Datenleck beim Deutschen Roten Kreuz (DRK) in Brandenburg – mehr als 30.000 Patient*innen betroffen
In zwei Pressemitteilungen des DRK Landesverbands Brandenburg vom 04.02.2020 und vom 05.02.2020 wird das große Ausmaß dieses Datenlecks deutlich: „Von der Sicherheitslücke betroffen waren die Webseiten des DRK-Kreisverbands Märkisch-Oder-Havel-Spree, des Kreisverbands Niederbarnim und des Kreisverbands Uckermark-West/Oberbarnim sowie ein vom DRK-Landesverband Brandenburg betriebenes Erste-Hilfe-Portal. Nach unserer derzeitigen Kenntnis war es Angreifern potenziell möglich, über die Webseite des Kreisverbands Märkisch-Oder-Havel-Spree 111.262 Einsatzdaten von Krankentransporten einzusehen. Über das Erste-Hilfe-Portal des Landesverbands waren zudem personenbezogene Daten von Kursteilnehmern einsehbar. Entgegen vorheriger Annahmen war es zudem unter Umständen möglich, weiterführende Daten aus der Datenbank des DRK-Kreisverbands Märkisch-Oder-Havel-Spree einzusehen, die auch Informationen zu Zielorten des Krankentransports sowie mittelbar zu eventuellen Infektionen und Behandlungen (etwa Dialyse oder Chemotherapie) der beförderten Personen enthielten.“
Während das DRK das Ausmaß des Problems noch mit Formulierungen wie „war es Angreifern potenziell möglich…“ und „…zudem unter Umständen möglich“ zu relativieren versucht, werden Medienberichte deutlicher.
So meldet Tagesschau.de am 05.02.2020: „Daten zu mehr als 30.000 Patienten aus Brandenburg lagen offenbar jahrelang auf einem schlecht gesicherten Server, der vom Deutschen Roten Kreuz (DRK) genutzt wurde. Kriminelle Hacker hätten problemlos auf die Daten zugreifen und sie sogar manipulieren können… Die Reporter konnten die Daten einsehen, die bis ins Jahr 2008 zurückreichen. Sie stammen aus Aufzeichnungen von mehr als hunderttausend Krankentransporten des DRK-Kreisverbands Märkisch-Oder-Havel-Spree, zu dem Orte wie Eisenhüttenstadt, Frankfurt (Oder), Oranienburg und Fürstenwalde gehören. Enthalten sind in etlichen Fällen sensible Patienteninformationen, die Rückschlüsse auf den Gesundheitszustand der Betroffenen ermöglichen, etwa ob der Patient im Rollstuhl sitzt, an einer Viruserkrankung leidet oder ob es sich bei der Fahrt um eine Einweisung in eine psychiatrische Klinik handelt. Hinzu kommen personenbezogene Informationen wie Namen, Adressen und Geburtsdaten der Patienten. Auch personenbezogene Daten von Teilnehmern von Erste-Hilfe-Kursen waren abrufbar. Das Einfallstor war eine Sicherheitslücke auf den Webseiten mehrerer DRK-Kreisverbände in Brandenburg… Bereits im November vergangenen Jahres meldete sich ein 18-jähriger Hacker bei einem der betroffenen DRK-Kreisverbände. Über die Schwachstelle konnte er an Passwörter für Administratoren gelangen, die besonders weitreichende Befugnisse haben. Damit hätte er theoretisch Daten mehrerer DRK-Kreisverbände verändern können. Er reagierte besonnen und wies den Kreisverband auf die Schwachstelle hin. Doch anstatt die Sicherheitslücke komplett zu beseitigen, wurde nur der Zugang zu einer der Seiten gesperrt. Das Problem an sich blieb bestehen… Erschwerend kommt hinzu, dass einer der Administratoren ein besonders leicht zu erratendes Passwort nutzte und dieses auch auf unterschiedlichen Seiten verwendete – auch solchen die nicht mit dem DRK in Verbindung standen… Ob Kriminelle auf die Daten zugegriffen haben, ist bislang unklar. Klar ist: Reporter… fanden Zugangsdaten des DRK-Administrators auf einer türkischsprachigen Webseite für Hacker – veröffentlicht bereits im Jahr 2017. Und auch die besagte Schwachstelle in der Datenbankanfrage findet Erwähnung…“
Der IT-Sicherheitsexperte Martin Tschirsich, der beim CCC-Kongress im Dezember 2019 in Leipzig auf Schwachstellen in der Sicherheit der Telematik-Infrastruktur hinwies, wird von Tagesschau.de mit der Aussage zitiert: “So kommt es, dass es in vielen Organisationen zu wenig qualifiziertes Personal und Budget dafür gibt. Zum anderen ist es dann auch oft noch so, dass jede kleine Einrichtung sich selbst um das Thema kümmern muss, anstatt dass die Kompetenzen irgendwo gebündelt liegen“. Das mache es noch schwieriger, solche Systeme zu sichern.