2,7 Millionen Anrufdaten von Patienten frei verfügbar

Sechs Jahre lang wurden Anrufe bei der schwedischen landesweiten Gesundheitshotline Vårdguiden 1177 aufgezeichnet und unverschlüsselt auf einem völlig ungeschützten Server gespeichert – weder durch Passwörter noch andere Sicherheitsmaßnahmen geschützt. Insgesamt waren das 2,7 Millionen vertrauliche Gespräche, in denen Gesundheitsprobleme, Medikamenteneinnahme, Vorerkrankungen und mehr sensible Themen angesprochen wurden. Die bis ins Jahr 2013 zurückreichenden Gespräche wurden als WAV- und MP3-Dateien abgelegt mit einer insgesamten Dauer von 170.000 Stunden. Jedermann hätte sie anhören können, nicht mehr als ein Browser und die Kenntnis der IP-Adresse wurde benötigt.

Das berichtete zuerst die Technikseite Computer Sweden, deren Mitarbeiter sich einige der Gespräche anhörten, um sich ein Bild vom Ausmaß der Datenschutzpanne zu machen. Angesprochen wurden darin auch die Krankheitssymptome von Kindern, preisgegeben wurden Sozialversicherungsnummern. Die gespeicherten Dateien beinhalteten teilweise auch die Telefonnummern, von denen angerufen wurde. In der Datenbank waren 57.000 schwedische Telefonnummern zu finden.

Die Publikation beschrieb den inzwischen gesperrten Server als völlig frei zugänglich – und er habe zudem viele bekannte Schwachstellen aufgewiesen. Es stellte sich heraus, dass die abgelegten Aufnahmen auf Anrufe außerhalb der üblichen Geschäftsstunden zurückgingen, die der Hotlinebetreiber Medhelp an ein beauftragtes Subunternehmen namens Medicall in Thailand weiterleitete, das ebenfalls in schwedischem Besitz ist.

„Wir haben das mit unserer IT überprüft, und was Sie sagen, ist absolut unmöglich“, erklärte Medicall-CEO Davide Nyblom, als er von Computer Sweden auf den Datenskandal angesprochen wurde. Er habe die eigene IT überprüft, und so etwas könnte gar nicht passieren. Auf die Frage des Reporters, ob er ihm eine Datei vorspielen solle, brach er aber das Telefongespräch ab. „Es ist natürlich bedauerlich, aber ich kenne die Einzelheiten nicht“, sagte Nyblom später gegenüber dem schwedischen Sender SVT. „Deshalb ist es schwierig für mich, im Augenblick mehr dazu zu sagen.“

Auf Auskünfte wartet jetzt auch die schwedische Sozialministerin Lena Hallengren, die den Vorfall als „ernsthaft“ und „völlig inakzeptabel“ bezeichnete. Unklar ist auch, ob die Datenpanne an die zuständige Behörde gemeldet wurde, wie es das europäische Datenschutz-Grundverordnung (DSGVO) verlangt. „Wenn die Medienberichte zutreffen, dann betrachten wir diesen Zwischenfall als sehr ernsthaft, da er die sensiblen Daten von vielen Menschen über einen langen Zeitraum betrifft“, erfuhr die BBC von der schwedischen Datenschutzbehörde. „Wir beabsichtigen eine Untersuchung dieses Zwischenfalls. Wir haben die Untersuchung jedoch noch nicht förmlich eingeleitet.“