Magnetresonanztomograph (MRT) | Bildquelle: dpa

Patienteninformationen Millionen Daten ungeschützt im Netz

Stand: 17.09.2019 06:01 Uhr

Hochsensible medizinische Daten, unter anderem von Patienten aus Deutschland und den USA, sind nach Recherchen des BR mit der US-Investigativplattform ProPublica auf ungesicherten Servern gelandet. Jeder hätte darauf zugreifen können.

Von Maximilian Zierer und Hakan Tanriverdi, BR Recherche/BR Data

Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs, der Herzschrittmacher ist gut erkennbar. Es sind intimste Bilder, die über Jahre hinweg frei verfügbar im Netz zu finden gewesen sind. Diese Datensätze von weltweit mehreren Millionen Patienten liegen auf Servern, die nicht geschützt sind. Auch Tausende Patienten aus Deutschland lassen sich in diesem Datenleck finden. Das hat eine gemeinsame Auswertung des Bayerischen Rundfunks und des US-amerikanischen Rechercheportals ProPublica ergeben.

Die Bilder sind hochauflösend und gespickt mit zahlreichen Informationen. Fast alle davon sind personenbezogen: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst.

Datenleck im Gesundheitswesen
Morgenmagazin, 17.09.2019, Josef Streule, BR

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Röntgenbilder von Patienten im Netz

In Deutschland sind laut BR-Recherchen mehr als 13.000 Datensätze von Patienten betroffen, in mehr als der Hälfte sind Bilder enthalten: Sie waren noch bis vergangene Woche zugänglich und stammen von mindestens fünf verschiedenen Standorten. Der größte Teil der Datensätze entfällt auf Patienten aus dem Raum Ingolstadt und aus Kempen in Nordrhein-Westfalen.

Weltweit ist die Dimension deutlich größer, Server auf der ganzen Welt sind ungeschützt: In rund 50 Ländern von Brasilien über die Türkei bis Indien sollen 16 Millionen Datensätze offen im Netz sein. Besonders betroffen sind Patienten aus den USA. Allein bei einem einzelnen Anbieter für radiologische Untersuchungen lagen nach einer Auswertung von ProPublica mehr als eine Million Datensätze von Patienten vor.

Weltkarte mit den vom Datenleck betroffenen Ländern

Von dem Datenleck betroffen sind Patienten in rund 50 Ländern, vor allem in den USA, Südafrika, der Türkei und Indien.

Patientendaten einfach zu finden

Wenn Patienten in einer MRT-Röhre untersucht werden, entstehen zwei- und dreidimensionale Bilder vom Körperinneren. Diese Bilder werden von den Geräten auf einen speziellen Server geschickt, der für die Bildarchivierung verwendet wird, ein so genanntes "Picture Archiving and Communication System" (PACS). Auch Röntgenaufnahmen und Bilder aus der Computertomographie landen auf diesen Servern.

Sind die Server nicht ausreichend gesichert, ist es trivial, an die Daten heranzukommen, erklärt der Experte für Informationssicherheit Dirk Schrader. Er kontaktierte die Investigativ- und Datenjournalisten des Bayerischen Rundfunks, nachdem er weltweit mehr als 2300 Rechner gefunden hatte, auf denen diese Datensätze lagen. Die Server waren ungeschützt.

Keine Passwörter, kein Datenschutz

Schrader spricht von einem "near realtime-access". Ein Zugriff, beinahe in Echtzeit also. "Bei den Systemen, die ich überprüft habe, hatte ich den Eindruck, dass ich im Zweifelsfall sogar in der Lage wäre, früher als der Arzt auf das Bild zuzugreifen", sagt er.

Journalisten von BR Recherche/BR Data haben das Vorgehen von Schrader nachvollzogen. Es wurden auch stichprobenartig Betroffene kontaktiert und so die Echtheit der Daten bestätigt.

Link

Homepage von BR-Recherche

| br

Datenschutzbeauftragter: "Das geht niemanden irgendetwas an"

Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, spricht von einem "verheerenden ersten Eindruck", als ihm die Reporter einen Patientendatensatz in anonymisierter Form zeigen. Er warnt vor möglichen Folgen: "Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt." Diese Daten würden unsere digitale Identität ausmachen, "sie gehören nicht in die Hände Dritter".

Auch Sebastian Schinzel, Professor für IT-Sicherheit an der FH Münster, spricht von einem "handfesten Skandal". Er arbeitet derzeit in einem Projekt des Bundeslandes Nordrhein-Westfalen daran, die Cybersicherheit für die Gesundheitswirtschaft zu verbessern: "Diese Daten sind hochsensibel, und ich möchte natürlich auf keinen Fall, dass das im Internet steht, ohne Passwort-Authentifizierung. Ich finde das katastrophal."

Mehr zum Thema

Behörde für IT-Sicherheit informiert 46 Länder

Dirk Schrader kontaktierte auch das für IT-Sicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI). Auf Anfrage teilte ein Sprecher mit, dass man 17 Fällen nachgehe und "drei betroffene Einrichtungen direkt über den Sachverhalt" informiert habe.

Das BSI darf aus rechtlichen Gründen nicht selbst auf die Daten zugreifen. In den restlichen 14 Fällen, in denen die IP-Adresse alleine nicht ausreichte, um das Leck zu identifizieren, habe man die Internetprovider kontaktiert. Diese seien nun angehalten, die betroffenen Einrichtungen zu informieren. Außerdem habe man Behörden in 46 Ländern kontaktiert.

Mehrere Server mit sensiblen Patientendaten waren nach BR-Informationen bis vergangene Woche erreichbar, darunter ein Server mit 7000 Untersuchungsdaten von Patienten in Bayern. Das Bayerische Landesamt für Datenschutzaufsicht steht mit dem Betreiber des Servers in Kontakt, wie ein Sprecher auf Anfrage schriftlich mitteilt. Nun würden nächste Schritte geprüft: "Dies kann von offensichtlichen Maßnahmen wie einer verbesserten IT-Sicherheit bis hin zur Einleitung eines Bußgeldverfahrens gehen." Der BR hat ihm bekannte Standorte kontaktiert. Mittlerweile sind die Server vom Netz.

Datenleck lange nicht ernst genommen

Bereits im Jahr 2016 veröffentlichte Oleg Pianykh, Professor für Radiologie an der Harvard Medical School, eine Studie zu ungeschützten PACS-Servern. Er hatte damals mehr als 2700 offene Systeme ausfindig machen können: "Wir haben ein Riesenproblem mit medizinischen Geräten, die komplett ungesichert und ungeschützt sind. Und irgendjemand, ein x-beliebiger Hacker, kann sich mit diesen Geräten verbinden und die Patientendatensätze kompromittieren", sagt Pianykh im Interview mit dem BR und ProPublica.

In Fachkreisen nahm man die Studie von Pianykh zwar zur Kenntnis, doch offenbar sah niemand Grund zum Handeln. Schließlich habe der US-Forscher nicht überprüft, ob sich echte Daten auf den Servern befanden, heißt es aus der Branche. So sind viele Datensätze von Patienten bis heute ungesichert im Netz.

Mehr zum Thema sehen Sie heute Abend um 21:45 Uhr in report München.

Recherche-Kooperation

Die Recherche ist eine Kooperation des Bayerischen Rundfunks mit dem US- amerikanischen Recherchebüro "ProPublica".
Team: Pia Dangelmayer, Arne Meyer-Fünffinger, Ulrich Hagmann, Uli Köppen, Steffen Kühne, Verena Nierle, Oliver Schnuck, Josef Streule, Hakan Tanriverdi, Tatjana Thamerus, Maximilian Zierer sowie Jack Gillum, Jeff Kao und Jeff Larson von ProPublica.

Über dieses Thema berichtete am 17. September 2019 das ARD-Morgenmagazin um 06:08 Uhr, NDR Info um 06:15 Uhr in den Nachrichten und die tagesschau um 08:30 Uhr.