Befunde von Millionen Patienten offen im Internet

NEU-ISENBURG. Unzureichend geschützte Server mit radiologischen Bilddatensätzen sind offenbar jahrelang ungeschützt im Netz erreichbar gewesen. Das hat eine Untersuchung des IT-Sicherheitsexperten Dirk Schrader von Greenbone Networks ergeben.

Bundesgesundheitsminister Jens Spahn (CDU) äußerte sich am Dienstag in Berlin bestürzt über die Vorgänge. Er mahnte höchste Datenschutzvorkehrungen an. „Wir müssen noch stärker alle im Gesundheitswesen dafür sensibilisieren, wie wichtig Datensicherheit ist.“

Von 2300 untersuchten PACS-Servern, die zur Archivierung radiologischer Daten genutzt werden, seien 590 Archivsysteme „weltweit ohne jeglichen Schutz der gespeicherten persönlichen und medizinischen Daten mit dem öffentlichen Internet verbunden“, heißt es in der Untersuchung.

Dadurch waren 24,5 Millionen Datensätze von Menschen preisgegeben, heißt es. Laut Recherchen des Bayerischen Rundfunks und ProPublica sollen alleine in Deutschland mehr als 13.000 Datensätze von Patienten betroffen sein. Sie stammten aus mindestens fünf verschiedenen Standorten, der größte Teil entfalle auf die Räume Ingolstadt und Kempen in Nordrhein-Westfalen.

„Sensibleste Daten, die man sich vorstellen kann“

Der Bundesdatenschutzbeauftragte Ulrich Kelber sprach im ARD-Morgenmagazin von einem „erschreckenden Ausmaß“ des Vorfalls. Es liege offenbar an einem „einzelnen Anbieter“, der international tätig sei, der nicht einmal die grundlegendsten Sicherungsmaßnahmen ergriffen hat.

Gesundheitsdaten gehörten „zu den sensibelsten Daten, die man sich vorstellen kann“. Gerade „im Gesundheitsbereich erleben wir aber immer wieder veraltete Geräte, deren Betriebssysteme und Software dann keine Updates mehr erhalten“, kritisierte der Datenschutzbeauftragte.

„Wir werden immer stärker durchsetzen müssen, auch mit Strafen, dass diese entscheidenden Sicherheitsmaßnahmen erfolgen.“ Für die nötigen Kontrollen müsse der Personalbestand in den Datenschutzbehörden aufgestockt werden, forderte Kelber.

Bayerische Datenschutzaufsicht bestätigt konkreten Fall

Andreas Sachs, Vizepräsident des Bayerischen Landesamts für Datenschutzaufsicht, bestätigte am Dienstag auf Anfrage der „Ärzte Zeitung“ einen konkreten Fall in Bayern, in dem es um 7200 Patientendatensätze geht.

Die Behörde habe vergangene Woche Kenntnis über ein Datenleck erhalten. Bei einer Überprüfung habe auch sie ungehinderten Zugriff auf die Datensätze gehabt.

„Anhand der IP-Adresse haben wir die Arztpraxis ermittelt. Ursache dort war ein falsch konfigurierter PC“, so Sachs. Dieser sei am 13. September 2019 vom Netz genommen worden, seither sei kein unrechtmäßiger Zugriff auf die sensiblen Daten mehr möglich.

Zugänglich seien die Daten auf sogenannten PACS-Servern gewesen, die unter anderem von Radiologen zur Archivierung von Bilddaten genutzt werden. Hintergrund: In der Radiologie werden Daten in einem Volumen von mehreren Gigabyte pro Patient verarbeitet. Dafür werden Picture Archiving and Communication Systems (PACS) genutzt. Auch Orthopäden und andere Fachärzte, die viele Bilddaten nutzen, sind Anwender solcher Systeme.

Radiologen vermuten Datenleck in Zuweiser-Praxen

Beim Berufsverband der Deutschen Radiologen (BDR) vermutet man aufgrund der Menge der zeitweise offen zugänglichen Daten, dass das Datenleck in größeren Zuweiser-Praxen liegen könnte. Nach Untersuchungen würden die Daten Patienten häufig auf DVD mitgegeben und dann vom zuweisenden Arzt ins eigene System gespielt.

Die Bilder auf PACS-Servern sind in der Regel nach dem DICOM-Standard formatiert. Ohne Verschlüsselung und Zugriffsschutz können sie auf Servern, die online angeschlossen sind, über das Internet aufgespürt und auch gelesen werden.

Nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) waren die Patientendaten zugänglich, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden. Es liegen aber keine Erkenntnisse vor, „dass die Patientendaten tatsächlich in krimineller Absicht abgeflossen sind“.

„Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient“, wird BSI-Präsident Arne Schönbohm in einer Mitteilung zitiert.

Spahn ermahnte „jede einzelne Arztpraxis, jede Apotheke, jedes Krankenhaus“ zu höherer Sensibilität beim Datenschutz. Die Rechtslage sei sehr klar, dass für die Speicherung individueller Patientendaten jederzeit höchste Schutzstandards zu garantieren seien.

Er habe den Eindruck, dass nicht alle, aber zu viele das Thema noch „zu sehr auf die leichte Schulter“ nähmen.

Patientenbeauftragte fordert einheitliche Datenschutzstandards

Ins gleiche Horn blies die Patientenbeauftragte der Bundesregierung, Professor Claudia Schmidtke. &quotOffenbar haben Krankenhäuser und Arztpraxen minimale Standards bei der Absicherung ihrer Daten nicht eingehalten. Das darf nicht sein!" teilte sie am Dienstag mit. "Gesundheitsdaten sind hochsensible Informationen. Die Patientinnen und Patienten haben ein Recht darauf, dass ihre Daten bestmöglich vor einem unrechtmäßigen Zugriff Fremder geschützt werden."

Digitalisierung müsse eine stabile Grundlage haben: Dazu zählten als unverzichtbare Bausteine Patientenrechte und die Sicherheit digitaler Patientendaten, führte Schmidtke weiter aus.

Ihr Appell: "Alle Akteure des Gesundheitswesens sind aufgefordert, die Patientenrechte und die Patientensicherheit für das digitale Zeitalter fit zu machen." Stärker als bisher müssten einheitliche Datenschutzstandards und verschärfte Haftungsregelungen eingefordert werden. (Mitarbeit: ths)

Wir haben den Beitrag aktualisiert am 18.09.2019 um 10:13 Uhr.

Lesen Sie dazu auch: Welttag der Patientensicherheit: Was nötig ist, um die Patientensicherheit zu erhöhen