#rC3 – IT-Forscher: Hunderttausende Patientendaten im Internet zugänglich

Christian Brodowski (Mitte): "...dann muss man es richtig machen. "

Ab Januar 2021 gibt es die Elektronische Patientenakte. Doch die Daten sind noch immer nicht sicher gespeicherten, zeigten IT-Experten auf der Remote Chaos Experience – kurz #rC3. Darüber berichtete ich für den ARD-Hörfunk.

Christian Brodowski ist Narkosearzt und aktiv im Chaos Computer Club. Sein Urteil über IT-Sicherheitslücken im deutschen Gesundheitsbereich ist verheerend, denn es ist einem Forscherteam gelungen, direkt an Patientenakten zu kommen:

Bei Narkosen oder Operationen ist es so: Das sind Alles-oder-Nichts-Dinge. Entweder man macht sie oder man macht sie nicht. Und wenn man sie macht, dann muss man es richtig machen. Und da sehe ich einen großen Unterschied zur IT oder speziell auch zur Gesundheits-IT, wo wir nicht sensible Patienten vor uns haben, sondern sensible Daten.

Christian Brodowski, Narkosearzt

Christian Brodowski stellt mit dem Team zusammen mehrere Sicherheitslücken auf dem digitalen Hackerkongress rC3 vor. Mit dabei ist auch Christoph Saatjohann von der Fachhoschule Münster. Er hat sich die Vernetzung der Arztpraxen untereinander genauer angeschaut, mit der ab nächster Woche die Elektronische Patientenakte startet.

.. und zwar quasi von außen, als Angreifer. Was kann der Angreifer machen, wenn er nur Internetzugriff hat, wenn er keinen Praxiszugriff hat, sondern nur versucht von außen an der Praxis anzuklopfen.

Christoph Saatjohann, Fachhoschule Münster

Dabei entdeckten die IT-Sicherheitsforscher ein Teamportal und darin konnten sie auf Session-IDs – also Sitzungsnummer – zurückgreifen, erzählt Christoph Saatjohann:

Das heißt, wenn man diese Session-ID übernommen hat in seinen Browser und dann dieses Teamportal angesurft hat, war man direkt eingeloggt – und zwar eingloggt als Arzt.

Christoph Saatjohann, Fachhoschule Münster

Und dann konnten die IT-Sicherheitsforscher genau das sehen, was sonst nur der Arzt sehen darf: Röntgenbilder, Befunde und Arztbriefe.

Sechs Medizinische Versorgunszentren wurden in Deutschland entdeckt, bei denen dieser Angriff funktioniert, sagt Christoph Saatjohann:

Das klingt erstmal nicht viel. Sechs ist nicht viel. Klar. Aber es waren große MVZs mit zehn oder mehr Behandlern, mehrere Standorte, wo dann dieser zentrale Server stand, wo alle Daten gespeichert wurden.

Christoph Saatjohann, Fachhoschule Münster

Doch beim genaueren Hinschauen stellten die Forscher fest, dass die Daten weit zurückreichen, erklärt Christoph Saatjohann:

Wir haben Daten von 2014 und teilweise von 2012 entdeckt. Das heißt, wenn man das hochrechnet auf diese sechs verschiedenen MVZs kommt man schnell auf hunderttausende oder sogar Millionen Untersuchungen und dementsprechend auch Patientendaten, die offen im Internet einsehbar waren.

Christoph Saatjohann, Fachhoschule Münster

Bereits vor kurzem hatten die Forscher von der FU Münster 29 Fälle veröffentlicht, bei denen sie die sogenannte Telematikinfrastruktur – die Verenetzung der Arztpraxen – austricksen konnten. Sie hatten sich dabei als Arztpraxis ausgegeben und Zugriff auf die Patientenakten bekommen.

Author: Michael Voß