Ingolstadt (DK) Die schlechte Nachricht ereilte den Arzt ausgerechnet an einem Freitag den 13. Am Nachmittag vor sechs Tagen wurde der Mediziner aus dem Raum Ingolstadt informiert, dass sensible Patientendaten auf einem seiner Computer über das Internet offen einsehbar waren.
Zumindest für technisch Versierte, die das nötige Wissen haben, um sich Zugang zu dem betreffenden Rechner zu verschaffen. Die Daten von 7200 Menschen aus der Region waren auf der Festplatte des Computers gespeichert. Einer, der die Lücke für einen Zugriff nutzte, war Andreas Sachs. Der Vizepräsident des Landesamtes für Datenschutzaufsicht tat dies freilich von Amts wegen, nachdem ihm mitgeteilt wurde, dass die Daten ungeschützt seien. "Der Arzt wurde daraufhin natürlich sofort informiert und er hat den Computer ausgeschaltet", versichert Sachs, der im Landesamt auch der Leiter der Abteilung Cybersecurity ist.
Wie gestern bereits berichtet, ist die Unsicherheit des Ingolstädter Rechners Teil eines weltweiten Sicherheitsproblems, das der Bayerische Rundfunk und die US-amerikanische Investigativplattform ProPublica am Montag öffentlich gemacht haben. Demnach standen in zahlreichen Ländern zeitweise 24,5 Millionen Datensätze mit sensiblen, medizinischen Informationen - vor allem Röntgen-, CT- und MRT-Aufnahmen - ungesichert im Netz. In Deutschland waren nach Angaben von Dirk Schrader, Experte für Informationssicherheit der Firma Greenbone Networks rund 10000 Patienten betroffen. Darunter jene 7200, deren Daten auf dem hiesigen PC gespeichert waren.
"Offenbar war der Arbeitsrechner des Arztes falsch konfiguriert", erklärte Sachs gestern auf Anfrage des DONAUKURIER. Eine funktionierende Firewall war offenbar nicht aktiv. Vor solchen Fehlern seien auch die besten Systeme nicht gefeit, erklärt Sachs. "Vereinfacht gesagt, hat der Arzt einfach nur den falschen Knopf gedrückt. "
Mit dem Schließen der Sicherheitslücke ist es freilich nicht getan. Derzeit wird unter anderem anhand der Protokolldateien des betroffenen Computers untersucht, ob sich außer den Spezialisten des Landesamtes sowie des Bundesamt für Sicherheit in der Informationstechnik (BSI) und den Journalisten noch andere Fremde Zugriff auf den Rechner verschafft haben. Oder gar Daten heruntergeladen wurden. Sachs stellt klar: "Es gibt im Augenblick keinen Hinweis, dass es einen missbräuchlichen Zugriff gegeben hat. " Die Untersuchungen dauerten aber noch an.
Vom Ergebnis der Nachforschungen hängt auch ab, ob die Patienten, deren Daten auf dem Rechner lagen, informiert werden, erklärt Sachs. Das geschehe nur, wenn ein "hohes Risiko" festgestellt werde. Sollte sich etwa herausstellen, dass jemand das Datenleck für kriminelle Machenschaften genutzt hat, werde der Arzt dazu verpflichtet, die Betroffenen zu informieren. "Im Augenblick gehen wir davon aber nicht aus", wiederholt Sachs. Sollte die Lücke quasi unbemerkt bestanden haben und jetzt sicher verschlossen sein, werden die Patienten nicht verständigt. "Wer also in den nächsten vier, fünf Wochen keine Post bekommt, kann sicher sein, dass mit seinen Daten nichts passiert ist", erläutert Sachs. Zu klären sei allerdings noch, ob sich der Arzt mit der Sicherheitslücke eventuell strafbar gemacht hat. Aber auch dann würde der Name des Arztes nicht sofort veröffentlicht werden. Grundsätzlich gelte bei so genannten Datenpannen mit einem "normalen Risiko" Vertraulichkeit, erklärt Sachs. Der Datenschutz schützt also auch jemanden, dem ein solcher Fehler unterläuft.
Manch ein Patient fürchtet, dass seine Gesundheitsdaten einer Versicherung zugespielt werden und der Betroffene dann Nachteile beim Abschluss eines Versicherungsvertrags haben könnte. "Wir haben dazu immer wieder Anfragen", sagt Sachs. Diese Sorgen seien aber völlig unbegründet, versichert er. "Jeder Versicherer hat eine Nachweispflicht, woher er seine verwendeten Informationen hat. " Sollte ein Unternehmen dieser Pflicht nicht nachkommen können, drohe ein so "massives Bußgeld", dass sich wohl niemand dem Risiko aussetzen würde, erwischt zu werden. Es seien auch keine Fälle dieser Art in Deutschland bekannt. Dennoch seien gerade medizinische Einrichtungen immer wieder Hackerangriffen ausgesetzt. "Da geht es dann aber meist um Erpressung einer Praxis", sagt der Experte.
Das bestätigt der Ingolstädter Orthopäde Josef Friedl, der mit seinem Kollegen Jürgen Uhrig eine Praxis an der Münchener Straße betreibt. Per E-Mail haben ihm Cyber-Kriminelle vor einigen Jahren einen Virus untergejubelt, der Textdokumente verschlüsseln und erst nach Zahlung eines Lösegeldes wieder lesbar machen sollte. "Es ist unserem IT-Experten gelungen, den Virus zu isolieren", erzählt Friedl. So sei der Praxis kein Schaden entstanden. Allerdings sei ihm dieser Vorfall eine Lehre gewesen. Das Computersystem der Gemeinschaftspraxis sei so umgestellt worden, dass keiner der Rechner mehr mit dem Internet verbunden sei. "Immerhin liegen bei uns die Daten von rund 100000 Patienten", sagt er. Für Datenträger, die von außerhalb in die Praxis kommen - etwa CDs mit Röntgenbildern aus anderen medizinischen Einrichtungen - stehe ein eigener Laptop bereit, der nicht mit anderen Computern verbunden sei. Insgesamt fühle er sich so "ganz gut aufgehoben", sagt Friedl. Er habe auch das Gefühl, dass die allermeisten Kollegen das Thema Datenschutz sehr ernst nehmen. Er sieht deswegen auch nach dem Bekanntwerden des Ingolstädter Datenlecks keine Veranlassung, etwas an der Cybersicherheit seiner Praxis zu ändern.
Informationsveranstaltung für Ärzte geplant
Siegfried Jedamzik, der Vorsitzende des regionalen Praxisnetzes GOIN, war gestern auf einem Kongress in Berlin.Auch dort wurde viel über das Datenleck diskutiert, berichtete er dem DONAUKURIER am Telefon. Der Ingolstädter Arzt musste in der Hauptstadt eine Menge Fragen von Kollegen beantworten. Dass Patientendaten ungesichert im Internet standen, verunsichere verständlicherweise nicht nur Patienten, sondern auch Ärzte. "So etwas darf einfach nicht passieren", sagt Jedamzik. Manche Mediziner seien angesichts der Digitalisierung und dem damit verbundenen Datenaustausch schon länger skeptisch. "Diese Sorgen werden durch so etwas natürlich verstärkt", sagt er. Jedamzik plant deswegen gemeinsam mit dem IT-Chef des Klinikums, Thomas Kleemann, möglichst bald eine Informationsveranstaltung für Ärzte in der Region abzuhalten. "Wir müssen wieder Vertrauen aufbauen", ist er überzeugt. Es gehe darum, zu vermitteln, welche digitalen Schutzvorkehrungen nötig und sinnvoll sind. "Das soll ganz sachlich und ohne Emotion passieren. Wir wollen wieder Ruhe reinbringen. " Auf Nachfrage des DK schätzt Jedamzik, dass es in der Region etwa 700 Arztpraxen gibt, 450000 in ganz Deutschland. Die Panne ist in einer einzigen - "blöderweise in Ingolstadt" - passiert, in allen anderen gab es offenbar keine massiven Probleme. Diese Relation müsse man im Auge behalten. Er sei auch sicher, dass die allermeisten Ärzte ihr internes Computersystem unabhängig vom Internet betreiben (siehe Artikel oben). Wieso es also passieren konnte, dass sensible Patientendaten in einer Praxis auf einem Computer landen, der online ist, sei ihm "ein bisschen rätselhaft". jhh
Johannes Hauser
