Waren auch Schweizer Patientendaten im Internet einsehbar?

In rund 50 Ländern von Brasilien über die Türkei bis Indien sollen 16 Millionen medizinischen Datensätze offen im Netz sein. Dies berichtet der Bayerische Rundfunk (BR) am Dienstag nach Recherchen des Senders mit der US-Investigativplattform «Propublica». Besonders viele Daten sind über Patienten aus den USA im Internet einsehbar. 

In der Schweiz sollen zwei nicht näher bezeichnete Systeme mit 1'500 Datensätzen von Patienten und insgesamt 197'000 Bilder betroffen sein. Auf die heiklen Gesundheitsdaten hätte man einfach zugreifen können: Brustkrebs-Screenings, Wirbelsäulenbilder, Röntgenaufnahmen eines Brustkorbs oder Herzschrittmacher. Es ist derzeit aber noch unklar, ob und in welchem Ausmass Schweizer Patientendaten wirklich von der Datenpanne betroffen sind.

Die entsprechenden sensiblen Daten sind laut dem Sender aber fast alle personenbezogen: Geburtsdatum, Vor- und Nachname, Untersuchungstermin und Informationen über den behandelnden Arzt und Spital oder die Behandlung selbst.

Die ungeschützten Daten seien noch bis vergangene Woche zugänglich gewesen, steht im Bericht des Recherche-Netzwerks weiter. Inzwischen ist auf die meisten der ungesicherten Datenbanken kein Zugriff mehr möglich. Bis heute ist zudem nicht in allen Fällen geklärt, wo der Fehler genau lag. Auch nicht, ob die Daten unbefugt abgegriffen wurden.

Auf das Datenleck aufmerksam gemacht hat Dirk Schrader, ein Experte für Informationssicherheit der Firma Greenbone Networks. Er musste sich lediglich eine kostenlose Software herunterladen, die auch medizinisches Personal und Ärzte verwenden und ein wenig recherchieren, wie die Software arbeitet.

Sind die Server nicht ausreichend gesichert, sei es trivial, an die Daten heranzukommen, sagt Schrader dem Sender. Sicherheitsmassnahmen sind etwa Zugriffsschutz durch Passwort oder Verschlüsselung. «Bei den Systemen, die ich überprüft habe, hatte ich den Eindruck, dass ich im Zweifelsfall sogar in der Lage wäre, früher als der Arzt auf das Bild zuzugreifen», so Schrader.

Derweil wurden Behörden in 46 Ländern auf das Datenleck aufmerksam gemacht. Dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten ist der Fall aber nur aus den Medien bekannt. Es gab bislang auch keine Hinweise von möglichen Betroffenen, teilt die Medienstelle auf Anfrage mit.

Auch das Bundesamt für Gesundheit (BAG) wurde von keiner ausländischen Sicherheits- oder Datenschutzbehörde informiert, wie ein Sprecher gegenüber Medinside sagt. Da es sich um ein Datenleck handle, das seinen Ursprung in den Primärsystemen der Spitäler habe, liege dies im Verantwortungsbereich der Kantone. 

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) informierte allerdings bereits die Schweizer Melde- und Analysestelle Informationssicherheit (Melani) über die Datenpanne. Die betroffenen Organisationen seien entsprechend informiert worden.