© KURIER/Deutsch

Digital Life
09/08/2014

Patientendaten auf gebrauchter Festplatte gefunden

Ein Datenrettungsunternehmen hat auf einer auf eBay gekauften Festplatte Patientendaten gefunden. Sensible Daten finden sich auf zahlreichen weiterverkauften Speichermedien.

Sensible Patientendaten, Röntgenbilder, Befunde und Verschreibungen aus der Praxis einer Kinderärztin und einer Gemeinschaftspraxis für Interne Medizin hat das Datenrettungsunternehmen Attingo auf einer Festplatte gefunden. die auf dem Online-Marktplatz eBay ersteigert wurde. „Soweit wir das einschätzen können, war das die gesamte Ordinationsverwaltung“, sagt Attingo-Geschäftsführer Nicolas Ehrschwendner im Gespräch mit der futurezone. „Es wurde nicht einmal versucht, die Daten zu löschen.“

Die gebrauchten Festplatten seien von einem IT-Händler auf dem Online-Marktplatz gekauft worden, erzählt Ehrschwendner. Er vermutet, dass die betroffenen Arztpraxen ihre Computersysteme erneuert haben, und die alten Computer von einem Zwischenhändler einfach, ohne sie auf Datenrückstände zu überprüfen, weiterverkauft wurden.

Geringe Strafen

Laut Datenschutzgesetz sind niedergelassene Ärzte zwar dazu verpflichtet, sicherzustellen, dass Unbefugte nicht auf von ihnen gesammelte Patientendaten zugreifen können. Sanktionen für mangelnde Datensicherheitsmaßnahmen haben sie aber kaum zu befürchten. Die österreichische Datenschutzbehörde darf gegenüber privaten Datenverarbeitern nur Empfehlungen erlassen, sagt Matthias Schmidl von der Behörde der futurezone. Im schlimmsten Fall drohen nach einer Anzeige bei der Bezirksverwaltungsbehörde Strafen von bis zu 10.000 Euro.

Betroffene, auf deren Daten unberechtigt zugegriffen werden kann, müssen auch nur in Fällen informiert werden, bei denen davon auszugehen ist, dass die Daten systematisch und unrechtmäßig verwendet werden und ihnen Schaden entsteht, heißt es aus der Behörde. Das sei bei den auf den gebrauchten Festplatten gefundenen Patientendaten nicht der Fall, sagt Schmidl. Für die Elektronische Gesundheitsakte (ELGA), die in Österreich 2015 starten soll und bei der niedergelassene Ärzte ebenfalls für die Sicherheit der bei ihnen gespeicherten Daten zuständig sind, lässt dies jedenfalls nichts Gutes erwarten.

Kein Einzelfall

„Der Datenfund ist kein Einzelfall“, meint Ehrschwendner, dessen Unternehmen seit Jahren ausgemusterte Datenträger online einkauft und routinemäßig analysiert. 2011 fanden sich auf gebrauchten Speichermedien, die für das Ersatzteillager zugekauft wurden, ebenfalls Patientendaten und auch Unfallfotos einer österreichischen Rettungsorganisation sowie Daten von Asylwerbern. Auch der E-Mail-Verkehr von Unternehmen, Rechnungen sowie Patente eines Zulieferers für Werkzeughersteller, wurden auf weiterverkauften Festplatten gefunden.

Löschverhalten verbessert

Das Löschverhalten habe sich in den vergangenen Jahren aber stark verbessert, meint Ehrschwendner. Vor drei Jahren fand sein Unternehmen noch auf mehr als 80 Prozent der gekauften gebrauchten Festplatten Daten der Vorbesitzer oder konnte sie zumindest teilweise rekonstruieren. 2014 waren es bislang 28 Prozent. Die Zahlen seien nicht repräsentativ, sagt der Attingo-Chef. Sein Unternehmen untersuche lediglich rund hundert Festplatten pro Jahr. „Das ist nur ein kleiner Ausschnitt.“

Daten richtig löschen

Art und Umfang der Datenlöschung hängen vom jeweiligen Sicherheitsbedürfnis der Nutzer ab, sagt Nicolas Ehrschwendner vom Datenrettungsunternehmen Attingo. Für private Nutzer genüge häufig das einfache, vollständige Überschreiben des Datenträgers. Schon mit frei erhältlicher Software lasse sich damit ein verhältnismäßig hoher Sicherheitsstandard erreichen. Dabei würden allerdings nicht alle Daten vernichtet. Das liege daran, dass moderne Festplatten über einen Reservespeicher verfügen. Defekte Sektoren der Festplatte würden ausgeblendet. "Die können auch von Löschsoftware nicht mehr erreicht werden", sagt Ehrschwendner: "Im Labor können wir die Daten aber vollständig auslesen."

SSDs mit Tücken

Bei Solid-State-Drives (SSD), wie sie etwa bei Ultrabooks oder beim MacBook Air zum Einsatz kommen, sei die vollständige Löschung der Daten kaum möglich, da die Reservespeicher sehr groß seien. Ehrschwendner rät dazu, die Festplatten zu verschlüsseln, um Unbefugten am Zugriff auf die Daten zu hindern. Unternehmen, die Datenträger mit sensiblen Daten ausmustern, empfiehlt der Datenrettungsspezialist mit anderen Systemen zu verifizieren, ob wirklich alle Sektoren der Festplatte leer sind.

Brachiale Gewalt

Lösungen bietet aber auch der Einsatz brachialer Gewalt. Eine sichere Vernichtung der Daten sei etwa durch das "Rösten" des Datenträgers. Dazu seien jedoch Temperaturen jenseits der 800 Grad und Spezialöfen notwendig. Auch durch starke Magnetfelder, die in sogenannten "Degaussern" zum Einsatz kommen könnten Festplatten entmagnetisiert und gelöscht werden. Unwiderbringlich gelöscht würden Daten auch beim Shreddern und Malen des Datenträgers.

Wegen der Entsorgung des Materials, in dem viele chemische Substanzen vorkommen, sei die physikalische Vernichtung von Datenträgern aber problematische. Große Unternehmen würden ausgemusterte Datenträger oft einfach im Keller lagern, sagt Ehrenschwendner: "Da hat man höchste Sicherheit, solange niemand eindringt."