Informatiker forschen, damit Röntgenbilder nicht im Netz landen

Informatiker forschen : Damit Röntgenbilder nicht im Netz landen

Informatiker des IT-Sicherheitszentrums Cispa arbeiten daran, den Umgang mit Patientendaten sicherer zu machen.

Wenn persönliche Informationen ungewollt ins Internet geraten, ist das für die Betroffenen schon schlimm genug. Wenn es sich dabei um medizinische Daten handelt, wird es besonders kritisch. Damit das Patientengeheimnis auch in einer digitalen Welt bewahrt bleibt, arbeiten Informatiker des Saarbrücker Helmholtz-Zentrums für Informationssicherheit (Cispa) mit Hochdruck daran, den Austausch medizinischer Daten, auch unter Ärzten, sicherer zu machen.

Das jüngste Datenleck macht deutlich, wie wichtig die IT-Sicherheit ist, wenn es um medizinische Daten geht. Informationen von Millionen Patienten weltweit, darunter Röntgenaufnahmen, Mammografien und MRT-Bilder, waren im Internet unverschlüsselt auf nicht gesicherten Servern zugänglich, hatten Recherchen des Bayerischen Rundfunks und des US-amerikanischen Recherchebüros Pro Publica ergeben.

13 000 Datensätze zählten die Journalisten allein in Deutschland. Der größte Teil davon entfiel auf Patienten aus dem Raum Ingolstadt und aus Kempen in Nordrhein-Westfalen. Weltweit sind Millionen Menschen betroffen. Die Server, die Daten von deutschen Patienten beinhalteten, wurden laut BR inzwischen vom Netz genommen. Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zufolge steckt keine kriminelle Absicht hinter der Speicherung der Daten.

Wie genau es zu der Panne kam und wer dafür verantwortlich ist, bleibt vorerst ungeklärt. Für Ninja Marnau vom Saarbrücker Helmholtz-Zentrum für Informationssicherheit steht jedoch fest, dass so etwas nur passieren kann, wenn die Verantwortlichen zu nachlässig mit den ihnen anvertrauten Daten umgehen. „Das Problem ist nicht, dass sich solche Daten mit heutigen Mitteln nicht ausreichend absichern lassen. Hier wurden einfachste Standards der Informationssicherheit nicht eingehalten“, sagt die Wissenschaftlerin, die am Cispa über Datensicherheit forscht.

„Die Server waren nicht einmal mit einem Passwort geschützt und zu allem Überfluss waren die Daten auch nicht verschlüsselt, sodass sie jeder lesen konnte“, so Marnau weiter. Um auf die Daten zugreifen zu können, habe es ausgereicht, die IP-Adresse des Servers zu kennen. Und um diese Adressen herauszufinden, gebe es spezielle Suchmaschinen. „Das ist ungefähr so, als ob man die eigene Haustür den ganzen Tag über offen stehen lässt. Jeder, der die Adresse kennt, kann dann einfach reingehen“, erklärt die Saarbrücker IT-Forscherin.

Marnaus Ansicht nach sollte diese Panne für die Schuldigen schwerwiegende Konsequenzen haben. „Sobald klar ist, wer dafür verantwortlich ist, müssen Geldstrafen verhängt werden, damit es auch wehtut und die Schuldigen in Zukunft sorgsamer mit solch sensiblen Daten umgehen.“

Wie die Wissenschaftlerin erklärt, sei die Sicherheit bei allen personenbezogenen Daten von höchster Wichtigkeit, doch bei Patientendaten seien noch strengere Vorgaben nötig. „Gerade Krankenhäuser müssen besonders aufpassen, dass die Daten nicht in falsche Hände fallen.“ Das bestätigt auch der Bundesbeauftragte für Datenschutz, Ulrich Kelber. „Niemand möchte, dass ein Arbeitgeber, ein Versicherungskonzern oder eine Bank diese Daten kennt, und ihm keinen Vertrag oder keinen Kredit gibt“, so Kelber.

Medizinische Informationen dürfen nicht in die falschen Hände geraten, in den richtigen Händen können sie jedoch Leben retten. Denn wenn Ärzte mit einer Krankheit zu kämpfen haben, können ihnen Untersuchungsergebnisse anderer Patienten helfen. Die Saarbrücker Informatiker suchen daher nach einer Möglichkeit, wie Ärzte medizinische Informationen zu Forschungszwecken untereinander austauschen können, ohne dabei die Persönlichkeitsrechte des Patienten zu verletzen. „Das könnte beispielsweise so aussehen, dass Ärzte, die gerade einen Tumorkranken behandeln, Analysen von Tumorpatienten aus anderen Krankenhäusern erhalten, ohne jedoch identifizierende Informationen über die Patienten zu erfahren“, erläutert Marnau.

Um diesen Austausch unter Medizinern zu ermöglichen, entwickeln die Saarbrücker IT-Sicherheitsforscher im Verbund mit fünf weiteren Zentren der Helmholtz-Gemeinschaft neue Datenschutz-Verfahren für die personalisierte Medizin. „Heute ist es so, dass zwei Menschen mit der gleichen Diagnose auch genau die gleiche Behandlung bekommen, ihnen wird beispielsweise ein Medikament mit demselben Wirkstoff verschrieben.“ Dabei können zwei verschiedene Menschen auf die gleiche Therapie vollkommen unterschiedlich reagieren, so Marnau. „Die personalisierte Medizin will die Behandlung genauer auf den Patienten zuschneiden. Dabei sollen untere anderem Lebensstil, Geschlecht und Alter sowie das Erbgut berücksichtigt werden.“

Dabei werden viele sensible Daten erhoben, die geschützt werden müssen, dem behandelnden Arzt jedoch bei Bedarf zur Verfügung stehen sollen. An Lösungen für dieses Problem arbeiten die Informatiker in einem vor Kurzem neu gegründeten Forschungszentrum in Saarbrücken. Bei ihrer Arbeit stehen das Wohl der Patienten und der Schutz ihrer Privatsphäre im Mittelpunkt, betonen die Forscher.

Mehr von Saarbrücker Zeitung