BR24 Logo
BR24 Logo
Deutschland & Welt

Datenleck beim Deutschen Roten Kreuz | BR24

© picture alliance / Eibner-Pressefoto

Daten zu mehr als hunderttausend Einsatzfahrten des DRK in Brandenburg lagen offenbar jahrelang auf einem schlecht gesicherten Server.

Per Mail sharen

    Datenleck beim Deutschen Roten Kreuz

    Daten zu mehr als hunderttausend Einsatzfahrten des DRK in Brandenburg lagen offenbar jahrelang auf einem schlecht gesicherten Server. Darunter auch sensible Informationen zum Gesundheitszustand der Patienten. Dabei gab es eine frühe Warnung.

    Per Mail sharen

    Benötigt die Patientin einen Rollstuhl? Bei welcher Krankenkasse ist sie versichert? Muss sie zur Chemotherapie oder leidet sie an einer psychischen Krankheit? Patienten gehen davon aus, dass medizinische Einrichtungen wie Krankenhäuser oder Fahrdienste mit solchen Informationen sorgsam umgehen. Doch Daten zu mehr als 30.000 Patienten aus Brandenburg lagen offenbar jahrelang auf einem schlecht gesicherten Server, der vom Deutschen Roten Kreuz (DRK) genutzt wurde. Kriminelle Hacker hätten problemlos auf die Daten zugreifen und sie sogar manipulieren können. Das haben gemeinsame Recherchen von Reportern des BR, des RBB und der Süddeutschen Zeitung ergeben.

    Die Reporter konnten die Daten einsehen, die bis ins Jahr 2008 zurückreichen. Sie stammen aus Aufzeichnungen von mehr als hunderttausend Krankentransporten des DRK-Kreisverbands Märkisch-Oder-Havel-Spree, zu dem Orte wie Eisenhüttenstadt, Frankfurt (Oder), Oranienburg und Fürstenwalde gehören. Enthalten sind in etlichen Fällen sensible Patienteninformationen, die Rückschlüsse auf den Gesundheitszustand der Betroffenen ermöglichen, etwa ob der Patient im Rollstuhl sitzt, an einer Viruserkrankung leidet oder ob es sich bei der Fahrt um eine Einweisung in eine psychiatrische Klinik handelt. Hinzu kommen personenbezogene Informationen wie Namen, Adressen und Geburtsdaten der Patienten. Auch personenbezogene Daten von Teilnehmern von Erste-Hilfe-Kursen waren abrufbar. Das Einfallstor war eine Sicherheitslücke auf den Webseiten mehrerer DRK-Kreisverbände in Brandenburg.

    Warnung an Rotes Kreuz schon vor Monaten

    Bereits im November vergangenen Jahres meldete sich ein 18-jähriger Hacker bei einem der betroffenen DRK-Kreisverbände. Über die Schwachstelle konnte er an Passwörter für Administratoren gelangen, die besonders weitreichende Befugnisse haben. Damit hätte er theoretisch Daten mehrerer DRK-Kreisverbände verändern können. Er reagierte besonnen und wies den Kreisverband auf die Schwachstelle hin. Doch anstatt die Sicherheitslücke komplett zu beseitigen, wurde nur der Zugang zu einer der Seiten gesperrt. Das Problem an sich blieb bestehen. Deshalb nahm der Hacker Kontakt zu den Reportern auf.

    Nach Recherchen von BR, RBB und SZ war es noch bis Mitte Januar möglich, die Schwachstelle auszunutzen. IT-Sicherheitsexperten sprechen von einer “SQL-Injection”, einem Hineinschmuggeln von unzulässigen Anfragen. Dabei handelt es sich um eine der ältesten bekannten Lücken für sogenannte SQL-Datenbanken. Erschwerend kommt hinzu, dass einer der Administratoren ein besonders leicht zu erratendes Passwort nutzte und dieses auch auf unterschiedlichen Seiten verwendete.

    Admin-Passwort im Internet aufgetaucht

    Über den Zugriff auf Server und Datenbank wäre es dem Hacker theoretisch möglich gewesen, auch Krankentransporte in Echtzeit zu löschen oder zu manipulieren. So lässt sich etwa über das Setzen eines Häkchens bestimmen, dass Fahrer ohne einen Rollstuhl bei einem Patienten ankommen, auch wenn dieser eigentlich einen gebraucht hätte. “Das hätte man alles live machen können”, sagt der Hacker im Interview mit den Reportern.

    Ob Kriminelle auf die Daten zugegriffen haben, ist bislang unklar. Klar ist: Reporter von BR, RBB und SZ fanden Zugangsdaten des DRK-Administrators auf einer türkischsprachigen Webseite für Hacker – veröffentlicht bereits im Jahr 2017. Und auch die besagte Schwachstelle in der Datenbank-Anfrage findet Erwähnung. Die DRK-Serveradresse wird dabei nicht genannt. Der zuständige Administrator nutzte dieselbe Kombination aus Nutzername und Kennwort offenbar, um weitere Webseiten zu verwalten, die nicht mit dem DRK in Verbindung standen.

    Keine sensiblen Patientendaten?

    Das Deutsche Rote Kreuz teilt auf Anfrage mit, man bedauere die Schwachstelle sehr. Man nehme den Vorfall “sehr ernst” und habe deutliche Konsequenzen gezogen, heißt es in einer gemeinsamen Erklärung, die das DRK-Generalsekretariat und der Landesverband Brandenburg nach der Medien-Anfrage von BR, RBB und SZ veröffentlichten. Alle entsprechenden Webseiten seien unverzüglich abgeschaltet worden und man habe eine umfassende externe Prüfung der IT-Sicherheit veranlasst. Auch die zuständige Landesdatenschutzbehörde sei informiert worden, ebenso das LKA Brandenburg. Zunächst hatte das DRK kommuniziert, es seien „keine Details zu Diagnose oder Transportgrund“ der Patienten sichtbar gewesen. Auf Nachfrage hieß es am Mittwoch vom Landesverband Brandenburg, man befinde sich in der Abstimmung mit dem Kreisverband, da "die von Ihnen geschilderten Angaben zu personenbezogenen Diagnosedaten nicht bekannt waren".

    Immer wieder Datenlecks im Gesundheitsbereich

    Immer wieder kommt es im Gesundheitsbereich zu Problemen mit dem Datenschutz. Erst im vergangenen Jahr hatten Recherchen des BR ein Datenleck mit Millionen Patientendaten aus radiologischen Untersuchungen weltweit aufgedeckt. Den IT-Sicherheitsexperten Martin Tschirsich überrascht diese Häufung nicht. IT-Sicherheit verursache kurzfristig gesehen nur Kosten, sagt er im Interview. „Und so kommt es, dass es in vielen Organisationen zu wenig qualifiziertes Personal und Budget dafür gibt. Zum anderen ist es dann auch oft noch so, dass jede kleine Einrichtung sich selbst um das Thema kümmern muss, anstatt dass die Kompetenzen irgendwo gebündelt liegen.“ Das mache es noch schwieriger, solche Systeme zu sichern. Auch beim Roten Kreuz organisieren Landes- und Kreisverbände ihre Webseiten und Datenbanken in eigener Verantwortung, heißt es in der DRK-Stellungnahme. Rechtlich seien sie „völlig selbständig“.

    Der DRK-Landesverband Brandenburg hat eine E-Mailadresse (datenschutz(at)drk-lv-brandenburg.de) und eine Telefonhotline (0331 2864 113) eingerichtet, an die sich Betroffene wenden können.

    "Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!