Symbolbild: Ein Mann wird in ein MRT geschoben.
Bildrechte: BR

Symbolbild: Ein Mann wird in ein MRT geschoben.

Per Mail sharen
Artikel mit Bild-InhaltenBildbeitrag

Patientensicherheit: Wie kamen medizinische Daten ins Netz?

Es sind gestochen scharfe Bilder, sie geben Auskunft über die Gesundheit von Patienten - auch aus Bayern. Das weltweite Datenleck zeigt, wie sensible Informationen im Internet auftauchen – und wie kompliziert die Suche nach Verantwortlichen ist.

Über dieses Thema berichtet: report MÜNCHEN am .

Als Katharina Gaspari einen Blick auf ihr Innenleben wirft, lacht sie kurz verstört auf und sagt: "Das gibt’s doch nicht." Was bleibt ihr auch anderes übrig als zu lachen? Sie ist hilflos. Denn die Aufnahmen ihrer Wirbelsäule aus dem Magnetresonanztomografen (MRT) waren für sie gedacht. Für sie und die Ärzte, die sie behandelt haben. Stattdessen lagen die Bilder offen im Netz – und jede Person, die einen Internet-Zugang hat und weiß, wonach sie suchen muss, konnte sie finden.

In einer gemeinsamen Recherche stießen Reporter von BR Recherche/BR Data und von ProPublica, einer amerikanischen Plattform für investigativen Journalismus, auf ein Datenleck, das besonders sensible Daten preisgibt: medizinische Untersuchungen. Datensätze von weltweit mehreren Millionen Patienten, die im Internet landeten. Auf Servern, die nicht geschützt waren. Auch Tausende Patienten aus Deutschland lassen sich in diesem Datenleck finden.

Suche nach dem Datenleck

Katharina Gaspari begibt sich auf Spurensuche. Sie will wissen, wie ihre Daten ins Netz gelangen konnten: "Eigentlich vertraue ich Ärzten. Aber jetzt weiß ich nicht, ob ich das noch kann." Sie lebt in Ingolstadt, auf einem der Server lagen mehr als 7.000 Datensätze von Patienten aus der Region. Es ist eine Suche, die zeigt, durch wie viele Hände solch sensible Daten gehen und wie schwer es sein kann, herauszufinden, wo der Fehler passiert ist.

Die Daten sind personenbezogen: Geburtsdatum, Vor- und Nachname, Untersuchungstermin und Informationen über den behandelnden Arzt oder die Behandlung selbst. Hinzu kommt, dass es in vielen Fällen auch möglich ist, sich die dazugehörigen Bilder anzuschauen. Röntgenaufnahmen und Bilder aus der Computer- oder Magnetresonanztomographie – gestochen scharf.

Auf das Datenleck aufmerksam gemacht hat Dirk Schrader, Experte für Informationssicherheit der Firma Greenbone Networks. Schrader musste sich lediglich eine kostenlose Software herunterladen, die auch medizinisches Personal und Ärzte verwenden und ein wenig recherchieren, wie die Software arbeitet.

Wie sich Datensätze von Patienten verbreiten

Wenn Patienten in einer MRT-Röhre untersucht werden, entstehen zwei- und dreidimensionale Bilder vom Körperinneren. Diese Bilder werden von den Geräten auf einen speziellen Server geschickt, der für die Bildarchivierung verwendet wird, ein so genanntes "Picture Archiving and Communication System" (PACS).

Am Ende der Untersuchung bekommen Patienten ihre Aufnahmen häufig auf einer CD oder DVD. So auch Katharina Gaspari. Besucht sie nun einen weiteren Arzt, nimmt sie ihre CD mit. Die Bilder werden auch in dieser Praxis auf einen Server gespielt. So verbreiten sich die Datensätze. Passiert an einer Stelle der Fehler - beim Speichern der Aufnahmen oder beim Einlesen, weil einer der Rechner aus dem Internet heraus erreichbar ist, landen diese Datensätze im Internet.

"Bei den Systemen, die ich überprüft habe, hatte ich den Eindruck, dass ich im Zweifelsfall sogar in der Lage wäre, früher als der Arzt auf das Bild zuzugreifen", sagt Dirk Schrader. Er kontaktierte das für IT-Sicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) und Investigativ- und Datenjournalisten des BR. Die Server aus Deutschland sind mittlerweile offline.

Kleiner Fehler, großes Problem für Patienten

Bis heute ist nicht in allen Fällen geklärt, wo der Fehler genau lag. Ein Arzt einer kleineren radiologischen Praxis – dort lagen nur einzelne Patientendatensätze – schloss in einem ersten Telefonat mit den BR-Reportern kategorisch aus, dass der Fehler bei seiner Praxis liegen könnte. Zwei Stunden später meldete er sich erneut und merkte an, dass er den Fehler nun doch gefunden habe. Die Daten fielen beim "Erstellen von speziellen CDs" an und landeten über einen Webserver im Netz. Der Fall zeigt, wie unübersichtlich eine IT-Infrastruktur werden kann, auch in kleineren Praxen. In großen Krankenhäusern sind bis zu 30.000 Rechner im Netzwerk angeschlossen – und ein einziger Fehler kann problematisch sein.

Zum Beispiel bei einem großen bayerischen Universitätsklinikum. Dort wurden Bilder kurzfristig auf einem Rechner gespeichert. Die Daten sollten für eine Studie anonymisiert werden – die Patienten hatten zugestimmt. "Der Rechner wurde jedoch an ein für solche Zwecke nicht zulässiges Netz angeschlossen und war daher über das Internet zugänglich", heißt es in einer schriftlichen Antwort eines Pressesprechers auf BR-Anfrage. Es handelte sich also um eine Fehlkonfiguration.

In den USA ist das Problem besonders groß. Mehr als fünf Millionen Datensätze von Patienten sind nach Auswertungen von ProPublica betroffen. Ein Fall geht zurück auf einen Dienstleister für mobile Radiologie, die Patienten vor Ort besucht, zum Beispiel in Seniorenheimen oder Gefängnissen. Mehr als eine Million dieser Datensätze waren offen im Netz.

Bayerische Datenschutzbehörde prüft

Das Datenleck alarmiert auch den Bundesbeauftragten für Datenschutz, Ulrich Kelber: "Gesundheitsdaten sind besonders sensible personenbezogene Daten. Sie treffen eine Aussage über den engsten Kreis unserer Privatsphäre, das geht niemanden irgendetwas an." Es bestehe die Gefahr einer Diskriminierung, warnt Kelber: "Sie haben eine Krankheit, und jemand nutzt diese Tatsache, dass sie sie haben, gegen sie aus." Ob Unbefugte die medizinischen Datenätze missbräuchlich verwendet haben, ist bislang nicht bekannt.

Im Fall Ingolstadt ist mittlerweile klar, wo der Fehler passierte und wie Katharina Gasparis Daten ins Netz gelangen konnten. Das Bayerische Landesamt für Datenschutz bestätigte, dass ein Computer in einer Arztpraxis falsch konfiguriert gewesen sei und deshalb die Daten von 7.200 Patienten ohne Passwortschutz abrufbar waren. Der Rechner sei inzwischen abgeschaltet worden.

In einer Mail teilte ein Sprecher außerdem mit, dass man sich nun in der Prüfung befinde: "Dies kann von aufsichtlichen Maßnahmen wie einer verbesserten IT-Sicherheit bis hin zur Einleitung eines Bußgeldverfahrens gehen." Die Datenschutzgrundverordnung sieht vor, dass Personen, die von einem Datenleck betroffen sind, von den dafür Verantwortlichen informiert werden müssen, sofern für die Betroffenen ein Risiko entstanden ist. Gut möglich, dass Gaspari und viele andere Patienten also bald Post bekommen.

Die Recherche ist eine Kooperation des Bayerischen Rundfunks mit dem US-amerikanischen Recherchebüro ProPublica.

Team: Pia Dangelmayer, Arne Meyer-Fünffinger, Ulrich Hagmann, Uli Köppen, Steffen Kühne, Verena Nierle, Oliver Schnuck, Josef Streule, Hakan Tanriverdi, Tatjana Thamerus, Maximilian Zierer sowie Jack Gillum, Jeff Kao und Jeff Larson von ProPublica.