Datenleck beim Roten Kreuz: Sensible Patienten-Informationen unzureichend geschützt

(3 Bewertungen, 5.00 von 5)

Einzelheiten zu über 100.000 Krankentransporten konnte ein Hacker mühelos aus den Webseiten mehrerer DRK-Kreisverbände in Brandenburg einsehen. Gespeichert waren Namen, Adressen und Krankenkassen der Personen sowie Hinweise auf besondere Erkrankungen. Obwohl der IT-Freak die Seiteninhaber informierte, blieb die Sicherheitslücke noch wochenlang bestehen.

Anzeige

Eindeutiger Hinweis schon im November

Dabei hatte der 18-jährige Hacker den Verantwortlichen sein Vorgehen sogar per Video demonstriert. In dem dreiminütigen Clip ist unter anderem zu sehen, wie er mühelos zur Steuerung der Krankentransporte gelangt. Mit einem Klick hätte er hier Touren manipulieren oder sogar löschen können – beispielsweise eine dringend notwendige Fahrt zu Dialyse oder Chemotherapie. Zwar werden die Diagnosen der Patienten in der Regel nicht im System abgespeichert. In einzelnen Fällen allerdings verraten auch die Hinweise für das Begleitpersonal höchst persönliche Details: Dann zum Beispiel, wenn auf eine psychische Erkrankung oder eine HIV-Infektion aufmerksam gemacht wird.

Datenleck bestand bis Mitte Januar

Einsatzdaten zu insgesamt 111.262 Krankentransporten des Kreisverbandes Märkisch-Oder-Havel-Spree sind von dem Datenleck betroffen. Sie reichen zurück bis ins Jahr 2008. Über die Webseite des DRK-Landesverbandes Brandenburg waren außerdem Daten von Teilnehmern an Erste-Hilfe-Kursen einsehbar. Dabei musste sich der Entdecker des Problems nicht einmal besonders anstrengen. Die übliche Websuche nach Sicherheitslücken und die Verwendung eines gängigen automatisierten Hacker-Tools reichten, um an das Passwort eines Administrators zu gelangen. Dessen Zugangsdaten waren im Übrigen leicht zu erraten und fanden sich bereits 2017 auf einer türkischsprachigen Hackerseite, wie Reporter inzwischen herausgefunden haben. Ob das Datenleck zwischenzeitlich auch von Kriminellen entdeckt und genutzt wurde, ist unbekannt.

Zuständige IT überfordert?

Öffentlich gemacht haben den Vorfall nun Reporter von Süddeutscher Zeitung, BR und RBB. Die hatte der Hacker informiert, nachdem das DRK auf seinen Tipp nicht reagiert hatte. Zwar war eine der betroffenen Seiten gesperrt worden. Doch das Datenleck bestand weiterhin. Auch die Datenschutzbehörde wurde erst jetzt informiert – und nicht, wie in der DSGVO vorgeschrieben, binnen 72 Stunden. Der Landesverband Brandenburg gab gegenüber der Süddeutschen Zeitung an, erst durch die Medien von dem Sicherheitsproblem erfahren zu haben. Von einer Warnung durch Hacker wisse man nichts.

Fazit

Inzwischen hat der DRK-Landesverband Brandenburg reagiert und die entsprechenden Webseiten abgeschaltet. Das Datenleck wurde außerdem der zuständigen Landesbeauftragten für Datenschutz Brandenburg gemeldet. Eventuell betroffene Patienten erhalten weitere Informationen unter der Telefonnummer 0331 2864 113 sowie unter datenschutz@drk-lv-brandenburg.de.

Anzeige
Sagen Sie uns Ihre Meinung zum Thema.
Captcha Aktualisieren
Diese Beiträge könnten Sie ebenfalls interessieren:
Weiterlesen...
Mitarbeiter ausspioniert: 35 Millionen DSGVO-Bußgeld für H&M Jahrelang hat H&M am Standort Nürnberg Gesundheit und Privatleben seiner Angestellten systematisch erfasst. Details zu familiären Hintergründen, persönliche...
Weiterlesen...
Coronavirus: Bundesjustizministerin spricht sich gegen Handyortung aus Um die weitere Verbreitung des Coronavirus zu stoppen, kommt in der Bundesregierung immer wieder das Thema Handyortung auf. Gesundheitsminister Jens Spahn plant...
Weiterlesen...
DSGVO: Umfasst der Auskunftsanspruch auch Kontobewegungen? Mit Artikel 15 der Datenschutz-Grundverordnung (DSGVO) haben Verbraucher ein Auskunftsrecht. Sie können so erfahren, welche personenbezogenen Daten Unternehmen ...
Weiterlesen...
Tracking: Landesbeauftragte prüfen Cookie-Banner von Medienseiten Aus Sicht vieler Verbraucher tun die Hinweise zur Cookie-Nutzung vor allem eines: Sie nerven. Nach der DSGVO allerdings kommt ihnen eine wichtige Aufgabe zu: Di...
Weiterlesen...
ePrivacy-Verordnung: Staaten können sich nicht einigen Eigentlich sollte die ePrivacy-Verordnung zusammen mit der Datenschutz-Grundverordnung (DSGVO) starten und so die ePrivacy-Richtlinie aus dem Jahr 2002 ablösen....
Anzeige DSGVO

Der eRecht24 Newsletter

Immer bestens informiert

Bleiben Sie mit unseren regelmäßigen und kostenlosen Updates zum Internetrecht auf dem neuesten Stand. Infos, Urteile, Checklisten, Sonderangebote.

Hinweis: Sie können den Newsletter von eRecht24  jederzeit und kostenfrei abbestellen. Ihre Daten werden nur zum Versand des Newsletters genutzt. Wir geben Ihre Daten nicht weiter. Mehr Informationen zum Umgang mit Nutzer-Daten finden Sie in unserer Datenschutz-Erklärung.

loading...
Jetzt Premium-Mitglied werden

Ab Heute gestalten Sie Ihre Website ohne Angst vor Abmahnwellen und ohne teuren Anwalt abmahnsicher.

Alle Videos, Live-Webinare, E-Books, Tools und zahlreiche Rabatte.

Jetzt Mitglied werden

Mehr Informationen zu eRecht24 Premium

Impressum-Generator

Keine Chance für Abmahner

Erstellen Sie kostenlos ein rechtssicheres Impressum für Ihre Website.

Jetzt Kostenlos Impressum generieren

Rechtsberatung vom Anwalt

Haben Sie ein konkretes rechtliches Problem? Dann wenden Sie sich bitte einen Anwalt. Auf unseren Seiten finden Sie zahlreiche allgemeine Informationen zum Internetrecht. Fundierte Rechtsberatung im Einzelfall kann allerdings nur ein spezialisierter Rechtsanwalt leisten.

Inhalte kostenlos übernehmen

Der eRecht24 Newsticker

kostenfreie aktuelle Inhalte zum Internetrecht

Individuell für Ihre Website angepasst!

 

SSL-Zertifikate

Steigern Sie das Vertrauen Ihrer Kunden. Für Betreiber von Onlineshops und kommerziellen Webseiten unabdingbar:

SSL-Verschlüsselung, SSL-Zertifikate und Trust-Logos

Rechnungen online erstellen

Erstellen Sie Ihre Rechnungen gemäß den Anforderungen des Finanzamts doch einfach online!

Mit easybill bequem ordnungsgemäße Rechnungen schreiben inkl. digitaler Signatur und Datenexport zum Steuerberater. Anforderungen an korrekte Rechnungen mit Mustern und Beispielen.

IT-Recht endlich verständlich

Autor Sören SiebertSören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.

Er berät Unternehmer, Shops und Seitenbetreiber in allen Fragen des Rechts der neuen Medien.
www.kanzlei-siebert.de

Als Betreiber von eRecht24 ist er seit mehr als 15 Jahren auch als Internet-Unternehmer tätig. Deshalb finden Sie auf eRecht24 Tipps und Tricks eines spezialisierten Rechtsanwalts, aber verständlich und praxisnah erklärt.

SSL-Zertifikate, Code-Signing, S/MIMESuchmaschienoptimierung & OnlinemarketingDatenschutzRechtliche OnlineShop-Prüfung
Anzeige
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Videos und E-Books, Musterverträge und Erstberatung, Tools und Live-Webinare.

Mehr Informationen

dsgvo teaser

DSGVO Schnellstarter-Paket

Das Datenschutzrecht ändert sich ab Mai 2018 vollständig. Sind Sie bereit für die DSGVO? Mit unserem Schnellstarter-Paket sichern Sie Ihre Webseite ab.

Jetzt absichern

webinar teaser

Online Schulung mit Rechtsanwalt Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese schnell, einfach und ohne teuren Anwalt vermeiden. So haben Abmahner bei Ihnen keine Chance!

Mehr Details
Support