Ein Mitarbeiter des Deutschen Roten Kreuzes telefoniert am 23.09.2015 in der Einsatzleitzentrale in der Erste-Hilfe-Station in München (Bayern). (Quelle: dpa/Matthias Balk)
Video: Brandenburg Aktuell | 05.02.2020 | Piwon/Meier-Borst/Tanriverdi/Zierer | Bild: dpa/Matthias Balk

Landesverband Brandenburg - 30.000 Patienten betroffen: Riesiges Datenleck beim Deutschen Roten Kreuz

Daten zu mehr als hunderttausend Einsatzfahrten des DRK in Brandenburg lagen offenbar jahrelang auf einem schlecht gesicherten Server, darunter auch sensible Angaben zum Zustand der Patienten. Dabei wurde früh gewarnt. Von H. Maier-Borst, H. Tanriverdi, M. Zierer

Benötigt die Patientin einen Rollstuhl? Bei welcher Krankenkasse ist sie versichert? Muss sie zur Chemotherapie oder leidet sie an einer psychischen Krankheit? Patienten gehen davon aus, dass medizinische Einrichtungen wie Krankenhäuser oder Fahrdienste mit solchen Informationen sorgsam umgehen.

Doch Daten zu mehr als 30.000 Patienten aus Brandenburg lagen offenbar jahrelang auf einem schlecht gesicherten Server, der vom Deutschen Roten Kreuz (DRK) genutzt wurde. Kriminelle Hacker hätten problemlos auf die Daten zugreifen und sie sogar manipulieren können. Das haben gemeinsame Recherchen von BR, rbb|24 und der "Süddeutschen Zeitung" ergeben.

Namen, Adressen, Gesundheitszustand

Die eingesehenen Daten reichen bis ins Jahr 2008 zurück. Sie stammen aus Aufzeichnungen von mehr als hunderttausend Krankentransporten des DRK-Kreisverbandes Märkisch-Oder-Havel-Spree, zu dem Orte wie Eisenhüttenstadt, Frankfurt (Oder), Oranienburg und Fürstenwalde gehören. Enthalten sind in etlichen Fällen sensible Patienteninformationen, die Rückschlüsse auf den Gesundheitszustand der Betroffenen ermöglichen, etwa ob der Patient im Rollstuhl sitzt, an einer Viruserkrankung leidet oder ob es sich bei der Fahrt um eine Einweisung in eine psychiatrische Klinik handelt.

Hinzu kommen personenbezogene Informationen wie Namen, Adressen und Geburtsdaten der Patienten. Auch personenbezogene Daten von Teilnehmern von Erste-Hilfe-Kursen waren abrufbar. Das Einfallstor war eine Sicherheitslücke auf den Webseiten mehrerer DRK-Kreisverbände in Brandenburg.

Warnung schon vor Monaten

Bereits im November vergangenen Jahres meldete sich ein 18-jähriger Hacker bei einem der betroffenen DRK-Kreisverbände. Über die Schwachstelle konnte er an Passwörter für Administratoren gelangen, die besonders weitreichende Befugnisse haben. Damit hätte er theoretisch Daten mehrerer DRK-Kreisverbände verändern können. Er reagierte besonnen und wies den Kreisverband auf die Schwachstelle hin. Doch anstatt die Sicherheitslücke komplett zu beseitigen, wurde nur der Zugang zu einer der Seiten gesperrt. Das Problem an sich blieb bestehen. Deshalb nahm der Hacker Kontakt zu den Reportern auf.

Nach Informationen von BR, rbb|24 und SZ war es noch bis Mitte Januar möglich, die Schwachstelle auszunutzen. IT-Sicherheitsexperten sprechen von einer "SQL-Injection", einem Hineinschmuggeln von unzulässigen Anfragen. Dabei handelt es sich um eine der ältesten bekannten Lücken für sogenannte SQL-Datenbanken. Erschwerend kommt hinzu, dass einer der Administratoren offenbar ein besonders leicht zu erratendes Passwort nutzte und dieses auch auf unterschiedlichen Seiten verwendete.

Admin-Passwort im Internet aufgetaucht

Über den Zugriff auf Server und Datenbanken wäre es dem Hacker theoretisch möglich gewesen, auch Krankentransporte in Echtzeit zu löschen oder zu manipulieren. So lässt sich etwa über das Setzen eines Häkchens bestimmen, dass Fahrer ohne einen Rollstuhl bei einem Patienten ankommen, auch wenn dieser eigentlich einen gebraucht hätte. "Das hätte man alles live machen können", sagt der Hacker.

Ob Kriminelle auf die Daten zugegriffen haben, ist bislang unklar. Klar ist: Zugangsdaten des DRK-Administrators waren den Recherchen zufolge auf einer türkischsprachigen Webseite für Hacker zu finden –  veröffentlicht bereits im Jahr 2017. Und auch die besagte Schwachstelle in der Datenbank-Anfrage findet Erwähnung. Die DRK-Serveradresse wird dabei nicht genannt. Der zuständige Administrator nutzte dieselbe Kombination aus Nutzername und Kennwort offenbar, um weitere Webseiten zu verwalten, die nicht mit dem DRK in Verbindung standen.

Keine sensiblen Patientendaten?

Das Deutsche Rote Kreuz teilte auf Anfrage mit, man bedauere die Schwachstelle sehr, nehme den Vorfall "sehr ernst" und habe deutliche Konsequenzen gezogen, heißt es in einer gemeinsamen Erklärung, die das DRK-Generalsekretariat und der Landesverband Brandenburg am Dienstag veröffentlichten. Alle entsprechenden Webseiten seien unverzüglich abgeschaltet worden und man habe eine umfassende externe Prüfung der IT-Sicherheit veranlasst.

Auch die zuständige Landesdatenschutzbehörde sei informiert worden, ebenso das LKA Brandenburg. Zunächst hatte das DRK kommuniziert, es seien "keine Details zu Diagnose oder Transportgrund" der Patienten sichtbar gewesen. Auf Nachfrage hieß es am Mittwoch vom Landesverband Brandenburg, man befinde sich in der Abstimmung mit dem Kreisverband, da "die von Ihnen geschilderten Angaben zu personenbezogenen Diagnosedaten nicht bekannt waren".

Datenlecks im Gesundheitsbereich keine Seltenheit

Immer wieder kommt es im Gesundheitsbereich zu Problemen mit dem Datenschutz. Erst im vergangenen Jahr hatten Recherchen des BR ein Datenleck mit Millionen Patientendaten aus radiologischen Untersuchungen weltweit [br.de] aufgedeckt.

Den IT-Sicherheitsexperten Martin Tschirsich überrascht diese Häufung nicht. IT-Sicherheit verursache kurzfristig gesehen nur Kosten, sagt er im Interview. "Und so kommt es, dass es in vielen Organisationen zu wenig qualifiziertes Personal und Budget dafür gibt. Zum anderen ist es dann auch oft noch so, dass jede kleine Einrichtung sich selbst um das Thema kümmern muss, anstatt dass die Kompetenzen irgendwo gebündelt liegen." Das mache es noch schwieriger, solche Systeme zu sichern.

Auch beim Roten Kreuz organisieren Landes- und Kreisverbände ihre Webseiten und Datenbanken in eigener Verantwortung, heißt es in der DRK-Stellungnahme. Rechtlich seien sie "völlig selbständig".

Der DRK-Landesverband Brandenburg hat eine E-Mailadresse (datenschutz(at)drk-lv-brandenburg.de) und eine Telefonhotline (0331 2864 113) eingerichtet, an die sich Betroffene wenden können.

Sendung: Abendschau, 05.02.2020, 19:30 Uhr

Kommentar

Bitte füllen Sie die Felder aus, um einen Kommentar zu verfassen.

Kommentar verfassen
*Pflichtfelder

Mit Nutzung der Kommentarfunktion stimmen Sie unserer Netiquette sowie unserer Datenschutzerklärung (Link am Ende der Seite) zu. Die Redaktion behält sich vor, einzelne Kommentare nicht zu veröffentlichen.

Das könnte Sie auch interessieren

Bild in groß
Bildunterschrift