Gesundheitsdaten ungeschützt im Netz - auch Schweiz betroffen

Hochsensible medizinische Daten, unter anderem von Patienten aus der Schweiz, sind einem Bericht zufolge auf ungesicherten Servern gelandet. Weltweit sind Daten mehrerer Millionen Patienten betroffen.
17.09.2019 12:00

Auf die Unterlagen - etwa Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs oder Herzschrittmacher - hätte jeder zugreifen können, wie der Bayerische Rundfunk am Dienstag nach Recherchen des Senders mit der US-Investigativplattform ProPublica berichtete. In der Schweiz sind laut dem Bericht zwei Systeme mit 1500 Datensätzen von Patientinnen und Patienten und insgesamt 197'000 Bilder betroffen.

Die Bilder seien hochauflösend und mit vielen Informationen versehen, fast alle davon personenbezogen: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst.

Weltweit ist die Dimension demnach deutlich grösser, Server auf der ganzen Welt seien ungeschützt. In rund 50 Ländern von Brasilien über die Türkei bis Indien sollen 16 Millionen Datensätze offen im Netz sein. Besonders betroffen seien Patienten aus den USA. Allein bei einem einzelnen Anbieter für radiologische Untersuchungen lagen nach einer Auswertung der US-Investigativplattform mehr als eine Million Datensätze von Patienten vor.

Wenn Patienten in einer MRT-Röhre untersucht werden, entstehen zwei- und dreidimensionale Bilder vom Körperinneren. Diese Bilder werden von den Geräten auf einen speziellen Server geschickt, der für die Bildarchivierung verwendet wird, ein so genanntes "Picture Archiving and Communication System" (PACS), wie der Bayerische Rundfunk weiter berichtete. Auch Röntgenaufnahmen und Bilder aus der Computertomographie landen demnach auf diesen Servern.

Sind die Server nicht ausreichend gesichert, sei es trivial, an die Daten heranzukommen, sagte der Experte für Informationssicherheit Dirk Schrader, dem Sender. Er habe die Investigativ- und Datenjournalisten des Bayerischen Rundfunks kontaktiert, nachdem er weltweit mehr als 2300 Rechner gefunden hatte, auf denen diese Datensätze lagen.

Schrader spricht von einem "near realtime-access", einem Zugriff nahezu in Echtzeit. "Bei den Systemen, die ich überprüft habe, hatte ich den Eindruck, dass ich im Zweifelsfall sogar in der Lage wäre, früher als der Arzt auf das Bild zuzugreifen", sagte er.

Journalisten von BR Recherche/BR Data vollzogen das Vorgehen von Schrader nach, wie der Sender mitteilte. Es seien auch stichprobenartig Betroffene kontaktiert worden, um die Echtheit der Daten zu bestätigen.

Der Bericht zu dem leichtfertigen Umgang mit Patientendaten soll am Dienstagabend um 21.45 Uhr in der Sendung "report München" ausgestrahlt werden.

(SDA)