Millionen Patientendaten im Netz aufgetaucht
Medizin Eines der größten Datenlecks liegt in einer Ingolstädter Arztpraxis
Ingolstadt Martin Thude ist entsetzt. Der 84-Jährige aus Ingolstadt ist einer von tausenden Patienten in Deutschland, die von der Nachricht überrascht wurden, dass ihre Patientendaten ungeschützt im Internet verfügbar waren. Wie der Rundfunk gemeinsam mit der US-Investigativplattform ProPublica aufgedeckt hat, klafft ein riesiges Datenleck im Netz – und das seit Jahren: Betroffen sind rund 50 Länder von Brasilien bis zur Türkei und den USA. In Deutschland entfällt der größte Teil der zugänglichen Datensätze auf Patienten aus dem Raum Ingolstadt und aus Kempen in Nordrhein-Westfalen.
Die Aufregung der Betroffenen ist groß: Bei Martin Thude steht das Telefon seit Bekanntwerden des Skandals nicht mehr still. Unserer Redaktion berichtet er, dass von ihm medizinische Daten über seine Wirbelsäule im Netz gelandet seien. Er sagt: „Ich bin entrüstet, dass solche Sachen in die Öffentlichkeit kommen, wo sie nicht hingehören.“
Dem Vernehmen nach hat es nicht ein einzelnes großes Datenleck gegeben, sondern eine Vielzahl von ungeschützten Servern, also Datenspeichern. Die Patientendaten aus Ingolstadt stammen aus einer örtlichen Arztpraxis, alleine von hier kommen tausende Patientendaten. Klinikum und Diagnosticum Bayern Mitte sind nicht betroffen. Der betroffene Arzt wurde informiert und habe den Rechner inzwischen abgeschaltet. Derzeit werde geprüft, ob durch die Datenpanne ein Risiko für die Patienten entstanden ist und ob es überhaupt Zugriffe auf die Patientendaten gegeben habe, sagt Andreas Sachs, Vizepräsident des Bayerischen Landesamtes für Datenschutzsicherheit (LDA), unserer Redaktion. Wenn dies der Fall ist, werden die Patienten informiert.
Im Ingolstädter Fall gehen die Datenschützer davon aus, „dass es ein Versehen war beim Einrichten des Systems“. Zudem habe das Praxisteam vergessen, die Daten mithilfe eines Passwortes zu schützen. Es stünden eigentlich genügend Schutz-Möglichkeiten zur Verfügung, um Daten zu sichern – sie müssten nur angewandt werden, mahnt Andreas Sachs. Gerade im Gesundheitsbereich mache der Gesetzgeber strenge Vorgaben, schreibe den Einsatz einer sogenannten Firewall vor. Bisweilen scheitert dies aber schon am mangelnden Wissen in den Praxen und Kliniken.
Aufgedeckt und an die Medien weitergegeben wurde der Skandal vom Experten für Informationssicherheit, Dirk Schrader. Er fand bei seinen Recherchen 24,5 Millionen Datensätze (unter anderem mit Namensangabe, Geburtsdatum, Umfang der Untersuchung, behandelnder Arzt) sowie mehr als 700 Millionen Bilder (Brustkrebsscreenings, Wirbelsäulenbilder und Röntgenaufnahmen). Alleine in Deutschland waren 15000 Datensätze und Millionen Bilder zugänglich.
„Die Summe dieser Datenlecks an ungeschützt im Internet zu findenden Patientendaten sind damit eine der bisher größten Datenpannen weltweit“, betont Schrader in seinem Sicherheitsreport für den IT-Spezialisten „Greenbone Networks“. „Abgeleitet aus bekannten Angriffen und Recherchen einiger Sicherheitsbehörden, hätte ein solches zusammengefasstes Datenpaket im Darknet wohl einen Gegenwert von mehr als einer Milliarde US-Dollar.“Diese Daten könnten schließlich von Angreifern zu unterschiedlichen Zwecken ausgenutzt werden. Dazu zählten unter anderem die Veröffentlichung einzelner Namen und Bilder, um dem Ansehen der Person zu schaden. Angst, dass Versicherungen die Daten nutzen, um Kunden unter Druck zu setzen, müsse laut Datenschützer Andreas Sachs niemand haben. „Das ist absolut verboten, die Bußgelder wären massiv.“