Hannover

Es ist ein weltweiter Datenskandal in der Gesundheitsbranche. Wie der Bayerische Rundfunk in Kooperation mit dem US-Rechercheportal Pro Publica herausgefunden hat, sind insgesamt etwa 16 Millionen Patientendatensätze ungeschützt ins Netz gelangt. Darunter sind sensible medizinische Daten wie Röntgenaufnahmen oder Informationen über die Behandlung selbst. Wie können Server mit hochsensiblen Daten so schlecht geschützt sein? Und wem nützen diese Informationen?

Hauptgrund: Server unzulänglich geschützt

Es ist unverzeihlich, dass hochsensible Gesundheitsdaten frei im Netz verfügbar sind. Christoph Meinel, Direktor des Hasso-Plattner-Instituts

Während weltweit Millionen Datensätze betroffen sein sollen, sind es in Deutschland laut dem BR rund 13.000. Hauptsächlich seien nicht ausreichend gesicherte Server schuld. Denn dem Vernehmen nach hat es nicht ein einzelnes großes Datenleck gegeben, sondern eine Vielzahl von ungeschützten Servern.

„Es ist unverzeihlich, dass hochsensible Gesundheitsdaten frei im Netz verfügbar sind. Diejenigen, die solche Daten speichern, müssen die besten und modernsten Schutzvorkehrungen treffen und sonst mit empfindlichen Strafen rechnen“, sagt Christoph Meinel, Direktor des Hasso-Plattner-Instituts, gegenüber dem RedaktionsNetzwerk Deutschland (RND). Gerade Gesundheitsdaten müssten besonders geschützt werden, da sie nicht nur über den Einzelnen, sondern in bestimmten Fällen sogar über mögliche Nachkommen Auskunft geben könnten.

Gesetz: Unternehmen müssen ihre Server schützen

Die Gesetzeslage ist eindeutig: Unternehmen sind im Rahmen der Datenschutz-Grundverordnung dazu verpflichtet, selbst darauf zu achten, dass ihre Server ausreichend gesichert sind. „Viele sogenannte Praxisserver waren einfach im Internet auffindbar, sie waren von keiner Firewall geschützt – das ist ein technischer Verstoß, der mit einem Bußgeld geahndet werden kann“, berichtet Andreas Sachs, Vizepräsident des Bayerischen Landesamts für Datenschutzaufsicht, gegenüber dem RND.

Oft seien es Versehen oder Unwissenheit, die dafür sorgen, dass Server nicht ausreichend gesichert werden. „Für ein Flächenscanning zur Überprüfung fehlen schlichtweg die Kapazitäten“, sagt Sachs. Er erzählt von einem Arzt aus Bayern, der seinen Server unwissentlich falsch konfiguriert hätte. So sei sein Server ohne Passwort zu erreichen gewesen. „Hier wird nun geprüft, ob ein hohes Risiko besteht, dass ungewollte Zugriffe vorliegen. Dann müsste der Arzt betroffene Patienten informieren.“

Warum sind die Daten interessant?

Ob es nun um sensible Gesundheitsdaten geht oder um persönliche Daten wie Namen, Geburtsdaten und Anschriften – die Daten sind für Kriminelle interessant. Die Motivation von Hackern sei meist Geld, sagt Sachs. „Sie könnten Nutzer oder Unternehmen anonym kontaktieren und erpressen. Solche Fälle der Cyberkriminalität sind uns in Deutschland aber bisher nicht bekannt.“ Auch beim Versuch, Daten an Unternehmen beispielsweise zu Werbezwecken zu verkaufen, sollten Datendiebe scheitern: Unternehmen hätten eine Nachweispflicht, wie sie ihre Daten erheben. „Wenn herauskommt, dass Nutzerdaten illegal erworben wurden, drohen hohe Bußgelder – das wissen die Unternehmen.“

Einige Hacker würden Daten auch nur stehlen, um auf gewisse Missstände hinzuweisen. Dennoch sei auch dieser Sachverhalt strafbar. „Wenn jemand ungeschützte Daten findet und einfach bei Facebook postet, ist das eine Straftat. Richtig wäre, es der zuständigen Behörde zu melden", sagt Sachs.

Mehrere E-Mail-Adressen und Recht auf Auskunft nutzen

Auch wenn eine komplette Absicherung schwierig ist, kann jeder zumindest selbst etwas Präventionsarbeit leisten. „Wem gebe ich welche Daten? Das sollte ich mich fragen“, meint Sachs. Der Datenschutzexperte empfiehlt zudem, mehrere E-Mail-Adressen zu nutzen. „Am besten zum Einkaufen in Onlineshops eine andere Adresse benutzen als für soziale Medien oder berufliche Kontakte.“

Des Weiteren würden viel zu wenige Nutzer ihr Recht auf Auskunft nutzen. Unternehmen seien dazu verpflichtet, Auskunft über ihre Datennutzung zu geben. „Wer sich unsicher ist, wo und wie seine Daten genutzt werden, kann einfach nachfragen – das gilt auch mit wenigen Ausnahmen für Arztpraxen“, rät Sachs.

Von David Sander/RND/RND