Mammografien, Wirbelsäulenbilder oder Herzschrittmacher: Hochsensible medizinische Daten, unter anderem von Patienten aus Deutschland und den USA, sind auf ungesicherten Servern gelandet. Es gehe um die Daten mehrerer Millionen Patienten weltweit, wie der Bayerische Rundfunk (BR) am Dienstag berichtete. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erklärte, die Patientendaten seien zugänglich, weil "einfachste IT-Sicherheitsmaßnahmen" nicht umgesetzt worden seien.
In Deutschland sind mehr als 13.000 Datensätze von Patienten betroffen, gut die Hälfte davon mit Bildern, wie Recherchen des BR mit der US-Investigativplattform ProPublica ergaben. Die Unterlagen waren demnach noch bis vergangene Woche zugänglich; die deutschen Datensätze stammen von mindestens fünf verschiedenen Standorten, zum größten Teil aus dem Raum Ingolstadt und aus Kempen in Nordrhein-Westfalen.
Die Bilder seien mit vielen personenbezogen Informationen versehen: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst.
Weltweit ist die Dimension den Recherchen zufolge deutlich größer, in rund 50 Ländern von Brasilien über die Türkei bis Indien sollen 16 Millionen Datensätze offen im Netz sein. Besonders betroffen seien Patienten aus den USA.
Wenn Patienten in einer MRT-Röhre untersucht werden, entstehen zwei- und dreidimensionale Bilder vom Körperinneren. Diese werden auf einen speziellen Server geschickt, der für die Bildarchivierung verwendet wird, ein so genanntes "Picture Archiving and Communication System" (PACS). Auch Röntgenaufnahmen und Bilder aus der Computertomographie landen auf diesen Servern, wie der BR berichtete.
Sind die Server nicht ausreichend gesichert, sei es trivial, an die Daten heranzukommen, sagte der Experte für Informationssicherheit, Dirk Schrader, dem Sender. Er habe die Investigativ- und Datenjournalisten des Bayerischen Rundfunks kontaktiert, nachdem er weltweit mehr als 2300 Rechner mit Datensätzen gefunden habe.
Schrader spricht von einem Zugriff nahezu in Echtzeit: "Bei den Systemen, die ich überprüft habe, hatte ich den Eindruck, dass ich im Zweifelsfall sogar in der Lage wäre, früher als der Arzt auf das Bild zuzugreifen."
Das BSI erklärte, es sei informiert worden und habe die betroffenen medizinischen Einrichtungen anhand der vorliegenden IP-Adressen in Kenntnis gesetzt. Dem Amt lägen keine Informationen vor, dass die Patientendaten in krimineller Absicht abgeflossen sind.
BSI-Präsident Arne Schönbohm erklärte: "Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient."
Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, warnte vor möglichen Folgen: "Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt." Diese Daten gehörten "nicht in die Hände Dritter".
Der SPD-Gesundheitspolitiker Karl Lauterbach forderte im SWR hohe Strafen bei Datenlecks in Krankenhäusern. Die Kliniken müssten ein zertifiziertes Datenschutzkonzept vorlegen. Der Linken-Gesundheitspolitiker Achim Kessler forderte Gesundheitsminister Jens Spahn (CDU) auf, das Recht der Patienten "auf Schutz ihrer Daten ins Zentrum stellen, statt die Interessen der Digitalkonzerne durchzusetzen". Die Grünen-Gesundheitsexpertin Maria Klein-Schmeink forderte: "Datenschutz und Datensicherheit müssen in unserem Gesundheitswesen so selbstverständlich werden wie Händewaschen."
DGB-Vorstandsmitglied Annelie Buntenbach sprach von einem "Warnsignal", das Spahn nicht ignorieren dürfe. Sie warnte ihn davor, Versichertendaten "nach Jahrmarktprinzip zu verteilen und der Digitalwirtschaft einen Milliardenmarkt" zu sichern.
