Datenschutz: 16 Millionen Datensätze von Patienten im Netz
16 Millionen Datensätze, unter anderem von Patienten aus Deutschland, lagen lange Zeit ungeschützt und frei zugänglich auf sogenannten PACS-Servern im Internet. Auch Bilder sollen über Jahre hinweg abrufbar gewesen sein. Dies ergaben Recherchen der US-Journalisten von ProPublica und des Bayerischen Rundfunks.
16 Millionen Datensätze frei zugänglich seit Jahren
Bereits im Jahr 2016 veröffentlichte Prof. Dr. Oleg Pianykh, Professor für Radiologie an der Harvard Medical School, eine Studie über die Missstände von ungeschützten PACS-Servern. PACS steht für das „Picture Archiving and Communication System“, auf dessen Server Bilder von MRT-, CTG- und Röntgenaufnahmen automatisiert hochgeladen werden, nachdem diese bei einer Untersuchung aufgenommen wurden. Schon zum damaligen Zeitpunkt schilderte der Professor in seinem Report, er habe 2.700 offene Systeme ausfindig machen können.
Wir haben ein Riesenproblem mit medizinischen Geräten, die komplett ungesichert und ungeschützt sind. Und irgendjemand, ein x-beliebiger Hacker, kann sich mit diesen Geräten verbinden und die Patientendatensätze kompromittieren.
Prof. Dr. Oleg Panykh
Scheinbar hat sein Appell nicht zum Umdenken beigetragen und Patientendaten wurden weiterhin auf die unsicheren Server geladen. Zuletzt waren rund 16 Millionen Datensätze, darunter 13.000 aus Deutschland, völlig ungeschützt und frei zugänglich über das Internet abrufbar. Die Patientendaten enthielten neben den persönlichen Daten wie Name, Geburtsdatum und Anschrift auch sensible Aufnahmen von Herzschrittmachern, Krebserkrankungen, Wirbelsäulenverletzungen und Knochenbrüchen. Auch Versicherungsdaten der Patienten konnten abgerufen werden.
Journalisten von BR Recherche, BR Data und ProPublica konnten das Vorgehen eines Sicherheitsexperten, der selbst von einem „near realtime-access“ spricht, nachvollziehen und stichprobenartig mit Betroffenen sprechen, um die Echtheit der Datensätze zu überprüfen.
BSI informierte 46 Länder
Sicherheitsexperte Dirk Schrader, der die Journalisten überhaupt erst auf die Missstände aufmerksam gemacht hatte, informierte anschließend auch das für IT-Sicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI), welches seinerseits bereits 17 Fällen nachgeht und „drei betroffene Einrichtungen direkt über den Sachverhalt“ informiert hat. Das BSI, welches rechtlich selbst nicht auf die Daten zugreifen darf, informierte in 14 weiteren Fällen den zuständigen Provider und setzte sich mit den IT-Sicherheitsbehörden von insgesamt 46 Ländern in Kontakt. Anschließend äußerte sich das BSI selbst zu der aktuellen Situation.
Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient.
BSI-Präsident Arne Schönbohm
Wie groß das Risiko jedes einzelnen Servers ist, zeigt ein Fall in den USA. Allein bei einem einzelnen US-Anbieter für radiologische Untersuchungen lagen nach einer Auswertung von ProPublica mehr als eine Million Datensätze von Patienten ungeschützt auf dem PACS-Server. Aber auch in Deutschland sieht es nicht viel besser aus. Wie das Bayerische Landesamt für Datenschutz bestätigt, war ein Computer in einer Arztpraxis falsch konfiguriert gewesen, weshalb die Daten von 7.200 Patienten ohne Passwortschutz im Netz abrufbar waren.
Auch die Politik reagiert
Auch die deutsche Politik reagierte bereits und äußerte sich zum Thema Patientendaten im Netz und Datenschutz. Der Bundestagsabgeordnete und Bundesbeauftragte für Datenschutz, Ulrich Kelber warnt vor den Folgen. „Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt“, so der SPD-Politiker. Auch Politiker aller anderen großen Parteien meldeten sich zu Wort und mahnten Bundesgesundheitsminister Jens Spahn dazu, die Warnsignale nicht zu ignorieren.
Ob mittlerweile ein Großteil der Server vom Netz genommen wurde und welche Schadensersatzforderungen betroffene Patienten geltend machen können, steht zum jetzigen Zeitpunkt noch nicht fest. Laut Datenschutzgrundverordnung (DSGVO) müssen Personen, deren Daten von einem Sicherheitsleck betroffen sind, von den dafür verantwortlichen Betreiber informiert werden, sofern für diese ein Risiko entstanden ist.
Deutsche Server wurden vom Netz genommen
Wie der Bayrische Rundfunk in einem zweiten Artikel berichtet, wurden die deutschen PACS-Server mittlerweile vom Netz genommen und sind offline. Das Problem ist damit aber noch lange nicht behoben, wie Dirk Schrader, Experte für Informationssicherheit der Firma Greenbone Networks, erklärte.
Sicherheitsrisiko liegt (auch) in der Hand der Patienten
Das Problem bestehe vor allem im Austausch der Patientendaten. Am Ende vieler radiologischen Untersuchungen bekommen die Patienten ihre Aufnahmen auf einem Datenträger wie einer CD, DVD oder einem USB-Stick ausgehändigt, um diese bei einer Überweisung zum nächsten behandelnden Arzt mitnehmen zu können. Die Aufnahmen werden auch in der Praxis der weiterbehandelnden Arztes auf einen PACS-Server hochgeladen, erneut mit dem Risiko, ungeschützt im Internet zu landen.
Bundesgesundheitsminister appelliert an die Gesundheitsbranche
Mittlerweile hat sich auch Bundesgesundheitsminister Jens Spahn von der CDU zu den Recherchen, wonach Millionen hochsensibler Daten im Internet zugänglich gewesen sind, offiziell geäußert und appelliert dabei an die Gesundheitsbranche, den Gesundheitsdaten von Patienten „höchsten Schutz zu garantieren“.
Die gesetzliche Anforderung ist da sehr sehr klar: Für jeden, der Gesundheitsdaten, der individuelle Patientendaten in Deutschland speichert, ob auf dem PC in der Praxis, ob auf dem Server, muss zu jedem Zeitpunkt höchsten Datenschutz garantieren können. Und das war hier eben nicht der Fall.
Jens Spahn, Bundesgesundheitsminister
Fabian und 
Jan-Frederik