Bildquelle: Shutterstock/deepadesigns

News • Datensicherheit

Patientendaten: Sicherheitsrisiko Mensch

IT-Sicherheitsexperte Dirk Schrader ist zusammen mit dem Bayerischen Rundfunk und der US-Investigativplattform ProPublica auf Millionen ungesicherter Patientendaten gestoßen.

Was der Datenfund bedeutet und welche Konsequenzen daraus gezogen werden müssen, beschreibt Karsten Glied, Geschäftsführer der Techniklotsen GmbH. Unzureichende Sicherheitsmechanismen an den Untersuchungsgeräten sind dabei nur ein Aspekt – weitaus schwerer wiegt für den IT-Experten, welches Licht der Vorfall auf den Umgang mit Datensicherheit bei vielen Nutzern wirft.

portrait of karsten glied
Karsten Glied, Geschäftsführer der Techniklotsen GmbH

"50 betroffene Länder, international 16 Millionen ungeschützte Datensätze und über 13.000 frei verfügbare deutsche Patienteninformationen", zieht Glied Bilanz zur Recherche. "Mehr als die Hälfte dieser ungesicherten Datensätze enthielten medizinische Bilder wie MRT- und Röntgenaufnahmen, teils sogar in Verbindung mit Namensangaben, Geburtsdaten und Untersuchungsterminen. Das Gros der betroffenen Patienten stammt aus den USA – in diesen Fällen haben die zur Untersuchung genutzten Geräte die Bilder zur Archivierung auf spezielle Server geschickt. Offensichtlich waren die Daten aber nicht oder nur unzureichend gesichert, sodass ein fremder Zugriff teilweise sogar fast in Echtzeit möglich war."

Auch zwei Krankenhäuser in Deutschland dürften vom Datenleck betroffen sein – und kamen vergleichsweise glimpflich davon: "Zumindest bei den Datensätzen der deutschen Patienten ist das wahrscheinlichste Szenario, dass diese Informationen nicht auf Webservern lagen, sondern auf internen PCs und Servern. Offensichtlich handelte es sich dabei um derart schlecht eingerichtete, ungeschützte Geräte, dass sowohl aus dem internen Netzwerk als auch aus dem Internet problemlos auf sie zugegriffen werden konnte." Um an die sensiblen Daten zu kommen, bedurfte es also keines ausgefuchsten Hackers, sondern nur eine Vielzahl nicht ausreichend gesicherter Rechner. In einigen Fällen, berichtet Glied, hätte neben fehlenden oder falsch konfigurierten Firewalls selbst ein grundlegender Passwortschutz die Dateien gefehlt. "Hätte es jemand mit krimineller Energie auf diese Informationen abgesehen, so wäre es ein Leichtes gewesen, sie für illegale Zwecke zu nutzen", mahnt der Experte.

Wenn nicht bald ein generelles Umdenken in der Branche stattfindet, werden sich die Meldungen zu Datenschutzskandalen häufen

Karsten Glied

Um solch einen Daten-GAU zu verhindern, empfiehlt der IT-Sicherheitsexperte Entscheider, entweder in geeignete Maßnahmen zu investieren oder professionelle Unterstützung in Form von Managed Services zu kaufen. "Regelmäßige Sicherheitsaudits der IT-Struktur – als Mittel zur Risiko- und Schwachstellenanalyse – dienen dazu, Fehler und wunde Punkte im System zu finden, um etwaige Bedrohungen und Angriffsszenarien abzuwenden."

Einer der wichtigsten Ansatzpunkte für eine wirksame IT-Sicherheit sitzt für Glied aber an anderer Stelle: vor dem Eingabebildschirm: Viele Mitarbeiter sind damit überfordert, authentische Emails zuverlässig von Spam oder sogar Phishing-Versuchen zu unterscheiden. Auch die Vergabe sicherer Passwörter ist wie entsprechende Untersuchungen jährlich bestätigen keine Selbstverständlichkeit. 

"Investitionen in Sicherheit müssen daher auch immer die Aus- und Weiterbildung der Mitarbeiter beinhalten", betont Glied. "Wer keine Security Awareness trainiert, der muss verstärkt mit dem ‚Sicherheitsrisiko Mensch‘ rechnen. Mithilfe regelmäßiger Trainings lässt sich das Bewusstsein für die Gefahren schärfen und langfristig verankern. Mitarbeitern und Führungskräften muss bewusst werden, welche Auswirkungen Nachlässigkeiten in diesem sensiblen Bereich haben können und was jeder Einzelne vorbeugend für mehr Sicherheit tun kann. Nur so lässt sich ein ganzheitliches Sicherheitsniveau in der jeweiligen Einrichtung erreichen."

Er sieht insbesondere Einrichtungen und Unternehmen der Gesundheits- und Sozialbranche in der Pflicht, das Thema IT-Sicherheit in allen Köpfen zu verankern und aktiv in tägliche Arbeitsprozesse einzubinden. "Denn wenn nicht bald ein generelles Umdenken in der Branche stattfindet, werden sich die Meldungen zu Datenschutzskandalen häufen." 


Quelle: Techniklotsen GmbH

29.10.2019

Verwandte Artikel

Photo

Artikel • Kollateralschäden von Cyberangriffen

Ukraine-Krieg bringt auch IT deutscher Kliniken in Gefahr

Der Krieg Russlands gegen die Ukraine spielt sich auch im Cyberspace ab. Dabei könnten auch Kliniken in Deutschland ins digitale Kreuzfeuer geraten, warnen IT-Experten.

Photo

News • eID, Wallet & Co.

Neues Projekt soll digitale Identitäten sicher machen

Sichere digitale Identitäten sind entscheidend für die digitale Transformation: Sie schaffen das erforderliche Vertrauen in die Nutzung jener Systeme, die Menschen und Organisationen vernetzen. Ein…

Photo

Internationaler Datenverkehr

Experten fordern rechtlichen Rahmen für Nutzung von US-Clouds

In einem gemeinsamen Positionspapier fordern der deutsche Industrieverband Spectaris und die VDMA Arbeitsgemeinschaft Medizintechnik zukunftsfähige und international wettbewerbsfähige…

Verwandte Produkte

Newsletter abonnieren