Symbolbild: Ein Mitarbeiter des Roten Kreuzes sitzt am 23.09.2015 in der Einsatzleitzentrale in der Erste-Hilfe-Station in München (Bayern) vor einem Computer. (Quelle: dpa/Matthias Balk)
Audio: Antenne Brandenburg | 05.02.2020 | Ute Barthel | Bild: dpa/Matthias Balk

Patientendaten in Brandenburg - Das müssen Sie zum DRK-Datenleck wissen

Hochsensible Patientendaten aus über 10 Jahren lagen schlecht gesichert auf einem Server des Deutschen Roten Kreuzes. Betroffen sind mehrere DRK-Verbände in Brandenburg. Was genau bedeutet das für Betroffene? Die wichtigsten Antworten von Haluka Maier-Borst

1. Was genau ist passiert?

Ein Hacker hat herausgefunden, dass die Internetseite des DRK-Kreisverbandes Märkisch-Oder-Havel-Spree ein Einfallstor bietet, um Daten von Servern des Deutschen Roten Kreuzes (DRK) abzugreifen. Als er sich anschaute, was genau er über dieses Einfallstor bekommt, stellte sich heraus, dass er auf Daten zu Krankentransporten zugreifen kann. Diese Daten betreffen über 110.000 Fahrten und mehr als 30.000 Patienten.

2. Wer ist betroffen?

Von der Sicherheitslücke betroffen sind - neben dem Kreisverband Märkisch-Oder-Havel-Spree - die Webseiten der Kreisverbände Niederbarnim und Uckermark-West/Oberbarnim sowie ein vom DRK-Landesverband Brandenburg betriebenes Portal für Erste-Hilfe-Kurse. Vor allem betroffen sind Patienten, die im Osten Brandenburgs wohnen. Die meisten Treffer finden sich für Eisenhüttenstadt, Frankfurt (Oder) und Fürstenwalde, auch weil sie in der Region die größten Städte sind.

Die Karte zeigt aber auch, dass andere Regionen von Brandenburg betroffen sind. Denn wer zum Beispiel einen Kurklinikaufenthalt in Bad Freienwalde (Märkisch-Oderland) hatte, sonst aber in Berlin oder Potsdam wohnt, kann ebenfalls in der Datenbank auftauchen. 

3. Was für Informationen stecken in den Daten?

In den Daten stecken für jeden Patienten und jede Patientin persönliche Angaben wie Vorname, Nachname, Geburtsdatum und Anschrift. Darüber hinaus ist dort festgehalten, wann der Krankentransport stattfand und welche Strecke er genau zurücklegte. In nicht allen, aber etlichen Fällen steht noch weitaus mehr drin: Informationen zu Krankheit oder Behinderung des Patienten und teilweise sogar Krankenkassendaten. Zwar hatte zunächst das DRK erklärt, dass keine diagnosebezogenen Angaben vorhanden seien. Konfrontiert mit den Ergebnissen der Recherche erklärte die Pressesprecherin, dass man nicht vollumfänglich die genaueren Details der Daten kenne, da man sich noch in internen Abstimmungen befinde.

Martin Tschirsich, der sich als IT-Experte mit Gesundheitssystemen auseinandersetzt, schätzt ein solches Datenleck als problematisch ein. "In diesen Daten könnten auch Diagnosen stecken, die Betroffene ganz bewusst nicht jedem mitgeteilt haben, weil sie sich vor Konsequenzen fürchten, also beispielsweise vor Ausgrenzung wegen einer HIV-Infektion. Oder wegen einer ausbleibenden Beförderung im Job bei einer Diagnose für eine chronische Erkrankung", sagt er.

4. Wie konnte das passieren?

Vieles deutet darauf hin, dass die für die IT-Sicherheit zuständigen Personen überfordert waren. Die gefundene Sicherheitslücke gilt als eine der am längsten bekannten für diesen Typ von Datenbanken. Erschwerend kam hinzu, dass einer der Administratoren ein besonders leicht zu erratendes Passwort nutzte und dieses auch auf unterschiedlichen Seiten verwendete.

Tschirsich sagt: "Zum einen verursacht IT-Sicherheit kurzfristig gesehen nur Kosten und so kommt es, dass es in vielen Organisationen zu wenig qualifiziertes Personal und Budget dafür gibt. Zum anderen ist es oft so, dass sich jede kleine Einrichtung selbst darum kümmern muss, anstatt dass die Kompetenzen irgendwo gebündelt liegen. Das macht es noch schwieriger, solche Systeme zu sichern."

5. Was können Betroffene tun?

Betroffene können sie sich direkt an das DRK wenden, denn das kann am besten überblicken, welche Daten zu welcher Person gespeichert sind und ob es einen unerlaubten Zugriff darauf gegeben hat. Der Landesverband Brandenburg hat eine Emailadresse (datenschutz(at)drk-lv-brandenburg.de) und eine Telefonhotline (0331 2864 113) eingerichtet, an die sich Betroffene wenden können. Außerdem ist die Landesdatenschutzbeauftragte für Brandenburg, Dagmar Hartge, eine mögliche Anlaufstelle für Betroffene. Sie kann dabei helfen, deren Rechte gemäß der Datenschutzgrundverordnung durchzusetzen.

"Das kann so weit gehen, dass Betroffene immaterielle Schäden wie Benachteiligung und dergleichen geltend machen und auf Schadensersatz klagen können", sagt IT-Experte Tschirsich. Tatsächlich sei ihm aber bisher kein Fall aus den letzten Jahren bekannt, in dem Betroffene so weit gegangen sind – auch weil eine konkrete Benachteiligung schwierig nachzuweisen sei.

Sendung: Brandenburg Aktuell, 05.02.2020, 19:30 Uhr

Beitrag von Haluka Maier-Borst

Kommentar

Bitte füllen Sie die Felder aus, um einen Kommentar zu verfassen.

Kommentar verfassen
*Pflichtfelder

Mit Nutzung der Kommentarfunktion stimmen Sie unserer Netiquette sowie unserer Datenschutzerklärung (Link am Ende der Seite) zu. Die Redaktion behält sich vor, einzelne Kommentare nicht zu veröffentlichen.

Das könnte Sie auch interessieren