Wie die Sendung „Report“ aus München berichtet, standen Millionen von Daten zu gesundheitlichen Untersuchungen samt Patientenangaben über Jahre frei im Internet. Auch etwa 13.000 Gesundheitsdaten aus Deutschland waren darunter. Diese Daten sind inzwischen nicht mehr im Internet verfügbar. Was genau passiert ist, erfahren Sie in diesem Beitrag.

Welche Daten waren betroffen?

Aufgefunden wurden die Bilddaten von Brustkrebsscreenings, Schilddrüsenuntersuchungen und weiteren MRT- und CT-Untersuchungen – zumeist verbunden mit dem Namen und der Patientenakte des Untersuchten. Diese hoch sensiblen Daten lagen ohne jeglichen Passwortschutz leicht und frei verfügbar im Internet – offenbar wohlschon seit Jahren.

Wie viele Datensätze waren frei verfügbar?

Entdeckt wurde das Leck von einem deutschen IT-Sicherheitsdienstleister, der den Datenwegen nachspürte. Er fand dabei etwa 16 Millionen ungeschützte Datensätze. Die meisten der Datensätze stammen aus den USA, Indien, Südafrika, das Türkei und Europa. Mindestens zwei Kliniken in Südddeutschland waren ebenfalls betroffen. Sie spielten mehr als 13.000 Datensätze frei verfügbar ins Internet ein.

Wie kommen die Daten einfach so ins Internet?

Die Recherchen ergaben, dass die Daten direkt aus den Tomografiegeräten auf Server übertragen werden, damit sie den behandelnden Ärzten sofort zur Verfügung stehen. Diese Server waren allerdings falsch konfiguriert und mangelhaft bis gar nicht gegen Fremdzugriffe geschützt. Da sie aber mit dem Internet verbunden waren, gelangten die Bilddatensätze samt Begleitinformationen frei zugänglich ins Internet.

Hoch sensibles Material

Medizinische Daten gehören zu den sensibelsten personenbezogenen Daten überhaupt. Sie müssen besonders streng geschützt werden. Schließlich können solche Informationen beispielsweise zu Höherstufungen bei der Versicherung, schlechteren Kreditkonditionen oder sogar zum Jobverlust führen.

Die Suche nach den Verantwortlichen

Der Bundesdatenschutzbeauftragte zeigte sich entsprechend entsetzt über den Vorfall. Aufgrund der Anzahl der Datensätze geht er davon aus, dass es sich um einen systematischen Fehler und nicht „nur“ um einen Konfigurationsfehler eines Anbieters handeln müsse. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) ermittelt nun in 18 Fällen. Zudem hat das Amt 46 Behörden in anderen Ländern zu diesem Fall kontaktiert.

Die Verantwortung für die Sicherheit dieser Untersuchungsdaten liegt nach aktueller Rechtslage bei den Serverbetreibern. Dies sind zumeist die Arztpraxis oder die Klinik selbst. Diese Betreiber müssen nun auch die betroffenen Patienten verständigen.

Video: Bericht von report München