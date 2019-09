Um welche Systeme es sich handelt, gebe Greenbone nur den berechtigten Sicherheits- oder Datenschutz-Behörden preis, hiess es auf Anfrage der Nachrichtenagentur Keystone-SDA.

Greenbone Networks hatte zwischen Juli und September 2019 eine Analyse von rund 2300 mit dem Internet verbundenen Bildarchivierungssystemen (PACS) durchgeführt. Dabei stellten die Sicherheitsexperten fest, dass mehrere hundert Systeme weltweit ohne jegliche Art von Schutz der gespeicherten Daten mit dem öffentlichen Internet verbunden sind. Ein nicht unerheblicher Teil dieser Systeme erlaube auch den Zugriff auf einzelne Bilddaten eines beliebigen Patienten, hiess es im Bericht.

Die Bilder seien hochauflösend und mit vielen Informationen versehen, fast alle davon personenbezogen: Geburtsdatum, Vor- und Nachname, Termin der Untersuchung und Informationen über den behandelnden Arzt oder die Behandlung selbst.

24 Millionen Datensätze weltweit

Greenbone identifizierte demnach 590 Archivsysteme weltweit, die 24,5 Millionen Datensätze preisgeben. Damit sind mehr als 737 Millionen Patientendaten verknüpft, von denen rund 400 Millionen frei einsehbar sind oder heruntergeladen werden können. 39 Systeme erlauben via unverschlüsseltem Webviewer – ohne jeglichen Schutz – Zugriff auf Patientendaten. Betroffen sind 52 Länder weltweit.

In der Summe handelt es sich damit um eine der bisher grössten Datenpannen weltweit. Im Darknet hätte ein solch umfangreiches Datenpaket einen Gegenwert von über einer Milliarde US-Dollar, steht im Bericht.

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) informierte auch die Schweizer Melde- und Analysestelle Informationssicherheit (Melani) über die Datenpanne. Unmittelbar nach dem Eintreffen und der Verifikation der Meldung habe Melani die betroffenen Organisationen informiert, erklärte der stellvertretende Leiter Max Klaus gegenüber der Keystone-SDA. Aktuell seien die Daten vom Internet her nicht mehr abrufbar.

Unklar, ob Schweizer betroffen

Ersten Analysen zufolge seien zwar zwei Systembetreiber in der Schweiz betroffen, die Daten auf den fraglichen Servern gespeichert hatten, die Patientendaten stammten jedoch aus anderen Ländern. Ob allenfalls Schweizer Patientendaten bei anderen Systembetreibern von der Datenpanne betroffen sind, sei derzeit unklar, so Klaus. Die Analyse sei noch im Gange. Die zuständigen Stellen in der Schweiz (EDOEB) würden aber umgehend informiert, sollten Schweizer Patientendaten betroffen gewesen sein.