Digital
Schweiz

Globale Datenpanne: Millionen hochsensible Patientendaten ungeschützt im Netz

Ärzte verschicken Röntgenbilder per Whatsapp – darum ist das «sehr heikel»
Guckst du oben rechts. Das Bild ist jetzt nicht von mir, sondern aus dem Internet. Das hier ist die digitale Variante. Bei de ...
Millionen Röntgenbilder mit Personendaten (hier unkenntlich gemacht) lagen jahrelang ungesichert im Internet.

Globale Datenpanne: Millionen hochsensible Patientendaten ungeschützt im Netz

Sensible medizinische Daten von Millionen Patienten waren jahrelang ungesichert im Netz gespeichert. Weltweit sind über 24 Millionen Patientendaten betroffen. Es geht unter anderem um Röntgenbilder und MRT-Aufnahmen. Ob Schweizer betroffen sind, ist noch unklar.
17.09.2019, 17:1717.09.2019, 17:50
Mehr «Digital»

Auf die Unterlagen - etwa Brustkrebsscreenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs oder Herzschrittmacher - hätte jeder zugreifen können, wie der Bayerische Rundfunk (BR) am Dienstag nach Recherchen des Senders mit der US-Investigativplattform ProPublica berichtete. In der Schweiz sind laut einem Bericht der Greenbone Networks GmbH zwei Systeme mit 1500 Datensätzen von Patientinnen und Patienten und insgesamt 197'000 Bilder betroffen.

Um welche Systeme es sich handelt, gebe Greenbone nur den berechtigten Sicherheits- oder Datenschutz-Behörden preis, hiess es auf Anfrage der Nachrichtenagentur Keystone-SDA.​

Fotos, Namen, Behandlung ...

Greenbone Networks hatte zwischen Juli und September 2019 eine Analyse von rund 2300 mit dem Internet verbundenen Bildarchivierungssystemen (PACS) durchgeführt. Dabei stellten die Sicherheitsexperten fest, dass mehrere hundert Systeme weltweit ohne jegliche Art von Schutz der gespeicherten Daten mit dem öffentlichen Internet verbunden sind. Ein nicht unerheblicher Teil dieser Systeme erlaube auch den Zugriff auf einzelne Bilddaten eines beliebigen Patienten, hiess es im Bericht.

Die Bilder seien hochauflösend und mit vielen Informationen versehen, fast alle davon personenbezogen: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst.

Datensätze auf Schwarzmarkt über eine Milliarde wert

Greenbone identifizierte demnach 590 Archivsysteme weltweit, die 24,5 Millionen Datensätze preisgeben. Damit sind mehr als 737 Millionen Patientendaten verknüpft, von denen rund 400 Millionen frei einsehbar sind oder heruntergeladen werden können. 39 Systeme erlauben via unverschlüsseltem Webviewer - ohne jeglichen Schutz - Zugriff auf Patientendaten. Betroffen sind 52 Länder weltweit.

In der Summe handelt es sich damit um eine der bisher grössten Datenpannen weltweit. Im Darknet hätte ein solch umfangreiches Datenpaket einen Gegenwert von über einer Milliarde US-Dollar, steht im Bericht.

Unklar, ob Schweizer betroffen

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) informierte auch die Schweizer Melde- und Analysestelle Informationssicherheit (MELANI) über die Datenpanne. Unmittelbar nach dem Eintreffen und der Verifikation der Meldung habe MELANI die betroffenen Organisationen informiert, erklärte der stellvertretende Leiter Max Klaus gegenüber der Keystone-SDA. Aktuell seien die Daten vom Internet her nicht mehr abrufbar.

Ersten Analysen zufolge seien zwar zwei Systembetreiber in der Schweiz betroffen, die Daten auf den fraglichen Servern gespeichert hatten, die Patientendaten stammten jedoch aus anderen Ländern. Ob allenfalls Schweizer Patientendaten bei anderen Systembetreibern von der Datenpanne betroffen sind, sei derzeit unklar, so Klaus. Die Analyse sei noch im Gange. Die zuständigen Stellen in der Schweiz (EDOEB) würden aber umgehend informiert, sollten Schweizer Patientendaten betroffen gewesen sein.

Besonders betroffen von der Datenpanne sind Patienten aus den USA, wie die Recherche von BR und ProPublica ergab. Allein bei einem einzelnen Anbieter für radiologische Untersuchungen lagen nach einer Auswertung der US-Investigativplattform mehr als eine Million Datensätze von Patienten vor.

Sind die Bildarchivierungs-Server nicht ausreichend gesichert, sei es trivial, an die Daten heranzukommen, sagte der Experte für Informationssicherheit Dirk Schrader von Greenbone Networks dem Sender. Er habe die Investigativ- und Datenjournalisten des Bayerischen Rundfunks kontaktiert, nachdem er weltweit mehr als 2300 Rechner gefunden hatte, auf denen diese Datensätze lagen.

Zugriff in Echtzeit

Schrader spricht von einem «near realtime-access», einem Zugriff nahezu in Echtzeit. «Bei den Systemen, die ich überprüft habe, hatte ich den Eindruck, dass ich im Zweifelsfall sogar in der Lage wäre, früher als der Arzt auf das Bild zuzugreifen», sagte er.

Journalisten von BR Recherche/BR Data vollzogen das Vorgehen von Schrader nach, wie der Sender mitteilte. Es seien auch stichprobenartig Betroffene kontaktiert worden, um die Echtheit der Daten zu bestätigen.

Der Bericht zu dem leichtfertigen Umgang mit Patientendaten soll am Dienstagabend um 21.45 Uhr in der Sendung «report München» ausgestrahlt werden.

(oli/sda/afp)

Und nun, Dinge, die Ärzte schon aus den Hintern von Patienten entfernen mussten ...

1 / 26
Rektale Fremdkörper
Oh, ein Vibrator – und das Salatbesteck gleich hintendrein.
Auf Facebook teilenAuf X teilen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
33 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Thomas G.
17.09.2019 17:27registriert März 2019
Informatiker: Das sind sensible Daten! Die müssen wir absichern.
Kunde: Nein nein davon weiss ja niemand. Diese Kosten sparen wir uns.

Das ist die Realität.
2258
Melden
Zum Kommentar
avatar
what's on?
17.09.2019 17:40registriert Juni 2017
Na, die waren ja hoffentlich zertifiziert. Dann kann man den Fehler auf den Prozess schieben und gut ist.
1000
Melden
Zum Kommentar
avatar
Snowy
17.09.2019 18:38registriert April 2016
Friendly reminder warum wir niemals Abstimmungen online durchführen werden.
9614
Melden
Zum Kommentar
33
Europarat nimmt KI-Konvention an – darum hagelte es Kritik
Das KI-Abkommen habe wenig mit europäischen Werten zu tun, wendeten kritische Stimmen im Vorfeld ein. Daran seien vor allem die USA schuld, die die eigene KI-Industrie nicht einschränken wollten.

Der Europarat will mit einer Konvention die Menschenrechte vor dem Missbrauch durch Künstliche Intelligenz (KI) schützen. Die Organisation hofft auf eine weltweite Wirkung – doch es gibt deutliche Kritik.

Zur Story