Sicherheitspanne Millionen Patientendaten standen jahrelang ungeschützt im Netz

Es geht unter anderem um Röntgenbilder und MRT-Aufnahmen: Ein IT-Experte ist auf mehr als 2000 ungeschützte Server mit sensiblen Medizindaten gestoßen. Ein Teil der Datensätze stammt laut einem Medienbericht aus Deutschland.

Röntgenbilder von Köpfen: Rund 50 Länder sollen von dem Datensicherheitsproblem betroffen sein (Symbolbild)
Panthermedia/ imago images

Röntgenbilder von Köpfen: Rund 50 Länder sollen von dem Datensicherheitsproblem betroffen sein (Symbolbild)


Sensible medizinische Daten von Millionen Patienten weltweit standen auf offen zugänglichen Servern im Netz, teils über Jahre hinweg. Das berichtet der Bayerische Rundfunk (BR), demzufolge 13.000 der entdeckten Datensätze von deutschen Patienten stammen. Mehr als die Hälfte dieser Datensätze soll medizinische Bilder wie Brustkrebsscreenings, Wirbelsäulenbilder und Röntgenaufnahmen enthalten haben - teils in Verbindung mit Namensangaben, Geburtsdaten und Untersuchungsterminen.

Nach BR-Angaben waren die Daten, die aus Deutschland stammen, teils noch vergangene Woche zugänglich. Sie stammten dem Bericht zufolge von mindestens fünf Standorten. Der größte Teil der Datensätze habe sich Patienten aus dem Raum Ingolstadt und aus Kempen in Nordrhein-Westfalen zuordnen lassen, heißt es.

Der BR hatte das Thema gemeinsam mit dem US-Portal "ProPublica" recherchiert, die Echtheit der Daten ließen sich die Journalisten stichprobenartig von betroffenen Patienten bestätigen. Anlass für die transatlantische Kooperation war ein Hinweis von Dirk Schrader: Der Experte für Informationssicherheit hatte weltweit mehr als 2300 Server gefunden, auf denen Patientendaten ungeschützt lagerten.

Praktisch scheint es also nicht ein einzelnes großes Datenleck gegeben zu haben, sondern eine Vielzahl ungeschützter Rechner. Schrader, so berichtet es der BR, hat auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seine Entdeckung aufmerksam gemacht.

Insgesamt 16 Millionen Datensätze

Insgesamt soll das Datensicherheitsproblem rund 50 Länder betreffen, berichtet der BR, von Brasilien über die Türkei bis Indien. Besonders häufig betroffen seien Patienten aus den USA. "Allein bei einem einzelnen Anbieter für radiologische Untersuchungen lagen nach einer Auswertung von ProPublica mehr als eine Million Datensätze von Patienten vor", heißt es.

Bei den Daten handelt es sich dem Bericht zufolge oft um Bilder, die von Magnetresonanztomografie-Untersuchungen stammen (MRT). In der MRT-Röhre entstehen zwei- und dreidimensionale Bilder vom Körperinneren der Patienten. Diese Bilder würden von den Geräten zur Archivierung auf spezielle Server geschickt, berichtet der BR. Auch Röntgenaufnahmen und Bilder aus der Computertomografie würden auf solchen - in vielen Fällen offenbar nicht ausreichend geschützten - Servern landen.

Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, sprach von einem "verheerenden ersten Eindruck". Nach jetzigem Kenntnisstand seien in Deutschland zwei Krankenhäuser betroffen, sagte Kelber der Nachrichtenagentur dpa. Es müsse nun geklärt werden, ob möglicherweise auch Drittanbieter in der Verantwortung stehen. Es sei nicht ausgeschlossen, dass hohe Bußgelder verhängt werden, so Kelber.

mbö/dpa

Mehr zum Thema


insgesamt 25 Beiträge
Alle Kommentare öffnen
Seite 1
felisconcolor 17.09.2019
1. Das
ist alles nur geCloud. La la lala. Wenn ich als Strahlenschutzbeauftragter so nachlässig arbeiten würde wäre ich schon längst im Knast. Aber Datenschutzbeauftragte sind ja leider nicht persönlich haftbar für den Müll den sie verzapfen. Und die Geschäftsführungen der betroffenen Insitutionen waschen ihre Hände in Unschuld. "Wir haben darauf vertraut das die Daten dort sicher sind".
ctrader62 17.09.2019
2. Kriminelles Handeln
Falls die Server ungesichert waren in dem Sinne, dass hier nicht das 195. Update der mit vielen Backdoors und Zero-Day-Exploits behafteten Serverbetriebssysteme zu spät installiert wurde, sondern die Datenverzeichnisse ohne Lese- und Passwordschutz waren, dann ist das bewusstes kriminelles Handeln. Das ist als wenn man bewusst mit einem Auto ohne Bremsen den Berg herunterfährt. Ich bin gespannt, wie "betroffen" sich die Beteiligten jetzt geben werden und hinter welchen Floskeln man sich jetzt verstecken wird. Wer glaubt, dass das Einzelfälle sind, der glaubt auch noch an den Weihnachtsmann. Ich habe ein wenig mit der Materie zu tun und kann nur bestätigen, dass man an vielen verantwortlichen, auch staatlichen Stellen, wirklich keine Ahnung hat, was man da tut. Es ist leider nicht nur für Kanzlerin "Neuland". Übrigens, sichere Betriebssysteme und Datenübermittlungen sind nicht gewünscht. Sie werden überall von staatlicher Seite unterlaufen. Dafür mag es Gründe geben, aber es gibt eben auch massive Kollateralschäden, für die es meistens nicht mehr als einen feuchten Händedruck gibt. Es ist eine Schande, dass die USA und China da fast das ganze Feld beherrschen und es in ganz Europa keine Bestrebungen gibt, da ein paar Kompetenzen und eigene sichere Kernsysteme aufzubauen.
sh.stefan.heitmann 17.09.2019
3. 16 Millionen Datensätze
Strafe mindestens 100€ pro Datensatz (50% Strafe / 50& Schadensersatz). Bußgeld: 1.600.000.000 Und das wäre noch nicht mal ein hohes Bußgeld
dhvenus 17.09.2019
4. Was für ein Skandal...
Sowas gibt es nicht Mal auf Pornoseiten... Nackt und mit Namen und Adresse im Netz für jeden zugänglich. Blöd ist nur, davon wusste kaum jemand was ... Also alles nur halb so schlimm! Jemand hat das jetzt per Zufall entdeckt und es gibt ein Story für die Medien... Ich bin mal kurz begeistert.
flytogether 17.09.2019
5. Wenn ein Kleinunternehmer
die DSGV nicht haarklein umsetzt dann drohen ihm hohe Strafen. Bei einem Datenschutzvergehen in dieser gewaltigen Menge "sind Strafen nicht auszuschließen". Interessante Interpretation
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.