendermaßen zitiert: "Diese Daten sind hochsensibel, und ich möchte natürlich auf keinen Fall, dass das im Internet steht, ohne Passwort-Authentifizierung. Ich finde das katastrophal."

Laut BR hat der Bundesbeauftragte für Datenschutz, Ulrich Kelber, das BSI kontaktiert, welches 17 Fällen nachgeht. Aus rechtlichen Gründen darf das BSI nicht auf die Daten zugreifen, sondern muss anhand der IP den Provider kontaktieren. Dieser ermittelt dann wiederum den Betreiber der Server.

Datenschutzaufsicht in Bayern ermittelt

Da Patienten in Bayern betroffen sind, ermittelt das Bayerische Landesamt für Datenschutzaufsicht und steht mit dem Betreiber des Servers in Kontakt, so ein Sprecher auf schriftliche Anfrage des BR. Die Datenschutzaufsicht prüft nun 'nächste Schritte': "Dies kann von aufsichtlichen Maßnahmen wie einer verbesserten IT-Sicherheit bis hin zur Einleitung eines Bußgeldverfahrens gehen." Der BR hat ihm bekannte Standorte kontaktiert. Mittlerweile sind die Server vom Netz. Es bleibt nun interessant, wie das unter der DSGVO für die Betreiber der Infrastruktur ausgeht – denn offensichtlich wurden dort die Hausaufgaben nicht gemacht (medizinische Daten sind in Sachen Datenschutz als besonders sensibel eingestuft).

Das 'lange Ende der Geschichte'

Das ist übrigens kein Neuland. 2016 gab es von Oleg Pianykh, Professor für Radiologie an der Harvard Medical School, eine Studie zu ungeschützten PACS-Servern. Pianykh hatte im Rahmen seiner Studie mehr als 2.700 offene Systeme ausfindig gemacht – für Deutschland sind in der Studie waren damals 22 + 9 Server aufgeführt, die gefunden wurden. Der Professor sagte im Interview mit BR und ProPublica.: "Wir haben ein Riesenproblem mit medizinischen Geräten, die komplett ungesichert und ungeschützt sind. Und irgendjemand, ein x-beliebiger Hacker, kann sich mit diesen Geräten verbinden und die Patientendatensätze kompromittieren."

Der Skandal: Die Fachkreise nahmen damals die Studie von Pianykh zwar zur Kenntnis. Aber der aktuelle Fall zeigt, das genau nichts passiert ist. Es braucht einen Skandal, damit die Spitze des Eisbergs abgetragen wird.

Ähnliche Artikel:
Patientendaten millionenfach ungeschützt im Internet
Hacks und Datenlecks im Labor-/Medizinbereich in den USA
Hacker infizieren Medizintechnik (CT, Röngen etc.)
Medizingeräte: (Sicherheits-)Risiko Windows 7?
Windows XP in Medizingeräten als Sicherheitsrisiko
Medizintechnik im Internet: Geht aus Sicherheitsgründen nicht
US-CERT warnt vor Schwachstellen in Kardiogeräten
Ransomware legt Zahnarzt-Praxen in den USA lahm
Sicherheitsinfos zum 1. August 2019


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Patientendaten millionenfach ungeschützt im Internet

  1. radames sagt:

    An solche Meldungen werden wir uns gewöhnen müssen. Ist sowieso jeder Normalo von Facebook in Sachen Datenschutz bereits abgestumpft. Solange die verantwortlichen nicht für 10 Jahre und länger ins Gefängnis müssen wird sich daran auch nichts ändern.

    Und wenn keine Patientendaten von Superreichen und Politikern darunter waren erst recht nicht. Aber hey, alles in die Cloud hauen! Hauptsache online, digital, Gesundheitskarte, und möglichst viel Privatfirmen!

    Kann mir einer erklären warum kein Privatekey auf meiner Krankenkarte ist das meine Akte nur in Verbindung mit Karte einsehbar ist? Eine Kopie kann ja offline bei der Krankenkasse liegen, damit die mir eine neue Karte ausstellen können.

    Kostet wohl einen Euro zu viel und ist nicht hip genug. Und nicht jedes Gerät gehört ans Internet.

    >Die Untersuchungsergebnisse sollen sich ja schließlich jederzeit, auch von anderen Ärzten, abrufen lassen.

    Nein sollen sie nicht. Meine MRT-Bilder bekam ich auf CD. Mein Arzt per post ebenso.

  2. Onkel Hotte sagt:

    Sehe ich auch so. So lange die Verantwortlichen nichts zu fürchten haben, hauen die die Kohle eher fürs Cloudmarketing raus als für die Sicherheit.
    Während wir von unserer Tochter keine Klassenfotos mehr bekommen, weil Fotografen aufgrund der DSGVO nicht mehr das Schulgelände betreten dürfen, spielt die Politik bei IT Sicherheit den Vogel Strauß, baut immer neue Ministerien für abgehalfterte Polit-Nichtsnutze oder druckt paar Broschüren.
    Wobei ich beim Fotografen nicht weiß, ob die Schule da nicht übers Ziel hinaus geschossen ist.

  3. Herr IngoW sagt:

    Wie bekommt man die Info ob man betroffen ist.

  4. Uwe sagt:

    Das wird die Normalität werden! Solange es nicht per Gesetz verpflichtend ist, das sensible Daten nie die Praxis verlassen dürfen, wird das schlimmer werden. Das Unwort heißt "Effizienz", zu Deutsch, schnell, billig, geschlampert!

  5. Ralf Lindemann sagt:

    Erschreckend an der Geschichte sind die Reaktionen und Statements, die gestern in den Medien aus Politik und Ärzteschaft zu hören waren. Tenor: „Ist doch alles super, wir haben gute Gesetze, einen hohen Datenschutz, na ja, und wenn so ein dummer technischer Dienstleister, der die kompromittierten Server betreibt, Fehler macht und sich nicht um die Sicherheit kümmert, da können wir doch nichts dafür …" – Politik und Ärzteschaft schieben ihre gesundheitspolitische Verantwortung einfach ab. Wenn Politik und Ärzteschaft sich so die Einführung der digitalen Patientenakte vorstellen: „Wir machen die Gesetze, übernehmen aber keine Verantwortung für die praktische Umsetzung", dann muss man für den Datenschutz das Schlimmste befürchten …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.