Millionen Patientendaten ungeschützt im Netz

Vielzahl ungeschützter Server sind das Problem

von - 17.09.2019
Dabei hat es nicht ein großes Datenleck gegeben, sondern eine Vielzahl von ungeschützten Servern etwa für die Bildspeicherung. Ein potenzieller Angreifer brauche kein Spezialwissen, um sich Zugang zu diesen PACS genannten Servern (Picture Archiving and Communication System) zu verschaffen, auf denen Aufnahmen aus Röntgen- oder MRT-Befunden gespeichert werden, sagte der IT-Sicherheitsexperte Dirk Schrader der dpa. Mit etwas Internet-Affinität und einem frei im Netz verfügbaren "Dicom-Viewer" habe man sich problemlos die Aufnahmen ansehen können.

Nach Einschätzung des BSI waren die Daten zugänglich, "weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden". Datenschutz wurde dabei in vielen Fällen offenbar schlicht vergessen. Schrader hatte mehr als 2.300 IT-System weltweit identifiziert, auf 590 davon war ein Zugriff möglich. Dabei sei der Aufwand für die Sicherung der Daten "ziemlich minimal", sagte Schrader. An der Firewall müssten entsprechende Filterregeln eingebaut werden. Die Maßnahmen wären relativ schnell umsetzbar. Mit einem halben Tag Recherche dazu, wer Zugriff haben muss, sowie zehn Minuten Ausführung wäre es getan, schätzt Schrader.

Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, sprach von einem "verheerenden ersten Eindruck". Es müsse nun geklärt werden, ob möglicherweise auch Drittanbieter in der Verantwortung stehen. Es sei nicht ausgeschlossen, dass es hohe Bußgelder geben werde.

Mehr Datenschutz gefordert

Der Bundesgesundheitsminister müsse endlich selbst Verantwortung für die Sicherheit von Patientendaten übernehmen, forderte Eugen Brysch von der Deutschen Stiftung Patientenschutz. Brysch schlug ein Bundesamt für Digitalisierung im Gesundheitswesen vor. "Patientendaten gehören auf sichere Server in Deutschland." Spahn müsse dafür sorgen, "dass die sensibelsten Daten eines Menschen nicht ungeschützt durch das Internet vagabundieren".

Adäquate Sicherheitsmaßnahmen seien besonders im Gesundheitswesen dringend erforderlich, schätzt auch David Emm, Sicherheitsforscher beim Antiviren-Spezialisten Kaspersky. Verstärkt würden auch Cyberkriminelle die Branche in den Blick nehmen. "Wir gehen davon aus, dass allein im Jahr 2018 bei Organisationen aus dem medizinischen Bereich 28 Prozent der im Krankenhaus befindlichen Geräte angegriffen wurden", sagte Emm.
Verwandte Themen