Datenleck beim Deutschen Roten Kreuz

Patienten setzen voraus, dass ihre persönlichen Daten, speziell bei medizinischen Einrichtungen wie Krankenhäuser, sicher abgespeichert werden. Deswegen schockiert die Nachricht, dass beim Deutschen Roten Kreuz (DRK) mehr als 30.000 Patientendaten jahrelang leicht für Hacker zugänglich war, umso mehr.

Genauer gesagt, waren Informationen der Patienten aus Brandenburg im Kreisverband Märkisch-Oder-Havel-Spree (Eisenhüttenstadt, Frankfurt (Oder), Oranienburg und Fürstenwalde) bis zum Jahre 2008 leicht zugänglich. Hierbei handelt es sich um sehr sensible Daten, wie zum Beispiel der Gesundheitsstatus, ob der Betroffene im Rollstuhl sitzt oder in eine psychiatrische Klinik gefahren wird. Dazukommen persönliche Daten wie Name, Adresse und Geburtsdaten. Nicht nur Daten von Patienten, sondern auch von Teilnehmer der Erste-Hilfe-Kursen waren leicht zugänglich.

Ein 18-jähiger Häcker ist auf die Schwachstelle aufmerksam geworden und informierte die DRK. Hierbei handelte es sich um eine sogenannte „SQL-Injection“. Dies zählt zu den ältesten Lücken der genannten SQL-Datenbank. Durch die Unsicherheit hatte der Hacker Zugriff auf die Passwörter für Administratoren. Mit diesen Daten hätte er theoretisch sensible Patientendaten leicht manipulieren können.

Die DRK hat nach dem Hinweis den Zugang zur Seite gesperrt. Dies hat die Sicherheitslücke aber nicht komplett beseitigt. Somit bestand das Problem weiterhin, woraufhin der 18-Jährige die Presse kontaktierte. Der DRK-Generalsekretariat und der Landesverband Brandenburg teilten nach der Medien-Anfrage von BR, RBB und SZ mit, dass sie den Vorfall „sehr ernst“ nehmen. Ein externer IT-Sicherheitsexperte wurde nach dem Abstellen der unsicheren Webseiten engagiert, um das Problem komplett zu beseitigen. Zusätzlich wurden die Landesdatenschutzbehörde sowie das LKA Brandenburg informiert.

Ob Kriminelle bereits auf Daten zugegriffen haben, ist aktuell noch unklar. Nach Angaben der BR, RBB und SZ wurden eindeutig Zugangsdaten des DRK-Administrators auf einer türkischsprachigen Webseite für Hacker veröffentlicht.