Medizinische Daten von Millionen Patienten waren im Internet frei zugänglich. Allein in Deutschland sind etwa 13 000 Menschen von den Sicherheitslücken betroffen.

Ingolstadt - Wohl nichts ist so sensibel wie Informationen über die eigene Gesundheit. Nun ist für mehrere Millionen Patienten weltweit ein Albtraum wahr geworden: Ihre Daten lagerten nach einem Bericht des Bayerischen Rundfunks über einen längeren Zeitraum offen zugänglich im Internet. In Deutschland sollen mehr als 13000, vorwiegend aus dem Raum Ingolstadt sowie aus Kempen (Nordrhein-Westfalen) stammende Datensätze betroffen sein. Die Enthüllung gelang dem BR in Kooperation mit Journalisten des investigativen, in New York ansässigen Newsdesk ProPublica. Die Mehrzahl der insgesamt 16 Millionen ungeschützt auf mehreren Servern gespeicherten Datensätze stammt aus den USA, insgesamt sind 50 Länder betroffen.

 

Die Besonderheit liegt darin, dass kein gezielter Angriff für die Datenpanne verantwortlich ist. Vielmehr scheint das Problem systemimmanent zu sein. So fand der beteiligte Sicherheitsexperte Dirk Schrader mehr als 2300 Server rund um den Globus, auf denen Röntgenaufnahmen von Wirbelsäulen oder Brustkrebs-Screenings und anderes sensibles Material lagen. „Die Bilder sind hochauflösend und gespickt mit zahlreichen Informationen. Fast alle davon sind personenbezogen: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst“, heißt es in dem Bericht des BR.

Laut Experten war die Panne vermeidbar

Solche Aufnahmen werden unter anderem bei Magnetresonanztomographie-Untersuchungen (MRT) angefertigt, von Kliniken und Arztpraxen gespeichert und über ein Archivierungssystem weitergeleitet. Werden die Daten am Speicherort ungeschützt aufbewahrt, können sie ohne größeren Aufwand von Dritten direkt abgerufen werden. Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, zeigte sich in einer ersten Reaktion alarmiert: „Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt.“

Laut Robert Freudenreich, Sicherheitsexperte der Augsburger Firma Boxcryptor, war das Datenleck vermeidbar. Es sei Zeit für einen Paradigmenwechsel. „Wir müssen wegkommen, die codezentrische Sicherheit als Lösung zu betrachten. Das Ziel muss flächendeckende datenzentrische Sicherheit durch starke Verschlüsselung sein.“ Während die Informationen oft nur durch bloße Zugriffskontrollen im Programmcode, vergleichbar mit dem Türsteher vor einer Diskothek, abgesichert seien, würden sie bei datenzentrischen Verfahren in verschlüsselter Form gespeichert. Unbefugte könnten so keine Fehler im Programm ausnutzen, um Zugriff darauf zu erlangen. „Diese Tür ist nicht mit einem Türsteher geschützt, sondern mit einem Schloss – ohne passenden Schlüssel kein Einlass“, so Freudenreich. Ein grundlegendes Problem liege in der schwammigen Formulierung von Artikel 32 DSG-VO der Datenschutz-Grundverordnung. Darin werde lediglich von „geeigneten technischen und organisatorischen Maßnahmen“ zum Schutz der Daten gesprochen. Das lasse zu viel Interpretationsspielraum – zulasten der Betroffenen.

Selbst einfachste Sicherheitsmaßnahmen wurden nicht genutzt

Nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) waren die Patientendaten zugänglich, weil einfachste Sicherheitsmaßnahmen wie Passwortschutz oder Verschlüsselung nicht umgesetzt worden seien. Der Behörde lägen aber keine Informationen vor, dass die Patientendaten in krimineller Absicht abgeflossen seien. Der aktuelle Fall zeigt nach Auffassung von BSI-Präsident Arne Schönbohm, dass IT-Sicherheit noch immer nicht den Stellenwert einnehme, den sie verdiene: „Wir müssen als Gesellschaft begreifen, dass die großen Digitalisierungsprojekte, die uns so viele Vorteile bringen können, nur gelingen werden, wenn sie von Anfang an sicher gestaltet werden. Nur wenn die Bürgerinnen und Bürger Vertrauen in die Sicherheit ihrer Daten haben, wird die Digitalisierung erfolgreich sein.“