Bildquelle: Shutterstock/deepadesigns

Datensicherheit

Patientendaten: Sicherheitsrisiko Mensch

IT-Sicherheitsexperte Dirk Schrader ist zusammen mit dem Bayerischen Rundfunk und der US-Investigativplattform ProPublica auf Millionen ungesicherter Patientendaten gestoßen.

Was der Datenfund bedeutet und welche Konsequenzen daraus gezogen werden müssen, beschreibt Karsten Glied, Geschäftsführer der Techniklotsen GmbH. Unzureichende Sicherheitsmechanismen an den Untersuchungsgeräten sind dabei nur ein Aspekt – weitaus schwerer wiegt für den IT-Experten, welches Licht der Vorfall auf den Umgang mit Datensicherheit bei vielen Nutzern wirft.

portrait of karsten glied
Karsten Glied, Geschäftsführer der Techniklotsen GmbH

"50 betroffene Länder, international 16 Millionen ungeschützte Datensätze und über 13.000 frei verfügbare deutsche Patienteninformationen", zieht Glied Bilanz zur Recherche. "Mehr als die Hälfte dieser ungesicherten Datensätze enthielten medizinische Bilder wie MRT- und Röntgenaufnahmen, teils sogar in Verbindung mit Namensangaben, Geburtsdaten und Untersuchungsterminen. Das Gros der betroffenen Patienten stammt aus den USA – in diesen Fällen haben die zur Untersuchung genutzten Geräte die Bilder zur Archivierung auf spezielle Server geschickt. Offensichtlich waren die Daten aber nicht oder nur unzureichend gesichert, sodass ein fremder Zugriff teilweise sogar fast in Echtzeit möglich war."

Auch zwei Krankenhäuser in Deutschland dürften vom Datenleck betroffen sein – und kamen vergleichsweise glimpflich davon: "Zumindest bei den Datensätzen der deutschen Patienten ist das wahrscheinlichste Szenario, dass diese Informationen nicht auf Webservern lagen, sondern auf internen PCs und Servern. Offensichtlich handelte es sich dabei um derart schlecht eingerichtete, ungeschützte Geräte, dass sowohl aus dem internen Netzwerk als auch aus dem Internet problemlos auf sie zugegriffen werden konnte." Um an die sensiblen Daten zu kommen, bedurfte es also keines ausgefuchsten Hackers, sondern nur eine Vielzahl nicht ausreichend gesicherter Rechner. In einigen Fällen, berichtet Glied, hätte neben fehlenden oder falsch konfigurierten Firewalls selbst ein grundlegender Passwortschutz die Dateien gefehlt. "Hätte es jemand mit krimineller Energie auf diese Informationen abgesehen, so wäre es ein Leichtes gewesen, sie für illegale Zwecke zu nutzen", mahnt der Experte.

Wenn nicht bald ein generelles Umdenken in der Branche stattfindet, werden sich die Meldungen zu Datenschutzskandalen häufen

Karsten Glied

Um solch einen Daten-GAU zu verhindern, empfiehlt der IT-Sicherheitsexperte Entscheider, entweder in geeignete Maßnahmen zu investieren oder professionelle Unterstützung in Form von Managed Services zu kaufen. "Regelmäßige Sicherheitsaudits der IT-Struktur – als Mittel zur Risiko- und Schwachstellenanalyse – dienen dazu, Fehler und wunde Punkte im System zu finden, um etwaige Bedrohungen und Angriffsszenarien abzuwenden."

Einer der wichtigsten Ansatzpunkte für eine wirksame IT-Sicherheit sitzt für Glied aber an anderer Stelle: vor dem Eingabebildschirm: Viele Mitarbeiter sind damit überfordert, authentische Emails zuverlässig von Spam oder sogar Phishing-Versuchen zu unterscheiden. Auch die Vergabe sicherer Passwörter ist wie entsprechende Untersuchungen jährlich bestätigen keine Selbstverständlichkeit. 

"Investitionen in Sicherheit müssen daher auch immer die Aus- und Weiterbildung der Mitarbeiter beinhalten", betont Glied. "Wer keine Security Awareness trainiert, der muss verstärkt mit dem ‚Sicherheitsrisiko Mensch‘ rechnen. Mithilfe regelmäßiger Trainings lässt sich das Bewusstsein für die Gefahren schärfen und langfristig verankern. Mitarbeitern und Führungskräften muss bewusst werden, welche Auswirkungen Nachlässigkeiten in diesem sensiblen Bereich haben können und was jeder Einzelne vorbeugend für mehr Sicherheit tun kann. Nur so lässt sich ein ganzheitliches Sicherheitsniveau in der jeweiligen Einrichtung erreichen."

Er sieht insbesondere Einrichtungen und Unternehmen der Gesundheits- und Sozialbranche in der Pflicht, das Thema IT-Sicherheit in allen Köpfen zu verankern und aktiv in tägliche Arbeitsprozesse einzubinden. "Denn wenn nicht bald ein generelles Umdenken in der Branche stattfindet, werden sich die Meldungen zu Datenschutzskandalen häufen." 


Quelle: Techniklotsen GmbH

29.10.2019

Mehr aktuelle Beiträge lesen

Verwandte Artikel

Photo

Nagelprobe für Klinik-IT

Datensicherheit – das sollten Sie wissen

Im Juni 2019 wurde bekannt, dass vier Kliniken in Rumänien einem Erpressungstrojaner zum Opfer gefallen sein sollen. Derlei Computerschädlinge verschlüsseln Patientendaten und verlangen die…

Photo

Medizin 4.0

Blockchains: Noch gibt es keine Killer-Applikation

Blockchain ist derzeit ein heiß diskutiertes Thema und viele Experten prognostizieren enorme Auswirkungen dieser Technologie auf die Gesundheitssysteme. Einer der Blockchains eher skeptisch sieht,…

Photo

Datensicherheit

Startup will Patientendaten vernetzen – aber sicher

Mithilfe einer Open-Source-Software sollen Forscher unterschiedliche medizinische Daten eines Patienten zusammenführen, sicher speichern und einfach abrufen können. Hinter dem Tool stehen zwei…

Verwandte Produkte

Beckman Coulter – Remisol Advance

LIS, Middleware, POCT

Beckman Coulter – Remisol Advance

Beckman Coulter, Inc.
medigration – webConnect

Portal Solution

medigration – webConnect

medigration GmbH
Siemens Healthineers - CentraLink Data Management System

LIS, Middleware, POCT

Siemens Healthineers - CentraLink Data Management System

Siemens Healthineers
Agfa HealthCare – Dose

Dose Management Systems

Agfa HealthCare – Dose

Agfa HealthCare
Agfa HealthCare – DR 14e detector

DR Retrofit

Agfa HealthCare – DR 14e detector

Agfa HealthCare
Agfa HealthCare – DR 14s detector

DR Retrofit

Agfa HealthCare – DR 14s detector

Agfa HealthCare