Berufsverband Niedergelassener Chirurgen e.V.

Sicherheitslücke: Sensible Patientendaten offen im Internet zugänglich

Wer sich für das Thema Datenschutz im Gesundheitswesen interessiert, sollte heute (17. September 2019) Abend um 21:45 Uhr den Fernseher einschalten und report München im Ersten schauen. Thema der Sendung ist ein Datenleck, durch das sensible Patientendaten von weltweit mehreren Millionen Menschen ungesichert im Internet gelandet sind. Unter den Betroffenen sind auch Tausende Deutsche. Es wurde von Investigativjournalisten des Bayerischen Rundfunks (BR) und einer US-amerikanischen Rechercheplattform aufgedeckt. Wie der BR berichtete, lagen beispielsweise MRT-Aufnahmen inklusive der dazugehörigen Patientendaten auf ungeschützten Servern offen im Internet – und im Grunde jede Person mit Internet-Zugang konnte sie finden.

Das Rechercheteam begab sich auf die Spurensuche um herauszufinden, wie die Daten ins Netz gelangt sind. Offenbar reichte es, sich eine kostenlose Software herunterzuladen, die auch medizinisches Personal und Ärzte verwenden und ein wenig zu recherchieren, wie die Software arbeitet. Diesen Eindruck hatte zumindest der IT-Experte Dirk Schrader, der auch das für IT-Sicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) und Investigativ- und Datenjournalisten des BR kontaktierte. Offenbar könnten kleinste Fehlkonfigurationen oder Fehler beim Einlesen bzw. Speichern der Bilder im PACS dazu führen, dass die sensiblen Daten ungesichert auf frei zugänglichen Internetservern landete. 

Das alarmierte BSI berichtete in einer Pressemitteilung, man sei über diesen Sachverhalt von IT-Sicherheitsforschern informiert worden und habe daraufhin die betroffenen medizinischen Einrichtungen anhand der vorliegenden IP-Adressen in Kenntnis gesetzt. „In drei Fällen konnte das BSI die Einrichtungen direkt kontaktieren, in 14 weiteren Fällen wurden die jeweiligen Internet-Service-Provider gebeten, ihre Kunden anhand der IP-Adressen zu identifizieren und zu informieren“, heißt es in der Mitteilung wörtlich. Zudem habe das BSI 46 internationale Partnerorganisationen über den Sachverhalt informiert. Das BSI dürfe nach derzeitiger Rechtslage diese Daten nicht abrufen oder analysieren, auch nicht um die Betreiber der ungesicherten Webserver zu identifizieren. Nach Einschätzung des BSI sind die Patientendaten zugänglich, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden. Dem BSI lägen keine Informationen vor, dass die Patientendaten tatsächlich in krimineller Absicht abgeflossen sind.

BSI-Präsident Arne Schönbohm sagte dazu: „Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient. Wir müssen als Gesellschaft begreifen, dass die großen Digitalisierungsprojekte, die uns so viele Vorteile bringen können, nur gelingen werden, wenn sie von Anfang an sicher gestaltet werden. Nur wenn die Bürgerinnen und Bürger Vertrauen in die Sicherheit ihrer Daten haben, wird die Digitalisierung erfolgreich sein.“

Aktuelles | Über den BNC | Bundeskongress | Für Patienten | Presse | Landesverbände | Mitgliederbereich | Partner | Veranstaltungen | Praxisbörse | Chirurgensuche | FAQ für Ärzte | Kontakt Berufsverband Niedergelassener Chirurgen e.V. © 2014 | Impressum | Datenschutzhinweise | Design & Umsetzung: zollsoft GmbH