Über sechs Jahre lang wurden Millionen von Anrufen, die schwedische Patienten mit der landesweiten Gesundheitshotline Vårdguiden 1177 geführt haben, aufgezeichnet und auf einem Server abgelegt – weder verschlüsselt, noch passwortgeschützt. Die schwedische Technik-Seite Computer Sweden deckte den Skandal auf. Laut Computer Sweden waren seit 2013 insgesamt 2,7 Millionen Anrufdaten und 170.000 Gesprächsstunden gepeichert und frei zugänglich auf dem Server abgelegt. Nur mit einem Browser und der Kenntnis der IP-Adresse konnte jeder darauf zugreifen. Die schwedische Datenschutzbehörde untersucht nun den Vorfall.
Die Redakteure waren total überrascht über das, was sie auf dem Server gefunden haben. Patienten, die über ihre Symptome und Krankheiten, über die Erkrankungen ihrer Kinder, über Medikamenteneinnahme und Vorerkrankungen sprachen oder ihre Sozialversicherungsnummern nannten. Diese Daten sind absolut privat und vertraulich und enthielten sogar ca. 57.000 Telefonnummern, von denen angerufen wurde. Die schwedische IT-Nachrichtenseite hatte den Vorfall öffentlich gemacht.
Alarmierender Vorfall für die schwedische Gesundheitsministerin
Die schwedische Gesundheitsministerin Lena Hallengren stuft den Vorfall als sehr ernsthaft und alarmierend ein.
Die landesweite schwedische Gesundheitshotline 1177 wird von dem Unternehmen Medhelp unterhalten, welches außerhalb der Geschäftszeiten auf die in Thailand ansässige Firma Medicall als Subunternehmen zurückgegriffen hatte. Während dieser Zeiten sind die gespeicherten Anrufe laut Bereichten der Technikseite aufgelaufen.
Datenleck durch Fehlkonfiguration
Durch eine Fehlkonfiguration im Server konnte diese Datenlücke entstehen. Verwendet wurde Biz 2.0, ein Cloud-basiertes Call-Center-System des schwedischen Anbieters Voice Integrate Nordic AB. Die Daten wurde auf den Servern dieses Herstellers abgelegt. Neben der Fehlkonfiguration waren die Server auch nicht auf dem neuesten Updatestand und war von über 23 Sicherheitslücken betroffen. Selbst mit Passwortschutz hätte man dadurch auf die Daten zugreifen können.
Verstoß gegen die DSGVO
Solche personenbezogenen und besonders sensible Daten müssen nach dem aktuellen Stand der Technik vor unberechtigten Zugriffen geschützt werden. Dies wurde hier versäumt und dürfte empfindliche Sanktionen nach sich ziehen.