Unsicher konfigurierte Server leaken Daten von Millionen Patienten
Weltweit hätte im Grunde jedermann auf medizinische Daten wie Röntgenaufnahmen zugreifen können. Betroffen sind auch Patienten aus Deutschland.
Rechercheteams des Bayrischen Rundfunks (BR) und der US-Investigativplattform ProPublica sind weltweit auf zahlreiche unsicher konfigurierte Server mit personenbezogenen Patientendaten gestoßen. Über Jahre hinweg hätten Unbefugte darauf zugreifen können. Die Journalisten haben stichprobenartig Betroffene kontaktiert und die Daten für echt eingestuft.
Darunter sollen sich unter anderem Bilder von Brustkrebsscreenings, Wirbelsäulen- und Röntgenaufnahmen befinden. Die hochauflösenden Aufnahmen sind mit personenbezogenen Daten wie Namen und Geburtsdaten versehen sein, berichtet die Tagesschau in einem Beitrag.
Weltweit Patienten betroffen
Insgesamt sollen 16 Millionen Datensätze von Patienten aus 50 Ländern betroffen sein. Allein von einem US-Anbieter für radiologische Untersuchungen lagen mehr als eine Million Datensätze vor.
Hierzulande sind medizinische Daten von rund 13.000 Patienten aus fünf verschiedenen Standorten betroffen. Der Großteil stammt dem Bericht zufolge aus Ingolstadt sowie Kempen in Nordrhein-Westfalen. Mittlerweile sollen die Daten nicht mehr zugänglich sein.
Ursache des Datenlecks
Schuld an den im Grunde für jedermann abrufbaren Daten sind unsicher konfigurierte Picture Archiving and Communication System-Server (PACS). Diese dienen unter anderem als Sammelstelle für Röntgenaufnahmen und Bilder aus der Computertomographie.
Schuld daran ist konkret der aus den 80er Jahre stammende Kommunikationsstandard DICOM (Digital Imaging and Communications in Medicine). Dieser setzt bei der Vernetzung von Medizingeräten unter anderem auf HTTP und das IP-Protokoll. So sind Sicherheitsforscher von Greenbone auf IP-Adressen von öffentlich erreichbaren PACS-Servern gestoßen und konnten zum Teil unverschlüsselt auf Patientendaten zugreifen. Weitere Informationen zu den unsicheren PACS-Servern haben die Sicherheitsforscher in einem ausführlichen Bericht zusammengetragen.
Ungeschützte Server sind leider keine Seltenheit und es kommt immer wieder vor, dass Datenbanken mit personenbezogenen Daten öffentlich über das Internet zugänglich sind. Admins solcher Server sollten unbedingt sicherstellen, dass Daten nur wenn unbedingt notwendig über das öffentliche Internet abrufbar sind. Ist das unabdingbar, müssen Fernzugriffe zwingend mindestens mit einem Passwort gesichert sein. Noch besser ist der Zugriff über eine gesicherte und verschlüsselte VPN-Verbindung. Bei der Übermittlung derart sensibler Daten sollte so etwas eigentlich selbstverständlich sein.
Wer nicht hören will, muss fühlen
Der Bundesbeauftragte für Datenschutz Ulrich Kelber, sprach von einem "verheerenden ersten Eindruck". Nach jetzigem Kenntnisstand seien in Deutschland zwei Krankenhäuser betroffen, sagte Kelber der Deutschen Presse-Agentur. Es müsse nun geklärt werden, ob möglicherweise auch Drittanbieter in der Verantwortung stehen. Es sei nicht ausgeschlossen, dass es hohe Bußgelder geben werde, sagte Kelber.
Bereits 2016 gab es erste Berichte ĂĽber unsicher konfigurierte PACS-Server. Offensichtlich hat das aber niemanden interessiert und die Verantwortlichen haben nicht gehandelt.
Update 14:25 Uhr: Weitere Informationen zu den unsicheren PACS-Servern und Ursachen ergänzt.
(Mit Material der dpa) /
(des)