Aktuelles, Branche, Studien - geschrieben von dp am Mittwoch, September 18, 2019 21:59 - noch keine Kommentare
Jahrelang einsehbar: Millionen von Patientendaten
Insgesamt 16 Millionen Datensätze – 13.000 davon aus Deutschland
[datensicherheit.de, 18.09.2019] Laut Recherchen des Bayerischen Rundfunks (BR) und der US-Investigativplattform „ProPublica“ sind hochsensible medizinische Daten von Patienten aus Deutschland und den USA auf ungesicherten Servern gelandet. Demnach könnten unbeteiligte Dritte jederzeit Zugriff auf diese Informationen gehabt haben. Betroffen seien Daten von Millionen von Patienten, unter anderem handele es sich um Informationen wie Vor- und Nachname der Betroffenen, Geburtsdatum, aber auch Details über die jeweilige Behandlung. Außerdem fänden sich selbst hochauflösende Röntgenbilder in der Sammlung. Diese Informationen seien wohl jahrelang im Internet verfügbar gewesen und hätten frei eingesehen werden können. In der Summe gehe es um insgesamt 16 Millionen Datensätze – 13.000 davon stammen aus Deutschland. Global seien etwa 50 Länder von diesem Leak betroffen. Hierzulande entfalle der Großteil der Datensätze auf Patienten aus dem Raum Ingolstadt und aus Kempen (Nordrhein-Westfalen).
Vorfall erschreckend, aber nicht überraschend
„Dieser jüngste Vorfall ist erschreckend, trotzdem überrascht er nicht. Denn auch eine aktuelle Untersuchung zur IT-Sicherheit im Gesundheitssektor im Auftrag der Versicherungswirtschaft ergab, dass das Thema Cyber-Sicherheit in Praxen und Kliniken deutlich zu kurz kommt“, kommentiert Marc Schieder, „CIO“ bei DRACOON.
So habe jene Erhebung unter anderem bewiesen, „dass in 20 von 25 Praxen alle Benutzer Administrationsrechte besaßen und keine einzige befragte Praxis regelmäßig prüft, ob alte Administratorenrechte noch bestehen“.
Zudem massiver Nachholbedarf in Sachen Verschlüsselung
Aufgedeckt worden sei außerdem ein massiver Nachholbedarf in Sachen Verschlüsselung. Sensible Patientendaten seien nach einem Test der Mailserver mit dem Analysetool „Cysmo“ stark gefährdet, denn von den ca. 1.200 untersuchten Arztpraxen seien nur 0,4 Prozent hinsichtlich der unterstützten Verschlüsselungsmethoden auf dem vom BSI empfohlenen Stand der Technik.
Alle weiteren niedergelassenen Ärzte verließen sich hinsichtlich der Verschlüsselung im E-Mail-Verkehr auf veraltete und unsichere Standards. Schieder: „Und genau das eröffnet Dritten die Möglichkeit, solch eine Mail auf dem Weg zwischen Sender und Empfänger abzufangen.“
E-Mail-/Passwort-Kombinationen von 60 % der Kliniken bereits im Darknet
Bei den befragten Kliniken hätten immerhin fünf Prozent dem aktuellen BSI-Standard entsprochen – vor dem Hintergrund der besonderen Sensibilität der Daten sei aber auch diese Zahl „erschreckend“.
Getestet worden seien die Mailserver durch die PPI AG im Auftrag des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV). Die Studie habe außerdem ergeben, dass E-Mail-/Passwort-Kombinationen von 60 Prozent der Kliniken bereits im sogenannten Darknet hätten gefunden werden können. Bei den Arztpraxen habe diese Zahl bei neun Prozent gelegen.
Verantwortung für sicheren Umgang mit Patientendaten ernstnehmen!
Um ein dauerhaft hohes Niveau an Datenschutz und Datensicherheit im Betrieb zu gewährleisten, müssten sowohl Kliniken als auch niedergelassene Ärzte, aber auch Apotheker und andere Gesundheitsdienstleister ihre Verantwortung für den sicheren Umgang mit Patientendaten ernstnehmen.
„Dazu gehört, dass ein maximal sicherer Verschlüsselungsstandard genutzt wird – dies betrifft neben dem E-Mail-Verkehr auch Lösungen aus dem Bereich ,Enterprise Filesharing‘, wie sie bereits von zahlreichen Praxen und Kliniken genutzt werden.“
Daten bereits am Endgerät verschlüsseln!
Idealerweise böten Lösungen aus diesem Sektor eine clientseitige, offengelegte Verschlüsselung. Hierbei würden die Daten bereits am Endgerät verschlüsselt, was ein Maximum an Datensicherheit garantiere.
Auch in Bezug auf das Thema „Berechtigungen“ sollten Healthcare-Unternehmen dringend reagieren, so dass sichergestellt sei, „dass wirklich nur derjenige Benutzer Zugriff auf Daten hat, auf die er berechtigt ist“.
Modernes Berechtigungskonzept mit dezentraler Administration gefragt
Neben einer hohen Sicherheitskultur in Bezug auf Passwörter gehöre dazu auch, dass nur solche Lösungen zum Dateiaustausch implementiert würden, die über ein modernes Berechtigungskonzept mit dezentraler Administration verfügten.
Zugriffsrechte müssten einfach und individuell an interne Mitarbeiter, aber auch externe Beteiligte vergeben werden können. „So wird sichergestellt, dass bestimmte Personen zum Beispiel nur Leserechte erhalten, andere wiederum auch Daten bearbeiten und löschen können.“
Jüngste Datenleck als Warnung sehen!
Auf diese Weise werde verhindert, „dass Unbefugte auf sensible Patientendaten Zugriff haben“. Spätestens jetzt sollten Kliniken und andere Dienstleister aus dem Gesundheitsbereich das jüngste Datenleck als Warnung sehen und ihre IT-Sicherheitskultur im Unternehmen dringend prüfen:
„Organisatorisch, aber auch dahingehend, dass neue Lösungen innerhalb des Betriebs den höchsten Ansprüchen in Sachen Datensicherheit und -schutz genügen“, fordert Schieder.
Weitere Informationen zum Thema:
GDV DIE DEUTSCHEN VERSICHERER, 08.04.2019
Cybersicherheit im Heilwesen / Deutschlands Ärzte haben ein Passwort-Problem – Zugangsdaten häufig im Darknet zu finden
datensicherheit.de, 21.08.2018
Patientendaten: Datenschützer kritisieren geplante elektronische Übertragung
datensicherheit.de, 17.01.2017
Sensible Patientendaten: Herkömmliche Antivirus-Software schützt nicht ausreichend
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren