Magnetresonanztomograph (MRT) | Bildquelle: dpa

Patienteninformationen Wie kamen die Daten ins Netz?

Stand: 17.09.2019 19:50 Uhr

Millionenfach sind sensible Daten von Patienten ungeschützt ins Internet gelangt. Auch Deutsche sind davon betroffen. Die Suche nach dem Leck ist kompliziert.

Von Maximilian Zierer und Hakan Tanriverdi, BR Recherche/BR Data 

Als Katharina Gaspari einen Blick auf ihr Innenleben wirft, lacht sie kurz verstört auf und sagt: "Das gibt's doch nicht." Was bleibt ihr auch anderes übrig als zu lachen? Sie ist hilflos. Denn die Aufnahmen ihrer Wirbelsäule aus dem Magnetresonanztomografen (MRT) waren für sie gedacht. Für sie und die Ärzte, die sie behandelt hatten. Stattdessen lagen die Bilder offen im Netz. Jede Person, die einen Internet-Zugang hat und weiß, wonach sie suchen muss, konnte sie finden.

In einer gemeinsamen Recherche stießen Reporter des Bayerischen Rundfunks (BR) und von ProPublica, einer amerikanischen Plattform für investigativen Journalismus, auf ein Datenleck, das besonders sensible Daten preisgibt: medizinische Untersuchungen. Datensätze von weltweit mehreren Millionen Patienten, die im Internet landeten. Auf Servern, die nicht geschützt waren. Auch 13.000 Datensätze von Patienten aus Deutschland lassen sich in diesem Leck finden.

Datenleck im Gesundheitswesen
Morgenmagazin, 17.09.2019, Josef Streule, BR

Download der Videodatei

Wir bieten dieses Video in folgenden Formaten zum Download an:

Hinweis: Falls die Videodatei beim Klicken nicht automatisch gespeichert wird, können Sie mit der rechten Maustaste klicken und "Ziel speichern unter ..." auswählen.

Video einbetten

Nutzungsbedingungen Embedding Tagesschau: Durch Anklicken des Punktes „Einverstanden“ erkennt der Nutzer die vorliegenden AGB an. Damit wird dem Nutzer die Möglichkeit eingeräumt, unentgeltlich und nicht-exklusiv die Nutzung des tagesschau.de Video Players zum Embedding im eigenen Angebot. Der Nutzer erkennt ausdrücklich die freie redaktionelle Verantwortung für die bereitgestellten Inhalte der Tagesschau an und wird diese daher unverändert und in voller Länge nur im Rahmen der beantragten Nutzung verwenden. Der Nutzer darf insbesondere das Logo des NDR und der Tageschau im NDR Video Player nicht verändern. Darüber hinaus bedarf die Nutzung von Logos, Marken oder sonstigen Zeichen des NDR der vorherigen Zustimmung durch den NDR.
Der Nutzer garantiert, dass das überlassene Angebot werbefrei abgespielt bzw. dargestellt wird. Sofern der Nutzer Werbung im Umfeld des Videoplayers im eigenen Online-Auftritt präsentiert, ist diese so zu gestalten, dass zwischen dem NDR Video Player und den Werbeaussagen inhaltlich weder unmittelbar noch mittelbar ein Bezug hergestellt werden kann. Insbesondere ist es nicht gestattet, das überlassene Programmangebot durch Werbung zu unterbrechen oder sonstige online-typische Werbeformen zu verwenden, etwa durch Pre-Roll- oder Post-Roll-Darstellungen, Splitscreen oder Overlay. Der Video Player wird durch den Nutzer unverschlüsselt verfügbar gemacht. Der Nutzer wird von Dritten kein Entgelt für die Nutzung des NDR Video Players erheben. Vom Nutzer eingesetzte Digital Rights Managementsysteme dürfen nicht angewendet werden. Der Nutzer ist für die Einbindung der Inhalte der Tagesschau in seinem Online-Auftritt selbst verantwortlich.
Der Nutzer wird die eventuell notwendigen Rechte von den Verwertungsgesellschaften direkt lizenzieren und stellt den NDR von einer eventuellen Inanspruchnahme durch die Verwertungsgesellschaften bezüglich der Zugänglichmachung im Rahmen des Online-Auftritts frei oder wird dem NDR eventuell entstehende Kosten erstatten
Das Recht zur Widerrufung dieser Nutzungserlaubnis liegt insbesondere dann vor, wenn der Nutzer gegen die Vorgaben dieser AGB verstößt. Unabhängig davon endet die Nutzungsbefugnis für ein Video, wenn es der NDR aus rechtlichen (insbesondere urheber-, medien- oder presserechtlichen) Gründen nicht weiter zur Verbreitung bringen kann. In diesen Fällen wird der NDR das Angebot ohne Vorankündigung offline stellen. Dem Nutzer ist die Nutzung des entsprechenden Angebotes ab diesem Zeitpunkt untersagt. Der NDR kann die vorliegenden AGB nach Vorankündigung jederzeit ändern. Sie werden Bestandteil der Nutzungsbefugnis, wenn der Nutzer den geänderten AGB zustimmt.

Einverstanden

Zum einbetten einfach den HTML-Code kopieren und auf ihrer Seite einfügen.

Suche nach dem Datenleck

Gaspari begibt sich auf Spurensuche. Sie will wissen, wie ihre Daten ins Netz gelangen konnten: "Eigentlich vertraue ich Ärzten. Aber jetzt weiß ich nicht, ob ich das noch kann." Sie lebt in Ingolstadt, auf einem der Server lagen mehr als 7000 Datensätze von Patienten aus der Region. Es ist eine Suche, die zeigt, durch wie viele Hände solch sensible Daten gehen und wie schwer es sein kann, herauszufinden, wo der Fehler passiert ist.

Die Daten sind personenbezogen: Geburtsdatum, Vor- und Nachname, Untersuchungstermin und Informationen über den behandelnden Arzt oder die Behandlung selbst. Hinzu kommt, dass es in vielen Fällen auch möglich ist, sich die dazugehörigen Bilder anzuschauen. Röntgenaufnahmen und Bilder aus der Computer- oder Magnetresonanztomographie - gestochen scharf.

Wie sich Datensätze von Patienten verbreiten

Wenn Patienten in einer MRT-Röhre untersucht werden, entstehen zwei- und dreidimensionale Bilder vom Körperinneren. Diese Bilder werden von den Geräten auf einen speziellen Server geschickt, der für die Bildarchivierung verwendet wird, ein so genanntes "Picture Archiving and Communication System" (PACS).

Am Ende der Untersuchung bekommen Patienten ihre Aufnahmen häufig auf einer CD oder DVD. So auch Katharina Gaspari. Besucht sie nun einen weiteren Arzt, nimmt sie ihre CD mit. Die Bilder werden eingelesen. Auch hier kommen Server zum Einsatz.

So verbreiten sich die Datensätze. Passiert an einer Stelle der Fehler - beim Speichern der Aufnahmen oder beim Einlesen, weil einer der Rechner aus dem Internet heraus erreichbar ist, landen diese Datensätze im Internet. 

Kleiner Fehler, großes Problem für Patienten

Bis heute ist nicht in allen Fällen geklärt, wo der Fehler genau lag. Ein Arzt einer kleineren radiologischen Praxis - dort lagen nur einzelne Patientendatensätze - schloss in einem ersten Telefonat mit den BR-Reportern kategorisch aus, dass der Fehler bei seiner Praxis liegen könnte. Zwei Stunden später meldete er sich erneut und merkte an, dass er den Fehler nun doch gefunden habe.

Die Daten fielen beim "Erstellen von speziellen CDs" an und landeten über einen Webserver im Netz. Der Fall zeigt, wie unübersichtlich eine IT-Infrastruktur werden kann, auch in kleineren Praxen. In großen Krankenhäusern sind bis zu 30.000 Rechner im Netzwerk angeschlossen - und ein einziger Fehler kann problematisch sein.

Fehlkonfiguration der Rechner

Zum Beispiel bei einem großen bayerischen Universitätsklinikum. Dort wurden Bilder kurzfristig auf einem Rechner gespeichert. Die Daten sollten für eine Studie anonymisiert werden - die Patienten hatten zugestimmt. "Der Rechner wurde jedoch an ein für solche Zwecke nicht zulässiges Netz angeschlossen und war daher über das Internet zugänglich", heißt es in einer schriftlichen Antwort eines Pressesprechers auf BR-Anfrage. Es handelte sich also um eine Fehlkonfiguration.         

Weltkarte mit den vom Datenleck betroffenen Ländern
galerie

Von dem Datenleck betroffen sind Patienten in rund 50 Ländern, vor allem in den USA, Südafrika, der Türkei und Indien.

                                

In den USA ist das Problem besonders groß. Mehr als fünf Millionen Datensätze von Patienten sind nach Auswertungen von ProPublica betroffen. Ein Fall geht zurück auf einen Dienstleister für mobile Radiologie, die Patienten vor Ort besucht, zum Beispiel in Seniorenheimen oder Gefängnissen. Mehr als eine Million dieser Datensätze waren offen im Netz.

Computer offenbar abgeschaltet

Im Fall Ingolstadt ist mittlerweile klar, wo der Fehler passierte und wie Gasparis Daten ins Netz gelangen konnten. Das Bayerische Landesamt für Datenschutz bestätigte, dass ein Computer in einer Arztpraxis falsch konfiguriert gewesen sei und deshalb die Daten von 7200 Patienten ohne Passwortschutz abrufbar waren. Der Rechner sei inzwischen abgeschaltet worden.

In einer Mail teilte ein Sprecher außerdem mit, dass man sich nun in der Prüfung befinde: "Dies kann von aufsichtlichen Maßnahmen wie einer verbesserten IT-Sicherheit bis hin zur Einleitung eines Bußgeldverfahrens gehen." Die Datenschutzgrundverordnung sieht vor, dass Personen, die von einem Datenleck betroffen sind, von den dafür Verantwortlichen informiert werden müssen, sofern für die Betroffenen ein Risiko entstanden ist. Gut möglich, dass Gaspari und viele andere Patienten also bald Post bekommen.

Mehr zum Thema sehen Sie heute Abend um 21:45 Uhr in report München.

Recherche-Kooperation

Die Recherche ist eine Kooperation des Bayerischen Rundfunks mit dem US- amerikanischen Recherchebüro "ProPublica".
Team: Pia Dangelmayer, Arne Meyer-Fünffinger, Ulrich Hagmann, Uli Köppen, Steffen Kühne, Verena Nierle, Oliver Schnuck, Josef Streule, Hakan Tanriverdi, Tatjana Thamerus, Maximilian Zierer sowie Jack Gillum, Jeff Kao und Jeff Larson von ProPublica.

Über dieses Thema berichtete die tagesschau am 17. September 2019 um 17:00 Uhr.

Darstellung: