Ein Albtraum: Stammdaten und Befunde aller Patienten im Netz. Gesprächsnotizen, Arbeitsverträge, betriebswirtschaftliche Daten, alles zugänglich über eine IP-Adresse. Und die lässt sich leicht finden. Das Leck: eine Gemeinschaftspraxis in Celle. Die Recherchen des c‘t-Magazins beschreiben nicht nur einen weiteren ernsten Datenunfall. Sie führen vor allem zu Fragen, die nach Klärungsbedarf schreien.

Die Celler Arztpraxis hatte einen Telekom-Router im Einsatz, schreibt c‘t. Damit ein Router kommunizieren kann, muss man bei der Installation Ports öffnen. Das habe der Techniker der Praxis getan, z.B. um den VPN-Zugang zugänglich zu machen. Alles ganz vorschriftsmäßig. Was der Techniker nicht getan hatte: prüfen, ob der Router tut, was er tun soll. Das war nämlich nicht der Fall.

Denn die „Digitalisierungsbox Premium“ würde dem Magazin zufolge bei entsprechender Aufforderung nicht nur den ausgewählten Port 443 für den VPN-Zugang freigeben, sondern gleich alle Ports von 440 bis 449. Und damit auch das Standardprotokoll für die Dateifreigabe unter Windows – für die der Techniker der Arztpraxis aber keine Zugriffsrechte eingerichtet hat, da er ja nichts davon wusste. Schwupps, standen 30 000 Patienten nackig im Netz. Eine Kleinstadt sozusagen.

In der aktuellen Firmware sei die Sicherheitslücke gepatcht, habe die Telekom gesagt. Für die älteren Modelle gelte das jedoch nicht. Und wer haftet für Schäden? Nach der DSGVO handelt es sich um einen meldepflichtigen Vorfall. Und die vom Datenleck betroffenen Personen müssen informiert werden. Kommt die Arztpraxis diesen Pflichten nicht nach, drohen ihr hohe Bußgelder. Und wenn sie ihren Pflichten nachkommt?

Es gibt Krankenhäuser, die ihre neue Software erst mal teuren Pentests unterziehen, um kein Risiko einzugehen. Hätte der Arzt als Verantwortlicher vielleicht dem Techniker sagen müssen, dass er die Ports kontrollieren muss? So wie viele Ärzte gerade ihren TI-Anschluss kontrollieren lassen müssen?

Das „Celler Loch“ nannte man übrigens einen 1978 vom Verfassungsschutz vorgetäuschten Anschlag. Erst knappe zehn Jahre später wurde aufgeklärt, wer die Verantwortung dafür trug. Ja, der Vergleich hinkt. Aber auch beim Celler Datenloch geht es um Verantwortung: Wie viel Verantwortung für die Funktion technischer Komponenten und ihren technisch korrekten Einsatz kann man dem Arzt zumuten?

Anouschka Wasner
Redakteurin Gesundheitspolitik