Report München


6

Datenskandal im Gesundheitsbereich Sensible Patientendaten offen im Netz

Brustkrebsscreenings, Schilddrüsenuntersuchungen, Wirbelsäulenbilder: Nach Recherchen von report München in Zusammenarbeit mit Datenjournalisten des Bayerischen Rundfunks und Kollegen des US-amerikanischen Recherchebüros ProPublica sind neben hochauflösenden Röntgen-, MRT- und CT-Bildern auch zugehörige Namen, Geburtsdaten und weitere Gesundheitsinformationen von tausenden Patienten allein in Deutschland offen im Netz gelandet, weltweit sind wohl die Daten von mehreren Millionen Patienten betroffen.

Von: Ulrich Hagmann, Josef Streule, Hakan Tanriverdi, Maximilian Zierer

Stand: 17.09.2019

Katharina Gaspari aus Ingolstadt ist eine der betroffenen Patientinnen. Sie und ihr Ehemann sind wegen verschiedener orthopädischer Probleme in Behandlung und wurden mehrfach in unterschiedlichen Radiologie-Praxen untersucht. Die Untersuchungsdaten landeten ungeschützt im Internet. Gemeinsam mit Datenjournalisten des Bayerischen Rundfunks haben wir die Gasparis informiert.

Patientendaten offen verfügbar

Max Zierer, BR Data: "Ist das der Arzt, der Sie behandelt hat?“

Katharina Gaspari: "Ja.ha“

Max Zierer, BR Data: "Das ist der Name des Arztes, richtig?“

Katharina Gaspari: "Ja, das gibt´s doch nicht und das kann jeder einsehen?“

Max Zierer, BR Data: "Gibt keinerlei Passwortschutz oder sonstiges...“

Katharina Gaspari: "Das ist der Hammer. Das ist aus meinem Körper raus und es gibt keine ärztliche Schweigepflicht, sehe ich, das ist irgendwo auf der Strecke geblieben.“

Ungläubiges Staunen, Entsetzen, Wut – so reagieren Patienten, denen wir die Aufnahmen ihrer Untersuchungen zeigen, die mit wenigen Klicks im Internet zu finden sind.

"Das ist einfach unglaublich und ich bin richtig aufgewühlt und verärgert darüber. Denn bislang habe ich immer angenommen, so etwas bliebe bei dem zuständigen Arzt oder in der Klinik und würde nicht weiter gereicht."

Martin Thude

Medizinische Daten und Bilder ungesichert im Netz

Wie gelangen solch sensible Daten einfach ins Internet? Der Sicherheitsdienstleister Dirk Schrader hat uns auf das Datenleck hingewiesen. Schnell war klar: Es handelt sich um ein weltweites Problem: medizinische Daten und Bilder liegen vollkommen ungeschützt auf Servern im Internet.

"Bei den Systemen die ich überprüft habe hatte ich den Eindruck, dass ich im Zweifelsfall sogar in der Lage wäre früher als der Arzt auf das Bild zuzugreifen."

Dirk Schrader, IT Sicherheitsdienstleister

Schematisch erklären Experten dieses Datenleck so: Wenn ein Patient ein MRT oder CT macht, werden die Bilder digital auf einem Server gespeichert. Alle Ärzte in der Klinik oder der Röntgenpraxis können so auf diese Bilder zugreifen.

Eigentlich sollten diese Server vor dem Zugriff Dritter gesichert sein. Aber weltweit sind viele Server, auf denen Bilder und Patientendaten liegen, ohne weitere Absicherungen mit dem Internet verbunden. Deswegen sind die Daten von Dritten einfach abrufbar.

Weltweit 16 Millionen Datensätze betroffen

Betroffen sind Server vor allem in den USA, der Türkei, Südafrika, Indien und Europa. Weltweit hat Dirk Schrader 16 Millionen Datensätze gefunden, die ohne Passwortschutz ungesichert im Netz stehen, in Deutschland waren es über 13.000.

"Hier sind mehrere Prozesse, die nicht funktioniert haben. Definitiv nicht funktioniert haben. Und da kommt auch ein bisschen meine Motivation her. Das Ganze zu lösen. Dafür zu sorgen, dass diese Sachen so nicht mehr verfügbar sind."

Dirk Schrader, IT Sicherheitsdienstleister

In Berlin beugt sich der Bundesdatenschutzbeauftragte über unsere Recherchen und ist erschrocken über die Dimension und die Zahl der Fälle

"Das spricht dafür, dass es nicht nur ein einfacher Konfigurationsfehler eines Anbieters ist, sondern ein grundsätzliches Problem. Das gehört dringend auch untersucht, was ist da passiert, wer ist der Verantwortliche, wie kann diese Datenlücke möglichst schnell abgeschaltet werden."

Ulrich Kelber, Bundesbeauftragter für den Datenschutz

In Ingoldstadt ringt Frau Gaspari immer noch mit der Fassung kann nicht verstehen, wie Ihre Daten im Netz landen konnten, und überlegt was Sie jetzt unternehmen soll.

"Die müsste man irgendwie zur Rede stellen, weil das darf nicht sein sowas, da schau ich vorbei und frage was das soll..."

Katharina Gaspari

Frau Gaspari ist in Ingolstadt auf dem Weg in die Radiologiepraxen, in denen sie und ihr Mann untersucht wurden. Unsere Kamera ist bei den Gesprächen mit den Radiologen nicht erwünscht. Zum Ergebnis später mehr.

"Kein zufälliges Problem, sondern ein extrem Hartnäckiges"

Warum medizinische Daten nicht in die Hände Dritter gehören, erklärt der Datenschutzbeauftragte.

"Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt, und deswegen Sie vielleicht ablehnt, Ihnen keinen Vertrag gibt, keinen Kredit gibt."

Ulrich Kelber, Bundesbeauftragter für den Datenschutz

Welche Dimension der schlampige Umgang mit sensiblen Daten annehmen kann, zeigt sich in den USA. Dort sind Millionen Patientendaten ungeschützt im Internet aufgetaucht. Das hat unser amerikanischer Kooperationspartner „Pro Publica“ recherchiert.

Verheerend, schon vor drei Jahren hat Oleg Pianykh, Professor für Radiologie an der Harvard Medial School, in einer Studie vor ungeschützten Servern gewarnt. Doch er wurde ignoriert.

"Selbst nachdem die Studie veröffentlicht war, nach den Präsentationen hat sich nichts Grundlegendes geändert. Es ist also kein zufälliges Problem, sondern ein extrem Hartnäckiges und das hat mich noch mehr schockiert, als die schiere Zahl von Fällen."

Prof. Oleg Pianykh, Director of Medical Analytics, Harvard Medical School

Ein Leck ist geschlossen – doch Millionen Fälle bleiben

In Deutschland ist das Bundesamt für die Sicherheit in der Informationstechnik, kurz BSI von Dirk Schrader eingeschaltet worden. Das BSI erklärt, es untersuche 17 Einrichtungen und habe Behörden in 46 Ländern über das Datenleck informiert.

Aber wo ist das Leck in Ingolstadt? Katharina Gaspari ist ratlos: Die Radiologen sagen: Ihre Server seien sicher, das hätten sie mit den Behörden überprüft. Mit den Bildern arbeiten andere Ärzte von ihr weiter, auch dort könnte das Leck sein.

"Die sollten da schon ihre Strafe bekommen, damit das irgendwie geblockt wird und nicht weiter so geht, damit das irgendwann einmal Schluss ist und nicht jeder Hacker und überall rein will."

Katharina Gaspari

Schöne neue Datenwelt – und Gesundheitsminister Jens Spahn will die Digitalisierung im Gesundheitswesen weiter vorantreiben. Wir treffen ihn heute Vormittag beim Welttag der Patientensicherheit in der Berliner Charité. Warum setzt er auf Digitalisierung, solange es solch gravierende Sicherheitslücken gibt? 

"Das sind ja Daten, die auf einem Server, soweit ich die Sachlage kenne, eines Dienstleisters rund um die Erhebung von MRT-Bildern gelegen haben, gespeichert worden sind, und die dort waren, die zu sichern waren, und dann ist zuerst einmal der in der Verantwortung, der sie dort sichert. Die gesetzliche Anforderung ist da sehr, sehr klar."

Jens Spahn,CDU, Bundesgesundheitsminister

Die Verantwortung landet am Ende wieder beim Arzt. Heute haben Datenschützer eine Praxis als Quelle des Lecks in Ingolstadt identifiziert. Ein Leck geschlossen – doch Millionen Fälle bleiben. Das Problem ist nicht gelöst. 

Manuskript zum Druck

Manuskript als PDF:


6