Wie Recherchen von ProPublica und des Bayerischen Rundfunks ergeben haben, waren jahrelang rund 16 Millionen Patientendatensätze frei im Internet zugänglich. Jedermann konnte sich Zugang zu den sensiblen Daten verschaffen.
Die Datensätze enthielten dabei vor allem Röntgen-, MRT- und CT-Aufnahmen. Neben diesen war auch der Zugriff auf die persönlichen Daten der Betroffenen möglich – so lagen etwa Namen, Adressen und Geburtsdaten offen. Gespeichert waren die sensiblen Daten auf sogenannten PACS-Servern. Auf derartigen Servern werden medizinische Aufnahmen, die im Rahmen bildgebender Verfahren gewonnen werden, gespeichert.
Dass diese Server nicht sonderlich gut gesichert sind, ist bereits seit längerer Zeit bekannt. So machte etwa Prof. Dr. Oleg Pianykh, Professor für Radiologie an der Harvard Medical School bereits im Jahr 2016 auf Missstände aufmerksam. Reagiert wurde allem Anschein nach nicht. Sprach Pianykh 2016 noch von 2.700 zugänglichen Datensätzen, ist heute die Rede von mehr als 16 Millionen. Rund 13.000 dieser Datensätze stammen von Patientinnen und Patienten aus Deutschland.
Der Sicherheitsexperte Dirk Schrader hatte die Journalisten, die in der Angelegenheit recherchierten, auf die Missstände aufmerksam gemacht und überdies das Bundesamt für Sicherheit in der Informationstechnik informiert. Letzteres hat Kontakt zu drei betroffenen Einrichtungen aufgenommen und einige betroffene Provider informiert. Darüber hinaus setzte es sich mit IT-Sicherheitsbehörden in 46 anderen Ländern in Verbindung.
Nach der Datenschutzgrundverordnung müssen Personen, deren Daten von Sicherheitspannen betroffen sind, von den verantwortlichen Serverbetreibern informiert werden. Ob, wann und in welcher Form das tatsächlich geschehen wird, ist bisher unklar. Die deutsche Politik hat sich indes bereits geäußert und mahnte einen strengen Umgang mit sensiblen Daten an.
