![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
[English]Auf ungesch\u00fctzten Servern lagerten Millionen hochsensibler Patientendaten, die auch per Internet abrufbar waren. Das haben Recherchen des BR und der US-Investigativplattform ProPublica ergeben. Auch deutsche Patientendaten sind darunter.<\/p>\n
<\/p>\n
Der Hintergrund des Skandals: Die Aufnahmen, die bei R\u00f6ntgen- und CR- sowie MRT-Untersuchungen anfallen werden von der Ger\u00e4tesoftware auf ein sogenanntes \"Picture Archiving and Communication System\" (PACS) gesichert. Mit auf dem Server landen dann alle Daten des Patienten, die im betreffenden medizinischen Programm f\u00fcr die Untersuchung bekannt sind, und das einschlie\u00dflich der 2- und 3D-Aufnahmen. Die Untersuchungsergebnisse sollen sich ja schlie\u00dflich jederzeit, auch von anderen \u00c4rzten, abrufen lassen. Das Problem: Sind die Server nicht ausreichend, oder \u00fcberhaupt nicht gesch\u00fctzt, und per Internet erreichbar, ist es trivial, auf die Daten der Server zuzugreifen. <\/p>\n Ein vom BR eingeschalteter Experte f\u00fcr Informationssicherheit, Dirk Schrader von Greenbone Networks<\/a>, sagt: \"Bei den Systemen, die ich \u00fcberpr\u00fcft habe, hatte ich den Eindruck, dass ich im Zweifelsfall sogar in der Lage w\u00e4re, fr\u00fcher als der Arzt auf das Bild zuzugreifen.\" Schrader kontaktierte den BR, die seinerseits die Plattform ProPublica mit ins Boot nahm. Insgesamt konnte das Recherchenetzwerk weltweit mehr als 2.300 ungesch\u00fctzte Server mit solchen Datens\u00e4tzen identifizieren. <\/p>\n Eine Auswertung der Datens\u00e4tze zeigte, dass weltweit Millionen Patienten betroffen sind. Laut BR-Recherchen sind mehr als 13.000 Datens\u00e4tze von deutschen Patienten betroffen, wobei in mehr als der H\u00e4lfte der F\u00e4lle Bilder mit den Datens\u00e4tzen gespeichert sind. Diese Datens\u00e4tze waren noch bis vergangene Woche (Mitte September) zug\u00e4nglich und stammen von mindestens f\u00fcnf verschiedenen deutschen Standorten. Der gr\u00f6\u00dfte Teil der Datens\u00e4tze entf\u00e4llt, laut Bericht des BR, auf Patienten aus dem Raum Ingolstadt und aus Kempen in Nordrhein-Westfalen.<\/p>\n Das Recherchenetzwerk hat in Form des BR den Bundesbeauftragten f\u00fcr Datenschutz, Ulrich Kelber, kontaktiert und diesem Datens\u00e4tze vorgelegt. Kelber, spricht von einem \"verheerenden ersten Eindruck\" und warnt vor m\u00f6glichen Folgen: \"Sie m\u00f6chten nicht, dass ein Arbeitgeber, ein Versicherungskonzern, eine Bank diese Daten kennt, und ihnen keinen Vertrag oder keinen Kredit gibt.\" Laut Kelber w\u00fcrden 'diese Daten unsere digitale Identit\u00e4t ausmachen, und geh\u00f6ren nicht in die H\u00e4nde Dritter'.<\/p>\n Sebastian Schinzel, Professor f\u00fcr IT-Sicherheit an der FH M\u00fcnster, spricht ebenfalls von einem \"handfesten Skandal\". Schinzel arbeitet derzeit in einem Projekt des Bundeslandes Nordrhein-Westfalen, die Cybersicherheit f\u00fcr den Gesundheitsbereich zu verbessern. Er wird vom BR folgenderma\u00dfen zitiert: \"Diese Daten sind hochsensibel, und ich m\u00f6chte nat\u00fcrlich auf keinen Fall, dass das im Internet steht, ohne Passwort-Authentifizierung. Ich finde das katastrophal.\" <\/p>\n Laut BR hat der Bundesbeauftragte f\u00fcr Datenschutz, Ulrich Kelber, das BSI kontaktiert, welches 17 F\u00e4llen nachgeht. Aus rechtlichen Gr\u00fcnden darf das BSI nicht auf die Daten zugreifen, sondern muss anhand der IP den Provider kontaktieren. Dieser ermittelt dann wiederum den Betreiber der Server. <\/p>\n Da Patienten in Bayern betroffen sind, ermittelt das Bayerische Landesamt f\u00fcr Datenschutzaufsicht und steht mit dem Betreiber des Servers in Kontakt, so ein Sprecher auf schriftliche Anfrage des BR. Die Datenschutzaufsicht pr\u00fcft nun 'n\u00e4chste Schritte': \"Dies kann von aufsichtlichen Ma\u00dfnahmen wie einer verbesserten IT-Sicherheit bis hin zur Einleitung eines Bu\u00dfgeldverfahrens gehen.\" Der BR hat ihm bekannte Standorte kontaktiert. Mittlerweile sind die Server vom Netz. Es bleibt nun interessant, wie das unter der DSGVO f\u00fcr die Betreiber der Infrastruktur ausgeht \u2013 denn offensichtlich wurden dort die Hausaufgaben nicht gemacht (medizinische Daten sind in Sachen Datenschutz als besonders sensibel eingestuft). <\/p>\n Das ist \u00fcbrigens kein Neuland. 2016 gab es von Oleg Pianykh, Professor f\u00fcr Radiologie an der Harvard Medical School, eine Studie zu ungesch\u00fctzten PACS-Servern<\/a>. Pianykh hatte im Rahmen seiner Studie mehr als 2.700 offene Systeme ausfindig gemacht \u2013 f\u00fcr Deutschland sind in der Studie waren damals 22 + 9 Server aufgef\u00fchrt, die gefunden wurden. Der Professor sagte im Interview mit BR und ProPublica.: \"Wir haben ein Riesenproblem mit medizinischen Ger\u00e4ten, die komplett ungesichert und ungesch\u00fctzt sind. Und irgendjemand, ein x-beliebiger Hacker, kann sich mit diesen Ger\u00e4ten verbinden und die Patientendatens\u00e4tze kompromittieren.\" <\/p>\n Der Skandal: Die Fachkreise nahmen damals die Studie von Pianykh zwar zur Kenntnis. Aber der aktuelle Fall zeigt, das genau nichts passiert ist. Es braucht einen Skandal, damit die Spitze des Eisbergs abgetragen wird.<\/p>\n \u00c4hnliche Artikel: <\/strong> [English]Auf ungesch\u00fctzten Servern lagerten Millionen hochsensibler Patientendaten, die auch per Internet abrufbar waren. Das haben Recherchen des BR und der US-Investigativplattform ProPublica ergeben. Auch deutsche Patientendaten sind darunter.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5535,4328],"class_list":["post-222689","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenleck","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/222689","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=222689"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/222689\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=222689"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=222689"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=222689"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Ich bin beim Fr\u00fchst\u00fcck durch eine Radio-Kurzmeldung auf das Thema aufmerksam geworden. Ein Beitrag von ProPublica in Englisch ist hier abrufbar<\/a>. Der Bayrische Rundfunk (BR) hat das Thema hier auf Deutsch aufbereitet<\/a>. Es handelt sich um Patientendaten, die bei R\u00f6ntgen- und CT- sowie MRT-Untersuchungen angefallen sind. Experten hatten vor Jahren bereits davor gewarnt, weil die Daten ungesichert auf Archiv-Servern gespeichert wurden.<\/p>\n
![\"BR-Artikel](\"https:\/\/i.imgur.com\/PJlBPuN.jpg\"\/ "\\"BR-Artikel")
(Quelle: Screenshot BR-Seite)<\/p>\nProblem: Archivserver f\u00fcr Bilder<\/h2>\n
Auch deutsche Patienten\/innen betroffen<\/h2>\n
Bundesdatenschutzbeauftragter alarmiert<\/h2>\n
Datenschutzaufsicht in Bayern ermittelt<\/h2>\n<\/p>\n
Das 'lange Ende der Geschichte'<\/h2>\n
Patientendaten millionenfach ungesch\u00fctzt im Internet<\/a>
Hacks und Datenlecks im Labor-\/Medizinbereich in den USA<\/a>
Hacker infizieren Medizintechnik (CT, R\u00f6ngen etc.)<\/a>
Medizinger\u00e4te: (Sicherheits-)Risiko Windows 7?<\/a>
Windows XP in Medizinger\u00e4ten als Sicherheitsrisiko<\/a>
Medizintechnik im Internet: Geht aus Sicherheitsgr\u00fcnden nicht<\/a>
US-CERT warnt vor Schwachstellen in Kardioger\u00e4ten<\/a>
Ransomware legt Zahnarzt-Praxen in den USA lahm<\/a>
Sicherheitsinfos zum 1. August 2019<\/p>\n","protected":false},"excerpt":{"rendered":"