Wenn Patienten bei Ärzten mehr über den Datenschutz wissen wollen, dann reagieren fast alle Mitarbeiter*innen in den Praxen verärgert. Dieser Fall zeigt, dass hier viel mehr Kontrolle notwendig ist.
Mehrere tausend Patientendaten sind offen im Internet abrufbar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde über diesen Sachverhalt von IT-Sicherheitsforschern informiert und hat daraufhin die betroffenen medizinischen Einrichtungen anhand der ihm vorliegenden IP-Adressen in Kenntnis gesetzt. In drei Fällen konnte das BSI die Einrichtungen direkt kontaktieren, in 14 weiteren Fällen wurden die jeweiligen Internet-Service-Provider gebeten, ihre Kunden anhand der IP-Adressen zu identifizieren und zu informieren. Zudem hat das BSI 46 internationale Partnerorganisationen über den Sachverhalt informiert. Das BSI darf nach derzeitiger Rechtslage diese Daten nicht abrufen oder analysieren, auch nicht um die Betreiber der ungesicherten Webserver zu identifizieren. Nach Einschätzung des BSI sind die Patientendaten zugänglich, weil einfachste IT-Sicherheitsmaßnahmen wie ein Zugriffsschutz durch Nutzername und Passwort oder Verschlüsselung nicht umgesetzt wurden. Dem BSI liegen keine Informationen vor, dass die Patientendaten tatsächlich in krimineller Absicht abgeflossen sind.
Dazu äußert sich BSI-Präsident Arne Schönbohm wie folgt:
„Wenn selbst bei so sensiblen Daten wie Röntgenaufnahmen, Mammografien oder MRT-Bildern grundlegende IT-Sicherheitsmaßnahmen missachtet werden, zeigt das, dass IT-Sicherheit noch immer nicht den Stellenwert einnimmt, den sie verdient. Wir müssen als Gesellschaft begreifen, dass die großen Digitalisierungsprojekte, die uns so viele Vorteile bringen können, nur gelingen werden, wenn sie von Anfang an sicher gestaltet werden. Nur wenn die Bürgerinnen und Bürger Vertrauen in die Sicherheit ihrer Daten haben, wird die Digitalisierung erfolgreich sein.“
Bonn, 17.09.2019