Röntgenaufnahmen und Brustkrebs-Screenings, dazu personenbezogene Informationen wie Name und Geburtsdatum: Hochsensible Daten von Millionen Patienten weltweit sind auf offen zugänglichen Servern gelandet. Auch 13.000 Datensätze aus Deutschland sind betroffen.
Hochsensible medizinische Daten, unter anderem von Patienten aus Deutschland und den USA, sind einem Bericht zufolge auf ungesicherten Servern gelandet. Es geht um die Daten mehrerer Millionen Patienten, wie der Bayerische Rundfunk am Dienstag nach Recherchen des Senders mit der US-Investigativplattform ProPublica berichtete.
Auf die Unterlagen - etwa Brustkrebs-Screenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs oder Herzschrittmacher - habe jeder zugreifen können, so der Bericht.
Vor allem Ingolstädter und Kempener betroffen
In Deutschland sind laut BR-Recherchen mehr als 13.000 Datensätze betroffen, in mehr als der Hälfte sind Bilder enthalten. Sie waren demnach noch bis vergangene Woche zugänglich und stammen von mindestens fünf verschiedenen Standorten. Der größte Teil der Datensätze entfällt auf Patienten aus dem Raum Ingolstadt sowie aus Kempen in Nordrhein-Westfalen, wie die Recherchen ergaben.
Die Bilder seien hochauflösend und mit vielen Informationen versehen, fast alle davon personenbezogen: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst.
Weltweit ist die Dimension demnach deutlich größer. In rund 50 Ländern von Brasilien über die Türkei bis Indien sollen 16 Millionen Datensätze offen im Netz auffindbar sein.
Besonders betroffen seien Patienten aus den USA. Allein bei einem einzelnen Anbieter für radiologische Untersuchungen lagen nach einer Auswertung der US-Investigativplattform ProPublica mehr als eine Million Datensätze von Patienten vor.
Bilder aus dem Körperinneren
Wenn Patienten in einer MRT-Röhre untersucht werden, entstehen zwei- und dreidimensionale Bilder vom Körperinneren. Diese Bilder werden von den Geräten auf einen speziellen Server geschickt, der für die Bildarchivierung verwendet wird, ein so genanntes "Picture Archiving and Communication System" (PACS), wie der BR weiter berichtete. Auch Röntgenaufnahmen und Bilder aus dem Computertomographen landen demnach auf solchen Servern.
Sind die Server nicht ausreichend gesichert, sei es trivial, an die Daten heranzukommen, sagte Dirk Schrader, Experte für Informationssicherheit, dem Sender. Er habe die Investigativ- und Datenjournalisten des Bayerischen Rundfunks kontaktiert, nachdem er weltweit mehr als 2.300 Rechner gefunden hatte, auf denen diese Datensätze lagen.
Datenschutzbeauftragter: "Verheerender erster Eindruck"
Schrader spricht von einem "near realtime-access", einem Zugriff nahezu in Echtzeit. "Bei den Systemen, die ich überprüft habe, hatte ich den Eindruck, dass ich im Zweifelsfall sogar in der Lage wäre, früher als der Arzt auf das Bild zuzugreifen", sagte er.
Journalisten von BR Recherche/BR Data vollzogen das Vorgehen von Schrader nach, wie der Sender mitteilte. Es seien auch stichprobenartig Betroffene kontaktiert worden, um die Echtheit der Daten zu bestätigen.
Der Bundesbeauftragte für Datenschutz, Ulrich Kelber, sprach von einem "verheerenden ersten Eindruck", als ihm die Reporter einen Patientendatensatz in anonymisierter Form gezeigt hatten.
Er warnt vor möglichen Folgen: "Sie möchten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt und ihnen keinen Vertrag oder keinen Kredit gibt." Diese Daten gehörten "nicht in die Hände Dritter". (afp/mcf)
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.