interessant, für wen?

Patienteninformationen Wie kamen die Daten ins Netz?

Stand: 17.09.2019 15:24 Uhr

Millionenfach sind sensible Daten von Patienten ungeschützt ins Internet gelangt. Auch Deutsche sind davon betroffen. Die Suche nach dem Leck ist kompliziert.

Von Maximilian Zierer und Hakan Tanriverdi, BR Recherche/BR Data

Als Katharina Gaspari einen Blick auf ihr Innenleben wirft, lacht sie kurz verstört auf und sagt: „Das gibt’s doch nicht.“ Was bleibt ihr auch anderes übrig als zu lachen? Sie ist hilflos. Denn die Aufnahmen ihrer Wirbelsäule aus dem Magnetresonanztomografen (MRT) waren für sie gedacht. Für sie und die Ärzte, die sie behandelt hatten. Stattdessen lagen die Bilder offen im Netz. Jede Person, die einen Internet-Zugang hat und weiß, wonach sie suchen muss, konnte sie finden.

In einer gemeinsamen Recherche stießen Reporter des Bayerischen Rundfunks (BR) und von ProPublica, einer amerikanischen Plattform für investigativen Journalismus, auf ein Datenleck, das besonders sensible Daten preisgibt: medizinische Untersuchungen. Datensätze von weltweit mehreren Millionen Patienten, die im Internet landeten. Auf Servern, die nicht geschützt waren. Auch 13.000 Datensätze von Patienten aus Deutschland lassen sich in diesem Leck finden.

Datenleck im Gesundheitswesen
Morgenmagazin, 17.09.2019, Josef Streule, BR

Suche nach dem Datenleck

Gaspari begibt sich auf Spurensuche. Sie will wissen, wie ihre Daten ins Netz gelangen konnten: „Eigentlich vertraue ich Ärzten. Aber jetzt weiß ich nicht, ob ich das noch kann.“ Sie lebt in Ingolstadt, auf einem der Server lagen mehr als 7000 Datensätze von Patienten aus der Region. Es ist eine Suche, die zeigt, durch wie viele Hände solch sensible Daten gehen und wie schwer es sein kann, herauszufinden, wo der Fehler passiert ist.

Die Daten sind personenbezogen: Geburtsdatum, Vor- und Nachname, Untersuchungstermin und Informationen über den behandelnden Arzt oder die Behandlung selbst. Hinzu kommt, dass es in vielen Fällen auch möglich ist, sich die dazugehörigen Bilder anzuschauen. Röntgenaufnahmen und Bilder aus der Computer- oder Magnetresonanztomographie – gestochen scharf.

Wie sich Datensätze von Patienten verbreiten

Wenn Patienten in einer MRT-Röhre untersucht werden, entstehen zwei- und dreidimensionale Bilder vom Körperinneren. Diese Bilder werden von den Geräten auf einen speziellen Server geschickt, der für die Bildarchivierung verwendet wird, ein so genanntes „Picture Archiving and Communication System“ (PACS).

Am Ende der Untersuchung bekommen Patienten ihre Aufnahmen häufig auf einer CD oder DVD. So auch Katharina Gaspari. Besucht sie nun einen weiteren Arzt, nimmt sie ihre CD mit. Die Bilder werden eingelesen. Auch hier kommen Server zum Einsatz.

So verbreiten sich die Datensätze. Passiert an einer Stelle der Fehler – beim Speichern der Aufnahmen oder beim Einlesen, weil einer der Rechner aus dem Internet heraus erreichbar ist, landen diese Datensätze im Internet.

Kleiner Fehler, großes Problem für Patienten

Bis heute ist nicht in allen Fällen geklärt, wo der Fehler genau lag. Ein Arzt einer kleineren radiologischen Praxis – dort lagen nur einzelne Patientendatensätze – schloss in einem ersten Telefonat mit den BR-Reportern kategorisch aus, dass der Fehler bei seiner Praxis liegen könnte. Zwei Stunden später meldete er sich erneut und merkte an, dass er den Fehler nun doch gefunden habe. Link

Die Daten fielen beim „Erstellen von speziellen CDs“ an und landeten über einen Webserver im Netz. Der Fall zeigt, wie unübersichtlich eine IT-Infrastruktur werden kann, auch in kleineren Praxen. In großen Krankenhäusern sind bis zu 30.000 Rechner im Netzwerk angeschlossen – und ein einziger Fehler kann problematisch sein.

Fehlkonfiguration der Rechner

Zum Beispiel bei einem großen bayerischen Universitätsklinikum. Dort wurden Bilder kurzfristig auf einem Rechner gespeichert. Die Daten sollten für eine Studie anonymisiert werden – die Patienten hatten zugestimmt. „Der Rechner wurde jedoch an ein für solche Zwecke nicht zulässiges Netz angeschlossen und war daher über das Internet zugänglich“, heißt es in einer schriftlichen Antwort eines Pressesprechers auf BR-Anfrage. Es handelte sich also um eine Fehlkonfiguration.

Weltkarte mit den vom Datenleck betroffenen Ländern

Von dem Datenleck betroffen sind Patienten in rund 50 Ländern, vor allem in den USA, Südafrika, der Türkei und Indien.

                                In den USA ist das Problem besonders groß. Mehr als fünf Millionen Datensätze von Patienten sind nach Auswertungen von ProPublica betroffen. Ein Fall geht zurück auf einen Dienstleister für mobile Radiologie, die Patienten vor Ort besucht, zum Beispiel in Seniorenheimen oder Gefängnissen. Mehr als eine Million dieser Datensätze waren offen im Netz.

Bayerische Datenschutzbehörde prüft

Wo genau das Ingolstädter Datenleck liegt, in dem Bilder und Daten von Gaspari gelandet sind, ist bislang unklar. Das Klinikum Ingolstadt prüfte auf BR-Anfrage hin den Fall und teilte mit, dass das Datenleck nicht bei ihnen liege. Auch zwei Radiologiepraxen können nach eigenen Angeben ausschließen, dass es sich um ihre Server handelt. (…)

Autor: mengenlehre

- Witze, Satire, Fundsachen aus dem Netz passend zum Zeitgeist zur Unterhaltung