Patientendaten: Sicherheitsrisiko Mensch

Was der Datenfund bedeutet und welche Konsequenzen daraus gezogen werden müssen, beschreibt Karsten Glied, Geschäftsführer der Techniklotsen GmbH. Unzureichende Sicherheitsmechanismen an den Untersuchungsgeräten sind dabei nur ein Aspekt – weitaus schwerer wiegt für den IT-Experten, welches Licht der Vorfall auf den Umgang mit Datensicherheit bei vielen Nutzern wirft.

Karsten Glied, Geschäftsführer der Techniklotsen GmbH

"50 betroffene Länder, international 16 Millionen ungeschützte Datensätze und über 13.000 frei verfügbare deutsche Patienteninformationen", zieht Glied Bilanz zur Recherche. "Mehr als die Hälfte dieser ungesicherten Datensätze enthielten medizinische Bilder wie MRT- und Röntgenaufnahmen, teils sogar in Verbindung mit Namensangaben, Geburtsdaten und Untersuchungsterminen. Das Gros der betroffenen Patienten stammt aus den USA – in diesen Fällen haben die zur Untersuchung genutzten Geräte die Bilder zur Archivierung auf spezielle Server geschickt. Offensichtlich waren die Daten aber nicht oder nur unzureichend gesichert, sodass ein fremder Zugriff teilweise sogar fast in Echtzeit möglich war."

Auch zwei Krankenhäuser in Deutschland dürften vom Datenleck betroffen sein – und kamen vergleichsweise glimpflich davon: "Zumindest bei den Datensätzen der deutschen Patienten ist das wahrscheinlichste Szenario, dass diese Informationen nicht auf Webservern lagen, sondern auf internen PCs und Servern. Offensichtlich handelte es sich dabei um derart schlecht eingerichtete, ungeschützte Geräte, dass sowohl aus dem internen Netzwerk als auch aus dem Internet problemlos auf sie zugegriffen werden konnte." Um an die sensiblen Daten zu kommen, bedurfte es also keines ausgefuchsten Hackers, sondern nur eine Vielzahl nicht ausreichend gesicherter Rechner. In einigen Fällen, berichtet Glied, hätte neben fehlenden oder falsch konfigurierten Firewalls selbst ein grundlegender Passwortschutz die Dateien gefehlt. "Hätte es jemand mit krimineller Energie auf diese Informationen abgesehen, so wäre es ein Leichtes gewesen, sie für illegale Zwecke zu nutzen", mahnt der Experte.

Um solch einen Daten-GAU zu verhindern, empfiehlt der IT-Sicherheitsexperte Entscheider, entweder in geeignete Maßnahmen zu investieren oder professionelle Unterstützung in Form von Managed Services zu kaufen. "Regelmäßige Sicherheitsaudits der IT-Struktur – als Mittel zur Risiko- und Schwachstellenanalyse – dienen dazu, Fehler und wunde Punkte im System zu finden, um etwaige Bedrohungen und Angriffsszenarien abzuwenden."

Einer der wichtigsten Ansatzpunkte für eine wirksame IT-Sicherheit sitzt für Glied aber an anderer Stelle: vor dem Eingabebildschirm: Viele Mitarbeiter sind damit überfordert, authentische Emails zuverlässig von Spam oder sogar Phishing-Versuchen zu unterscheiden. Auch die Vergabe sicherer Passwörter ist wie entsprechende Untersuchungen jährlich bestätigen keine Selbstverständlichkeit. 

"Investitionen in Sicherheit müssen daher auch immer die Aus- und Weiterbildung der Mitarbeiter beinhalten", betont Glied. "Wer keine Security Awareness trainiert, der muss verstärkt mit dem ‚Sicherheitsrisiko Mensch‘ rechnen. Mithilfe regelmäßiger Trainings lässt sich das Bewusstsein für die Gefahren schärfen und langfristig verankern. Mitarbeitern und Führungskräften muss bewusst werden, welche Auswirkungen Nachlässigkeiten in diesem sensiblen Bereich haben können und was jeder Einzelne vorbeugend für mehr Sicherheit tun kann. Nur so lässt sich ein ganzheitliches Sicherheitsniveau in der jeweiligen Einrichtung erreichen."

Er sieht insbesondere Einrichtungen und Unternehmen der Gesundheits- und Sozialbranche in der Pflicht, das Thema IT-Sicherheit in allen Köpfen zu verankern und aktiv in tägliche Arbeitsprozesse einzubinden. "Denn wenn nicht bald ein generelles Umdenken in der Branche stattfindet, werden sich die Meldungen zu Datenschutzskandalen häufen." 

Quelle: Techniklotsen GmbH

29.10.2019

• Datenmanagement (329)
• IT (709)
• Sicherheit (229)