Patientendaten im Internet sorgen für erhebliches Aufsehen

Vectra kritisiert gegenseitiges Zuschieben der Verantwortung

[datensicherheit.de, 18.09.2019] Der am 17. September 2019 bekanntgewordene Fall der freien Verfügbarkeit von möglicherweise Millionen von Patientendaten im Internet hat offensichtlich für erhebliches Aufsehen gesorgt. Dabei ist laut einer Stellungnahme von Vectra „in diesem Fall nicht einmal davon auszugehen, dass Kriminelle beteiligt waren, sondern dass es hier in erster Linie um Pannen und unklare Zuständigkeiten geht“. Der Anbieter von IT-Sicherheitsplattformen auf Basis Künstlicher Intelligenz (KI) und Maschinellen Lernens hat nach eigenen Angaben in der Vergangenheit „schon mehrfach die IT-Sicherheitsvorkehrungen im Healthcare-Bereich analysiert“.

Foto: Vectra

Andreas Müller: Proaktiv nach Schatten-IT-Systemen suchen!

Seit Langem beobachteter unseliger Trend

„Und täglich grüßt das Murmeltier. Schon wieder wurden Daten von Systemen verfügbar gemacht, weil sie nicht ordnungsgemäß gesichert wurden. Es ist ein unseliger Trend, den wir schon lange beobachten – mal mit großen, mal mit kleinen Auswirkungen“, kommentiert Andreas Müller, „Regional Director DACH“ bei Vectra.

Unsichere oder schlecht konfigurierte Cloud-Systeme

Die Anzahl der Datenpannen und unbeabsichtigten Veröffentlichungen, die sich daraus ergeben, dass Daten von unsicheren oder schlecht konfigurierten Cloud-Systemen öffentlich verfügbar sind, steigt laut Müller kontinuierlich an – und dabei seien nicht einmal die bösen Absichten von Hackern der Hintergrund. Beteiligt seien meist nur Leute, die im Internet stöberten – „um zu sehen, was offen verfügbar ist“.

Große Lücke bei Verantwortung für Sicherheit der Patientendaten

Gesundheitsdienstleister und das große Netzwerk der Dienstleister, auf welche sie sich verließen, hätten „eine große Lücke in der Verantwortung für die Sicherheit der Patienteninformationen geschaffen“. Die Software der Anbieter werde mit der Annahme erstellt, dass der Gesundheitsdienstleister sein Netzwerk sichern werde, und der Gesundheitsdienstleister erwerbe Software und Services mit der Annahme, dass der Software-Anbieter bzw. der Service-Anbieter sichere Software und Dienste bereitstellten. „Wie sich immer wieder herausstellt, scheint beides nicht zu stimmen“, so Müller.

Systeme ohne den Rat des IT-Sicherheitsteams eingeführt

Nicht selten würden Systeme von medizinischem Personal mit einer bestimmten Anforderung ohne den Rat des IT-Sicherheitsteams eingeführt. Es sei ein kompliziertes Netzwerk, das die IT-Sicherheit dazu zwinge, proaktiv nach Schatten-IT-Systemen zu suchen, welche Daten genau so verfügbar machten, „wie es im aktuellen Fall wohl leider geschehen ist“.