Klinikum Ingolstadt nicht von Datenleck betroffen
17. September 2019
Der Bayerische Rundfunk (BR) berichtet darüber, dass hochsensible medizinische Daten wie Röntgenbilder und CT-Aufnahmen, unter anderem von Patienten aus Deutschland und den USA nach Recherchen des BR und der US-Investigativplattform ProPublica auf ungesicherten Internetservern gelandet sind. Ganz konkret wird dabei auch genannt, dass Patientendaten aus dem Raum Ingolstadt ungesichert im Internet zugänglich waren. Wir möchten an dieser Stelle klarstellen: wir können mit Sicherheit sagen, dass von dem Datenleck keine Server des Klinikums Ingolstadt betroffen waren oder sind.
Das Klinikum Ingolstadt unterliegt dem IT-Sicherheitsgesetz als sogenannte Kritische Infrastruktur (KRITIS). Dadurch steht das Klinikum Ingolstadt in ständigem Austausch mit zahlreichen Sicherheitsbehörden und dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Wären wir von einem Datenleck betroffen, wären wir automatisch vom BSI als zuständige Aufsichtsbehörde für Betreiber einer Kritischen Infrastruktur informiert worden. Um aber mit völliger Sicherheit ausschließen zu können, dass das Klinikum Ingolstadt von einem Datenleck betroffen ist, haben wir dennoch Kontakt mit dem BSI aufgenommen. Das BSI hat uns daraufhin schriftlich bestätigt, dass die Systeme des Klinikums Ingolstadt von dem Datenleck, das der Bayerische Rundfunk aufgedeckt hat, nicht betroffen ist. Es konnten also zu keiner Zeit sensible Patientendaten von den Servern des Klinikums Ingolstadt abgerufen werden.
Was wir nicht ausschließen können ist, dass Patienten, die eine CD mit Röntgen- oder CT-Aufnahmen von uns erhalten haben und diese an eine andere medizinische Einrichtung weitergegeben haben, von dem Datenleck betroffen sind. Wir kennen die Liste der betroffenen Patientinnen und Patienten nicht.
Datenschutz und Informationssicherheit haben in unserem Klinikum oberste Priorität. Wir investieren seit Jahren deshalb kräftig personell wie finanziell in IT-Sicherheit und –Datensicherheit und setzen dabei eine Reihe an Maßnahmen zum Schutz der Systeme ein. Das Klinikum Ingolstadt wird als Kritische Infrastruktur nach dem IT-Sicherheitsgesetz nicht nur alle zwei Jahre durch einen externen Prüfer (BSI-Nachweisverfahren) hinsichtlich seiner IT-Sicherheit/Informationssicherheit auditiert, sondern führt ebenso unter anderem regelmäßig interne Schwachstellenscans zur Absicherung seiner Systeme durch. Daneben kümmert sich die Stabsstelle Informationssicherheit bzw. Datenschutz um die kontinuierliche Weiterentwicklung des Informationssicherheitsmanagementsystems (ISMS) am Klinikum Ingolstadt.
Wir hoffen im Sinne der betroffenen Patientinnen und Patienten, dass die Quellen für das Datenleck schnellstmöglich gefunden und geschlossen werden.
Den Bericht des Bayerischen Rundfunk finden Sie hier.