Aus gegebenem Anlass ein kleiner Exkurs in die Welt des Datenschutzes.
Ich war heute in der Radiologie, um mittels MRT mein Sprunggelenk untersuchen zu lassen. Am Ende einer solchen Sitzung ist es ja durchaus üblich, eine CD mit den gemachten Bildern zu bekommen.
Die erste Unerquicklichkeit heute war, dass ich die CD zu Hause nicht am Rechner einlesen konnte; gut, kann passieren, manchmal liegt das am Laufwerk, dass eine selbstgebrannte CD nicht gelesen werden kann – aber sie funktionierte auch auf einem anderen probierten Rechner nicht. Das Problem entsteht übrigens oft, wenn die CD am Ende der Brennsitzung nicht ordentlich finalisiert wird.
Erfolg hatte ich dann damit, die CD in die Playstation 3 einzulegen, da hier zumindest einige Thumbnails (das sind die kleinen Vorschaubilder im Browser) angezeigt werden konnten. Die sahen aber merkwürdigerweise so gar nicht nach einem Fußgelenk aus, sondern vielmehr nach einem Gehirn.
Ab da war meine Neugierde geweckt. Zum Glück gibt es Programme, mit denen sich nicht korrekt gebrannte CDs dennoch auslesen lassen. Mit einem solchen konnte ich mir dann die CD auch genauer anschauen, und habe dort Wunderliches drauf entdeckt. Zuerst einmal schien das ganze eine Multi-Session-CD zu sein, sprich eine CD, die mehrfach mit Daten bebrannt wurde – 2 mal, in meinem Fall. Mehrfaches Brennen geschieht entweder bei normal beschreibbaren CDs, an welche nach dem ersten Schreibvorgang weitere Daten angehängt werden, oder bei wiederbeschreibbaren CDs, bei denen zwischen den einzelnen Sessions auch Daten gelöscht werden können.
Mit dem genutzten Programm konnte ich die Daten der “aktuelle” (sprich, letzten) Sitzung der CD wiederherstellen und mir anschauen. Darin enthalten war eine Menge von Binärdaten (die Bilddaten enthielten) und ein Programm, um sich ebenjene Bilder anzuschauen. Hier zeigte sich dann schon, dass ich definitiv nicht die richtigen Daten hatte – ich konnte mir nämlich wunderbar die Bilder eines Hirnscans anschauen. Und nicht nur das: in den Daten enthalten waren auch der Name und das Geburtsdatum der Person, zu welcher die Bilder gehören.
Mit dem genutzten Programm war es zudem möglich, auch die Daten der einzelnen Sitzungen zu extrahieren. Eine genaue Untersuchung der beiden Sitzungen auf meiner CD hat gezeigt, dass die erste, ursprüngliche Sitzung die Hirnscans enthielt und die zweite Sitzung meine Bilder enthalten sollte, aber bis auf meinen Namen identisch zur ersten Sitzung war. Müsste ich den Tathergang rekonstruieren, würde ich folgendes vermuten:
Die Arzthelferin wollte eigentlich meine Bilder auf die CD brennen, hat dabei aber die falschen Daten erwischt. Nach dem Brennvorgang wurde beim Überprüfen gemerkt, dass sich die falschen Daten auf der CD befanden, und die Arzthelferin hat daraufhin versucht, in einer zweiten Sitzung meine Daten über die bereits bestehenden zu schreiben. Das schlug allerdings fehl, ohne dass es bemerkt und ohne dass die zweite Sitzung korrekt beendet (d.h. die CD finalisiert) wurde. Das Ergebnis war eine CD, die a) auf normalem Weg nicht lesbar war und b) zudem noch eigentlich vertrauliche Daten über eine mir fremde Person enthielt.
An der Stelle wird klar, wie wichtig es ist, mit den genutzten IT-Mitteln nicht nur umgehen zu können, sondern ihre Funktionsweise auch wenigstens in Teilen verstanden zu haben. Insbesondere wenn es um Datenschutz geht, sollten eigentlich alle möglichen Sicherheitsvorkehrungen getroffen werden; dass hier derart unbedarft mit sensiblen Patientendaten umgegangen wurde (wenn auch sicherlich unbeabsichtigt), ist mindestens bedenklich. Gut, MRT-Scans sind keine hochkritischen Daten, aber das ein oder andere hätte man schon damit anstellen können.
Das ganze kann man zudem auch noch weiterdenken; hätte der zweite Brennvorgang wie vorgesehen geklappt und wäre die CD finalisiert worden, hätte ich sie lesen können, ohne zu merken, dass die CD 2 mal bebrannt wurde. Unter Umständen hätten sich die Daten des ersten Brennvorganges aber dennoch auslesen lassen – und ich würde wetten, dass wenigstens einige CDs im Umlauf sind, die auf den ersten Blick nur die gewünschten Daten, aber über Umwege doch noch einiges mehr an sensiblen Daten enthalten (gleiches gilt übrigens auch für USB-Sticks – auch hier ist “gelöscht im File Browser” nicht unbedingt gleichzusetzen mit “echt gelöscht auf der Hardware).
Konsequenterweise müsste man jedes Medium, welches einmal sensible Daten enthielt, vor der Wiederverwendung sicher löschen (das geht mit USB-Sticks), oder, wenn das nicht funktioniert (geht es bei CDs?) nicht weiterverwenden, sondern ordnungsgemäß vernichten (was ich auch mit der CD tun werde). Mich würde interessieren, in wie vielen Firmen diese Praxis so tatsächlich umgesetzt wird…
Kommentare (10)