Aktuelles, Branche, Studien - geschrieben von am Mittwoch, September 18, 2019 21:59 - noch keine Kommentare

Jahrelang einsehbar: Millionen von Patientendaten

Insgesamt 16 Millionen Datensätze – 13.000 davon aus Deutschland

[datensicherheit.de, 18.09.2019] Laut Recherchen des Bayerischen Rundfunks (BR) und der US-Investigativplattform „ProPublica“ sind hochsensible medizinische Daten von Patienten aus Deutschland und den USA auf ungesicherten Servern gelandet. Demnach könnten unbeteiligte Dritte jederzeit Zugriff auf diese Informationen gehabt haben. Betroffen seien Daten von Millionen von Patienten, unter anderem handele es sich um Informationen wie Vor- und Nachname der Betroffenen, Geburtsdatum, aber auch Details über die jeweilige Behandlung. Außerdem fänden sich selbst hochauflösende Röntgenbilder in der Sammlung. Diese Informationen seien wohl jahrelang im Internet verfügbar gewesen und hätten frei eingesehen werden können. In der Summe gehe es um insgesamt 16 Millionen Datensätze – 13.000 davon stammen aus Deutschland. Global seien etwa 50 Länder von diesem Leak betroffen. Hierzulande entfalle der Großteil der Datensätze auf Patienten aus dem Raum Ingolstadt und aus Kempen (Nordrhein-Westfalen).

Vorfall erschreckend, aber nicht überraschend

„Dieser jüngste Vorfall ist erschreckend, trotzdem überrascht er nicht. Denn auch eine aktuelle Untersuchung zur IT-Sicherheit im Gesundheitssektor im Auftrag der Versicherungswirtschaft ergab, dass das Thema Cyber-Sicherheit in Praxen und Kliniken deutlich zu kurz kommt, kommentiert Marc Schieder, „CIO“ bei DRACOON.
So habe jene Erhebung unter anderem bewiesen, „dass in 20 von 25 Praxen alle Benutzer Administrationsrechte besaßen und keine einzige befragte Praxis regelmäßig prüft, ob alte Administratorenrechte noch bestehen“.

Zudem massiver Nachholbedarf in Sachen Verschlüsselung

Aufgedeckt worden sei außerdem ein massiver Nachholbedarf in Sachen Verschlüsselung. Sensible Patientendaten seien nach einem Test der Mailserver mit dem Analysetool „Cysmo“ stark gefährdet, denn von den ca. 1.200 untersuchten Arztpraxen seien nur 0,4 Prozent hinsichtlich der unterstützten Verschlüsselungsmethoden auf dem vom BSI empfohlenen Stand der Technik.
Alle weiteren niedergelassenen Ärzte verließen sich hinsichtlich der Verschlüsselung im E-Mail-Verkehr auf veraltete und unsichere Standards. Schieder: „Und genau das eröffnet Dritten die Möglichkeit, solch eine Mail auf dem Weg zwischen Sender und Empfänger abzufangen.“

E-Mail-/Passwort-Kombinationen von 60 % der Kliniken bereits im Darknet

Bei den befragten Kliniken hätten immerhin fünf Prozent dem aktuellen BSI-Standard entsprochen – vor dem Hintergrund der besonderen Sensibilität der Daten sei aber auch diese Zahl „erschreckend“.
Getestet worden seien die Mailserver durch die PPI AG im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Die Studie habe außerdem ergeben, dass E-Mail-/Passwort-Kombinationen von 60 Prozent der Kliniken bereits im sogenannten Darknet hätten gefunden werden können. Bei den Arztpraxen habe diese Zahl bei neun Prozent gelegen.

Verantwortung für sicheren Umgang mit Patientendaten ernstnehmen!

Um ein dauerhaft hohes Niveau an Datenschutz und Datensicherheit im Betrieb zu gewährleisten, müssten sowohl Kliniken als auch niedergelassene Ärzte, aber auch Apotheker und andere Gesundheitsdienstleister ihre Verantwortung für den sicheren Umgang mit Patientendaten ernstnehmen.
„Dazu gehört, dass ein maximal sicherer Verschlüsselungsstandard genutzt wird – dies betrifft neben dem E-Mail-Verkehr auch Lösungen aus dem Bereich ,Enterprise Filesharing‘, wie sie bereits von zahlreichen Praxen und Kliniken genutzt werden.“

Daten bereits am Endgerät verschlüsseln!

Idealerweise böten Lösungen aus diesem Sektor eine clientseitige, offengelegte Verschlüsselung. Hierbei würden die Daten bereits am Endgerät verschlüsselt, was ein Maximum an Datensicherheit garantiere.
Auch in Bezug auf das Thema „Berechtigungen“ sollten Healthcare-Unternehmen dringend reagieren, so dass sichergestellt sei, „dass wirklich nur derjenige Benutzer Zugriff auf Daten hat, auf die er berechtigt ist“.

Modernes Berechtigungskonzept mit dezentraler Administration gefragt

Neben einer hohen Sicherheitskultur in Bezug auf Passwörter gehöre dazu auch, dass nur solche Lösungen zum Dateiaustausch implementiert würden, die über ein modernes Berechtigungskonzept mit dezentraler Administration verfügten.
Zugriffsrechte müssten einfach und individuell an interne Mitarbeiter, aber auch externe Beteiligte vergeben werden können. „So wird sichergestellt, dass bestimmte Personen zum Beispiel nur Leserechte erhalten, andere wiederum auch Daten bearbeiten und löschen können.“

Jüngste Datenleck als Warnung sehen!

Auf diese Weise werde verhindert, „dass Unbefugte auf sensible Patientendaten Zugriff haben“. Spätestens jetzt sollten Kliniken und andere Dienstleister aus dem Gesundheitsbereich das jüngste Datenleck als Warnung sehen und ihre IT-Sicherheitskultur im Unternehmen dringend prüfen:
„Organisatorisch, aber auch dahingehend, dass neue Lösungen innerhalb des Betriebs den höchsten Ansprüchen in Sachen Datensicherheit und -schutz genügen“, fordert Schieder.

Weitere Informationen zum Thema:

GDV DIE DEUTSCHEN VERSICHERER, 08.04.2019
Cybersicherheit im Heilwesen / Deutschlands Ärzte haben ein Passwort-Problem – Zugangsdaten häufig im Darknet zu finden

datensicherheit.de, 21.08.2018
Patientendaten: Datenschützer kritisieren geplante elektronische Übertragung

datensicherheit.de, 17.01.2017
Sensible Patientendaten: Herkömmliche Antivirus-Software schützt nicht ausreichend



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung