Interview | IT-Experte zum DRK-Datenleck - "Ein Passwort können Sie tauschen, die Krankengeschichte nicht"

Mi 05.02.20 | 17:00 Uhr
Archivbild: Rettungskräfte rund um einen Rettungswagen bei einem DRK-Einsatz. (Quelle: dpa/B. Beytekin)
Bild: dpa/B. Beytekin

Das Datenleck beim Roten Kreuz betrifft mehrere Brandenburger Kreisverbände. Entgegen den Angaben des DRK, zeigen Recherchen von SZ, BR und rbb|24: Darunter waren auch hochsensible Patientendaten. IT-Experte Tschirsich sieht darin ein großes Problem.

rbb|24: Herr Tschirsich, nach unseren Recherchen lagen teilweise sehr sensible Daten zu über 30.000 Patienten schlecht gesichert auf Servern des Deutschen Roten Kreuzes - entgegen erster Erklärungen auch zu Krankheiten der Betroffenen. Überrascht Sie das?

Martin Tschirsich: Nein, eigentlich nicht. Leider sehen wir immer wieder, dass Daten zur Gesundheit von Patienten schlecht geschützt sind. Insofern ist das aktuelle Datenleck alarmierend, aber nicht einzigartig. Was aber Sicherheitslücken bei Gesundheitsdaten besonders perfide macht, ist, dass die Organisation selbst, also hier das Rote Kreuz, recht wenige Probleme dadurch hat. Für die Patienten jedoch kann das je nach Fall ein sehr großer Eingriff in die informationelle Selbstbestimmung sein.

Warum genau kann ein solches Datenleck so problematisch für die Betroffenen sein?

In diesen Daten könnten auch Diagnosen stecken, die Betroffene ganz bewusst nicht jedem mitgeteilt haben, weil sie sich vor Konsequenzen fürchten. Also beispielsweise: Ausgrenzung bei einer HIV-Infektion. Oder eine ausbleibende Beförderung im Job bei einer Diagnose für eine chronische Erkrankung. Solch ein Leck nimmt den Betroffenen die Kontrolle über solche Informationen. Sie wissen nicht, wer die Daten hat und auch nicht, was damit passiert. Und: Diese Daten bleiben relevant, potenziell für immer. Ein Passwort können sie austauschen, ihre Krankengeschichte nicht. Wenn jemand über ihre Gesundheit Bescheid weiß, dann verändert sich der Wert dieser Information nicht.

Wie kann es überhaupt dazu kommen, dass solche Daten so schlecht geschützt sind?

Zum einen verursacht IT-Sicherheit kurzfristig gesehen nur Kosten. Und so kommt es, dass es in vielen Organisationen zu wenig qualifiziertes Personal und Budget dafür gibt. Zum anderen ist es dann auch oft noch so, dass jede kleine Einrichtung sich selbst um das Thema kümmern muss, anstatt dass die Kompetenzen irgendwo gebündelt liegen. Das macht es noch schwieriger, solche Systeme zu sichern.

Was sollte ein Unternehmen oder eine Organisation wie das Rote Kreuz machen, wenn so eine Sicherheitslücke bekannt wird?

Erstmal sollte man alle betroffenen Systeme vom Netz nehmen und alle damit verbundenen Prozesse stoppen. Als nächstes geht es darum, rauszufinden, wer die Betroffenen sind und welche Daten die Angreifer möglicherweise abgegriffen haben. Die Betroffenen sollten dann darüber informiert werden. Danach geht es darum, die Ursache des Problems genau zu untersuchen. Das kann zum Beispiel heißen, dass auch Systeme verändert werden müssen, die nicht von der aktuellen Sicherheitslücke betroffen waren, aber eine ähnliche Schwachstelle haben. Überhaupt: Das Ganze sollte keine einmalige Reaktion sein. Sicherheit ist ein Prozess und man sollte immer überlegen, wie man so etwas künftig verhindert.

Wie kann man denn so etwas verhindern?

Im Idealfall unterstützt man Leute, die nicht in der eigenen Firma sind und sich mit dem Thema auskennen. Das heißt, es gibt eine klare Anlaufstelle, wo sich Leute, die so eine Sicherheitslücke finden, melden können. Und das geht teilweise so weit, dass gewisse Unternehmen sogar Belohnungen dafür ausschreiben, dass andere Schwachstellen bei ihnen finden. 

Was können im aktuellen Fall die Betroffenen tun?

Sie sollten sich erstmal an das DRK wenden, denn das kann wohl am besten abschätzen, was für Daten es zu jeder Person hat und wer darauf unerlaubt Zugriff hatte. Außerdem könnten Betroffene sich an die Landesdatenschutzbeauftragte wenden, damit ihre Rechte gemäß Datenschutzgrundverordnung vertreten werden. Und im Extremfall kann das so weit gehen, dass Betroffene immaterielle Schäden wie Benachteiligung und dergleichen geltend machen können. Das kann sogar auf eine Klage auf Entschädigung hinauslaufen. Tatsächlich ist mir aber kein Fall bekannt, in dem Betroffene so weit gegangen sind – auch weil eine konkrete Benachteilung oft schwierig nachzuweisen ist.

Vielen Dank für das Gespräch!

Das Interview mit Martin Tschirsich führte Haluka Maier-Borst, rbb|24.

Sendung: Brandenburg Aktuell, 05.02.2020, 19:30 Uhr

Nächster Artikel

Das könnte Sie auch interessieren