Krankenwagen des Deutschen Roten Kreuzes (Archivbild) | Bildquelle: picture alliance/dpa

Zehntausende Patienten betroffen Datenleck beim Deutschen Roten Kreuz

Stand: 05.02.2020 17:00 Uhr

Daten zu mehr als hunderttausend Einsatzfahrten des DRK in Brandenburg sind offenbar jahrelang leicht zugänglich gewesen, darunter auch sensible Gesundheitsinformationen von Patienten. Dabei gab es eine frühe Warnung.

Von Haluka Maier-Borst, RBB, sowie Hakan Tanriverdi und Maximilian Zierer, BR

Benötigt die Patientin einen Rollstuhl? Bei welcher Krankenkasse ist sie versichert? Muss sie zur Chemotherapie oder leidet sie an einer psychischen Krankheit? Patienten gehen davon aus, dass medizinische Einrichtungen wie Krankenhäuser oder Fahrdienste mit solchen Informationen sorgsam umgehen.

Doch Daten zu mehr als 30.000 Patienten aus Brandenburg lagen offenbar jahrelang auf einem schlecht gesicherten Server, der vom Deutschen Roten Kreuz (DRK) genutzt wurde. Kriminelle Hacker hätten problemlos auf die Daten zugreifen und sie sogar manipulieren können. Das haben gemeinsame Recherchen von Reportern des BR, des RBB und der "Süddeutschen Zeitung" (SZ) ergeben.

Sensible Daten zu Gesundheitszustand

Mitarbeiter des Deutschen Roten Kreuzes (Archivbild) | Bildquelle: dpa
galerie

Auch Transporte zu Dialysen und Unntersuchungen waren betroffen.

Die Reporter konnten die Daten einsehen, die bis ins Jahr 2008 zurückreichen. Sie stammen aus Aufzeichnungen von mehr als hunderttausend Krankentransporten des DRK-Kreisverbands Märkisch-Oder-Havel-Spree, zu dem Orte wie Eisenhüttenstadt, Frankfurt (Oder), Oranienburg und Fürstenwalde gehören. Enthalten sind in etlichen Fällen sensible Patienteninformationen, die Rückschlüsse auf den Gesundheitszustand der Betroffenen ermöglichen, etwa ob der Patient im Rollstuhl sitzt, an einer Viruserkrankung leidet oder ob es sich bei der Fahrt um eine Einweisung in eine psychiatrische Klinik handelt.

Hinzu kommen personenbezogene Informationen wie Namen, Adressen und Geburtsdaten der Patienten. Auch personenbezogene Daten von Teilnehmern von Erste-Hilfe-Kursen waren abrufbar. Das Einfallstor war eine Sicherheitslücke auf den Webseiten mehrerer DRK-Kreisverbände in Brandenburg.

Warnung schon vor Monaten

Bereits im November vergangenen Jahres meldete sich ein 18-jähriger Hacker bei einem der betroffenen DRK-Kreisverbände. Über die Schwachstelle konnte er an Passwörter für Administratoren gelangen, die besonders weitreichende Befugnisse haben. Damit hätte er theoretisch Daten mehrerer DRK-Kreisverbände verändern können. Er reagierte besonnen und wies den Kreisverband auf die Schwachstelle hin. Doch anstatt die Sicherheitslücke komplett zu beseitigen, wurde nur der Zugang zu einer der Seiten gesperrt. Das Problem an sich blieb bestehen. Deshalb nahm der Hacker Kontakt zu den Reportern auf.

Nach Recherchen von BR, RBB und SZ war es noch bis Mitte Januar möglich, die Schwachstelle auszunutzen. IT-Sicherheitsexperten sprechen von einer "SQL-Injection", einem Hineinschmuggeln von unzulässigen Anfragen. Dabei handelt es sich um eine der ältesten bekannten Lücken für sogenannte SQL-Datenbanken. Erschwerend kommt hinzu, dass einer der Administratoren ein besonders leicht zu erratendes Passwort nutzte und dieses auch auf unterschiedlichen Seiten verwendete - auch solchen die nicht mit dem DRK in Verbindung standen.

Admin-Passwort im Internet aufgetaucht

Über den Zugriff auf Server und Datenbank wäre es dem Hacker theoretisch möglich gewesen, auch Krankentransporte in Echtzeit zu löschen oder zu manipulieren. So lässt sich etwa über das Setzen eines Häkchens bestimmen, dass Fahrer ohne einen Rollstuhl bei einem Patienten ankommen, auch wenn dieser eigentlich einen gebraucht hätte. "Das hätte man alles live machen können", sagt der Hacker im Interview.

Ob Kriminelle auf die Daten zugegriffen haben, ist bislang unklar. Klar ist: Reporter von BR, RBB und SZ fanden Zugangsdaten des DRK-Administrators auf einer türkischsprachigen Webseite für Hacker - veröffentlicht bereits im Jahr 2017. Und auch die besagte Schwachstelle in der Datenbankanfrage findet Erwähnung. Die DRK-Serveradresse wird dabei nicht genannt.

Keine sensiblen Patientendaten?

Das Deutsche Rote Kreuz teilt auf Anfrage mit, man bedauere die Schwachstelle sehr. Man nehme den Vorfall "sehr ernst" und habe deutliche Konsequenzen gezogen, heißt es in einer gemeinsamen Erklärung, die das DRK-Generalsekretariat und der Landesverband Brandenburg nach der Medien-Anfrage von BR, RBB und SZ veröffentlichten. Alle entsprechenden Webseiten seien unverzüglich abgeschaltet worden und man habe eine umfassende externe Prüfung der IT-Sicherheit veranlasst.

Auch die zuständige Landesdatenschutzbehörde sei informiert worden, ebenso das LKA Brandenburg. Zunächst hatte das DRK kommuniziert, es seien "keine Details zu Diagnose oder Transportgrund" der Patienten sichtbar gewesen. Auf Nachfrage hieß es am Mittwoch vom Landesverband Brandenburg, man befinde sich in der Abstimmung mit dem Kreisverband, da "die von Ihnen geschilderten Angaben zu personenbezogenen Diagnosedaten nicht bekannt waren".

Immer wieder Datenlecks im Gesundheitsbereich

Immer wieder kommt es im Gesundheitsbereich zu Problemen mit dem Datenschutz. Erst im vergangenen Jahr hatten Recherchen des BR ein Datenleck mit Millionen Patientendaten aus radiologischen Untersuchungen weltweit aufgedeckt. Den IT-Sicherheitsexperten Martin Tschirsich überrascht diese Häufung nicht. IT-Sicherheit verursache kurzfristig gesehen nur Kosten, sagt er im Interview.

"So kommt es, dass es in vielen Organisationen zu wenig qualifiziertes Personal und Budget dafür gibt. Zum anderen ist es dann auch oft noch so, dass jede kleine Einrichtung sich selbst um das Thema kümmern muss, anstatt dass die Kompetenzen irgendwo gebündelt liegen“, beklagt Tschirsich. Das mache es noch schwieriger, solche Systeme zu sichern. Auch beim Roten Kreuz organisieren Landes- und Kreisverbände ihre Webseiten und Datenbanken in eigener Verantwortung, heißt es in der DRK-Stellungnahme. Rechtlich seien sie "völlig selbständig".

Der DRK-Landesverband Brandenburg hat eine E-Mail-Adresse (datenschutz(at)drk-lv-brandenburg.de) und eine Telefonhotline (0331 2864 113) eingerichtet, an die sich Betroffene wenden können.

Über dieses Thema berichtete Inforadio am 05. Februar 2020 um 17:09 Uhr.

Darstellung: