Zum Inhalt springen

Das Deutsche Rote Kreuz (DRK) Brandenburg hat über mehrere Jahre sensible Gesundheitsdaten von Patient_innen kaum geschützt auf einem Server abgelegt. Hacker hätten einfach auf diese sensiblen Daten zugreifen und sie sogar manipulieren können. Betroffen sind Daten zu mehr als 111.000 Einsatzfahrten des DRK für über 30.000 Patient_innen aus den letzten 12 Jahren.

Datenleck beim DRK Brandenburg – bist Du betroffen?

Entdeckt hatte ein 18-jähriger Hacker die Sicherheitslücke laut einem Artikel von tagesschau.de schon im November 2019. Er fand die Passwörter von Administratoren und konnte damit nicht nur auf die Daten mehrerer DRK-Kreisverbände zugreifen, sondern hätte diese theoretisch auch verändern können.
Obwohl er die Schwachstelle an den Kreisverband meldete, sperrte dieser nur den Zugang zu einer der Seiten. Das eigentliche Problem wurde aber zunächst nicht gelöst, sodass der Zugang laut Recherchen von BR, RBB und SZ noch bis Mitte Januar 2020 offen war.

Eine Pressemitteilung des DRK Brandenburg bestätigt die Vorwürfe und gibt an, die Sicherheitslücke sei mittlerweile vollständig geschlossen.

Welche Daten sind betroffen?

#

Laut einem Beitrag von rbb24 enthielten die Datenbanken in jedem Fall die folgenden Daten zu jeder Patient_in:

  • Vor- und Nachname
  • Geburtsdatum
  • Anschrift
  • Zeitpunkt und Strecke des Krankentransports

In einigen, aber nicht allen Fällen seien darüber hinaus auch Informationen zu Krankheiten oder Behinderung der Patient_in und teilweise sogar Krankenkassendaten enthalten gewesen.

Das DRK Brandenburg gibt in seiner Pressemitteilung zwar an, es seien „jedoch keine Details zu Diagnose oder Transportgrund“ sichtbar gewesen. Martin Tschirsich, IT-Experte, der etwa auch im Rahmen des Chaos Communication Congress Vorträge zu Gesundheit und IT hält, ordnet die Lage im Interview mit rbb24 aber anders ein:

In diesen Daten könnten auch Diagnosen stecken, die Betroffene ganz bewusst nicht jedem mitgeteilt haben, weil sie sich vor Konsequenzen fürchten. Also beispielsweise: Ausgrenzung bei einer HIV-Infektion. Oder eine ausbleibende Beförderung im Job bei einer Diagnose für eine chronische Erkrankung. Solch ein Leck nimmt den Betroffenen die Kontrolle über solche Informationen. Sie wissen nicht, wer die Daten hat und auch nicht, was damit passiert. Und: Diese Daten bleiben relevant, potenziell für immer. Ein Passwort können sie austauschen, ihre Krankengeschichte nicht. Wenn jemand über ihre Gesundheit Bescheid weiß, dann verändert sich der Wert dieser Information nicht.

Wie erfahre ich, ob ich betroffen bin?

#

Laut dem DRK Brandenburg sind die folgenden Kreisverbände betroffen: Märkisch-Oder-Havel-Spree, Niederbarnim und Uckermark-West/Oberbarnim
Darüber hinaus sei das vom DRK-Landesverband Brandenburg betriebene Erste-Hilfe-Portal betroffen, über das Anmeldungen zu Erste-Hilfe-Kursen verwaltet werden.

Wenn Du wissen möchtest, ob Du konkret betroffen bist, kannst Du Dich an den DRK-Landesverband Brandenburg wenden. Wir empfehlen Dir, in dem Zuge auch gleich von Deinen DSGVO-Rechten Gebrauch zu machen und Auskunft über die zu Dir gespeicherten Daten zu verlangen.

Hierbei wollen wir Dir helfen. Wir sind ein gemeinnütziger Verein, der sich für Dein Recht auf Datenschutz einsetzt. Wir haben schon eine Anfrage an das Deutsche Rote Kreuz für Dich vorbereitet. Darin bitten wir für Dich zum einen um Auskunft nach Art. 15 DSGVO und fragen zum anderen, ob Du von dem Datenleck betroffen bist. Du brauchst nur noch Deine Identifikationsdaten einzutragen und schon kannst Du die Anfrage einfach per E-Mail verschicken. Das ist natürlich kostenlos für Dich.

Alternativ hat das DRK Brandenburg auch eine Telefonhotline eingerichtet, an die Du Dich mit Fragen wenden kannst: +49 331 2864 113

Die E-Mail verschickst Du dabei selbst mit Deinem E-Mail-Programm. Wir bekommen Deine Daten nicht zu sehen: Alles, was Du hier auf der Seite eingibst, wird nur lokal auf Deinem Rechner verarbeitet und nie an uns übertragen.

Für die Antwort hat das DRK Brandenburg einen Monat Zeit. Danach darfst Du Dich bei einer Datenschutz-Aufsichtsbehörde beschweren. Sollte es dazu kommen, können wir Dir auch dabei helfen, wie wir in dem entsprechenden Artikel erklären.

geschrieben von Benjamin Altpeter
am
veröffentlicht unter: Creative Commons Namensnennung 4.0 International Lizenz

Titelfoto angepasst nach: „red vehicle in timelapse“ von camilo jimenez (Unsplash-Lizenz)