Rechercheteams des Bayrischen Rundfunks (BR) und der US-Investigativplattform ProRepublica sind weltweit auf zahlreiche unsicher konfigurierte Server mit personenbezogenen Patientendaten gestoßen. Über Jahre hinweg hätten Unbefugte darauf zugreifen können. Die Journalisten haben stichprobenartig Betroffenen kontaktiert und die Daten für echt eingestuft.
Darunter sollen sich unter anderem Bilder von Brustkrebsscreenings, Wirbelsäulen- und Röntgenaufnahmen befinden. Die hochauflösenden Aufnahmen sind mit personenbezogenen Daten wie Namen und Geburtsdaten versehen, berichtet die Tagesschau in einem Beitrag.
Weltweit Patienten betroffen
Insgesamt sollen 16 Millionen Datensätze von Patienten aus 50 Ländern betroffen sein. Allein von einem US-Anbieter für radiologische Untersuchungen lagen mehr als eine Million Datensätze vor.
Hierzulande sind medizinische Daten von rund 13.000 Patienten aus fünf verschiedenen Standorten betroffen. Der Großteil stammt dem Bericht zufolge aus Ingolstadt sowie Kempen in Nordrhein-Westfalen. Mittlerweile sollen die Daten nicht mehr zugänglich sein.
Ursache des Datenlecks
Schuld an den im Grunde für jedermann abrufbaren Daten sind unsicher konfigurierte Picture Archiving and Communication System-Server (PACS). Diese dienen unter anderem als Sammelstelle für Röntgenaufnahmen und Bilder aus der Computertomographie.
Ungeschützte Server sind leider keine Seltenheit und es kommt immer wieder vor, dass Datenbanken mit personenbezogenen Daten öffentlich über das Internet zugänglich sind. Admins solcher Server sollten unbedingt sicherstellen, dass Daten nur wenn unbedingt notwendig über das öffentliche Internet abrufbar sind. Ist das unabdingbar, müssen Fernzugriffe zwingend mindestens mit einem Passwort gesichert sein. Noch besser ist der Zugriff über eine gesicherte und verschlüsselte VPN-Verbindung. Bei der Übermittlung derart sensibler Daten sollte so etwas eigentlich selbstverständlich sein.
Wer nicht hören will, muss fühlen
Der Bundesbeauftragte für Datenschutz Ulrich Kelber, sprach von einem "verheerenden ersten Eindruck". Nach jetzigem Kenntnisstand seien in Deutschland zwei Krankenhäuser betroffen, sagte Kelber der Deutschen Presse-Agentur. Es müsse nun geklärt werden, ob möglicherweise auch Drittanbieter in der Verantwortung stehen. Es sei nicht ausgeschlossen, dass es hohe Bußgelder geben werde, sagte Kelber.
Bereits 2016 gab es erste Berichte über unsicher konfigurierte PACS-Server. Offensichtlich hat das aber niemanden interessiert und die Verantwortlichen haben nicht gehandelt.
Quelle: Unsicher konfigurierte Server leaken Daten von Millionen Patienten | heise online