Aktuelles, Branche, Gastbeiträge - geschrieben von cp am Dienstag, Mai 5, 2020 14:42 - noch keine Kommentare
Gesundheitswesen: Kontrolle über Patientendaten in Kliniken und Praxen
Die 6 größten Schwachstellen im Blick
Von unserem Gastautor Ben Bulpett, EMEA Marketing Director bei SailPoint
[datensicherheit.de, 05.05.2020] Hochsensible Patientendaten offen zugänglich im Internet – Ende 2019 sorgte diese Schlagzeile für Aufsehen. Im September letzten Jahres ergaben Recherchen des Bayerischen Rundfunks und des US-amerikanischen Rechercheportals ProPublica, dass medizinische Informationen von Millionen von Patienten weltweit auf offen zugänglichen Servern im Netz aufzufinden waren – und dies teilweise über Jahre hinweg. Es handelte sich unter anderem um Röntgenaufnahmen und Bilder von Vorsorge-Screenings. Mehr als 13.000 der gefundenen Datensätze stammten aus Deutschland von mindestens fünf verschiedenen Server-Standorten. Der Hauptteil der Informationen konnte auf Patienten in Ingolstadt verortet werden sowie aus Kempen in Nordrhein-Westfalen. Anfang dieses Jahres warnte dann der bayerische Datenschutzbeauftragte Thomas Petri im Rechtsausschuss des Landtags, dass es Kliniken in Bayern gebe, die im Bereich IT-Sicherheit nur sehr schlecht ausgestattet seien. Auch Andreas Sachs vom Landesamt für Datenschutzaufsicht warnte vor einer mangelnden IT-Sicherheitsorganisation in einzelnen Kliniken.
Effektiver Schutz für sensible Patientendaten nötig
Es stellt sich daher die Frage wie Healthcare-Betriebe ihre Patientendaten effektiv schützenkönnen. Zunächst lässt sich festhalten, dass in jeder Gesundheitseinrichtung immer wieder sensible Informationen ihren Weg in Tabellenkalkulationen, Folien und andere, unstrukturierte Formate finden, die dann in Dateispeichern abgelegt werden. Tatsächlich ist dies nichts Ungewöhnliches, erstellen doch Mitarbeiter und sogar Bots laufend Nachberichte oder kopieren aus verschiedenen Gründen Daten aus Dokumenten, um sie anderswo einzufügen. Zudem werden regelmäßig Papierdokumente eingescannt und digitalisiert. All diese Vorgänge lassen ein Meer unstrukturierter Daten entstehen. Und wenn diese Daten nicht verwaltet werden, laufen Unternehmen aus dem Gesundheitsbereich stark Gefahr, sensible Informationen preiszugeben.
Ben Bulpett, EMEA Marketing Director bei SailPoint
Kontrolle über Patientendaten
Ein guter Anfang nicht die Kontrolle über Patientendaten zu verlieren besteht darin, die häufigsten Fallstricke zu kennen, die zu ungewolltem Datenabfluss führen – und zu wissen, wie diese mithilfe von Identity Management vermieden werden können.
- Offene Zugänge werden ignoriert – In offenen Repositories, etwa Ordnern und Containern mit unzureichenden oder fehlenden Zugriffskontrollen, sammeln sich gerne alle möglichen Daten an. In vielen Fällen sind darunter auch hochsensible Informationen. Solche Datenablagen lassen sich leicht verwenden und freigeben und eignen sich gut für automatisierte Prozesse, bei denen Daten gemeinsam genutzt werden müssen. Je länger sie existieren, desto mehr Einsatzzwecke finden die Nutzer für sie. All dies führt zu einer ersten Kontrolllücke – es werden Datendepots übersehen, die möglicherweise ungeschützte sensible Informationen enthalten. Mit Identity Governance können Unternehmen feststellen, wer Zugriff auf Daten hat und wann Nutzer zuletzt auf sie zugegriffen haben. So können offene Zugänge geschlossen werden.
- Die Zugriffspfade für Konten werden nicht überprüft – Nehmen wir an, ein Mitarbeiter wurde versetzt. Nachdem ein Healthcare-Betrieb festgestellt hat, dass seine digitale Identität über eine Gruppe, der er angehört, Zugriff auf einen bestimmten Ordner hat, entfernt das Unternehmen diese Berechtigung, indem der Mitarbeiter aus der Gruppe entfernt wird. In Wirklichkeit ist die Sache jedoch nicht so einfach, da der Datenzugang nicht abgeändert oder widerrufen wurde. Dies kann zu Szenarien führen, in denen ein Verwaltungsmitarbeiter umfassenden Zugriff auf alle Behandlungsdaten eines Patienten hat, obwohl er nur dessen Namen, das Geschlecht, Geburtsdatum, die Adresse und die Angaben zu seiner Krankenversicherung braucht. Damit wären wir beim zweiten häufigen Fehler – der Annahme, es gäbe nur einen Weg, um Zugang zu Daten zu erhalten. Mithilfe einer visuellen „Landkarte“, die zeigt, wie ein Benutzer auf eine Ressource zugreifen kann, können Organisationen wie Krankenhäuser und Arztpraxen die Zugriffspfade von Personen verwalten und sehen, wo Probleme bestehen.
- Alle Aktivitäten werden manuell überprüft – Wenn viele Daten vorhanden sind, die regelmäßig genutzt werden, ist die zentrale Frage: Wie behalten Firmen dann im Blick, wie auf diese Daten zugegriffen wird, wie sie kopiert, gelöscht, umbenannt oder geändert werden? Ohne identitätsbezogene Informationen, die helfen, den gewöhnlichen Datenverkehr vernünftig herauszufiltern, können Gesundheitsbetriebe unmöglich jede Aktivität untersuchen. Dies bedeutet, dass risikoreiche Aktivitäten nicht überprüft oder erst nach geraumer Zeit entdeckt werden. Der bloße Versuch, dieses Verfahren manuell abzuwickeln, schafft schon eine weitere Kontrolllücke. Identity Management ermöglicht es Unternehmen, die Kontrolle über gewöhnliche Zugriffe dem System zu überlassen. So können sich die Mitarbeiter darauf konzentrieren, Zugriffe durch Schlüsselpersonen zu überprüfen.
- Alle Ordner werden gleich behandelt – Ein Ordner mit den wöchentlichen Speiseplänen für stationär untergebrachte Patienten birgt nicht die gleichen Risiken wie einer, der Informationen zu Medikamenten und ihrer Dosierung enthält. Dennoch behandeln viele Einrichtungen im Gesundheitssektor alle Ordner gleich. Damit konzentrieren sie aber ihre Ressourcen für Governance-Maßnahmen nicht auf die Bereiche, in denen diese am meisten bringen. Nur wenn die Datenarten in den Ordnern klassifiziert werden, Open-Access-Inhalte ermittelt werden und wenn Verantwortliche die Maßnahmen rund um die Inhalte mit den höchsten Aktivitäten priorisieren, kann ein vierter Fehler vermieden werden – die Gleichbehandlung aller Ordner. Wenn Firmen eine Identitätsstrategie anwenden, können ihre Ordner nach den enthaltenen Daten und den zugriffsberechtigten Personen klassifiziert werden. Dann kann entschieden werden, ob für einen Ordner strengere Sicherheitsrichtlinien gelten sollten. Wenn beispielsweise die meisten Nutzer, die auf den Ordner zugreifen, aus der Finanzabteilung kommen, kann dieser Ordner als Finanzordner klassifiziert und mit entsprechenden Richtlinien geschützt werden.
- Zugriffe werden nur durch die IT überprüft – Wer könnte die IT-Sicherheit eines Betriebs besser überprüfen als die IT-Abteilung? Schließlich hat sonst keiner Zeit dafür. Nicht alle Gesundheitseinrichtungen mögen tatsächlich so denken, doch es gibt nicht wenige, die so handeln. In der Regel haben Teams außerhalb der IT das Kontextwissen zu den Benutzern, den gespeicherten Daten und den Speicherorten sensibler Informationen. Dennoch wird der Schutz sensibler Daten oft ganz den IT- und Sicherheitsteams aufgebürdet. Viele Gesundheitsunternehmen wie etwa Kliniken versäumen es, die Risikoprüfung unter IT-Verantwortlichen und anderen Mitarbeitern aufzuteilen, was zu Fehlern führen kann. Anhand der Identitäten können Healthcare-Organisationen erkennen, wer am besten geeignet ist, bestimmte Zugriffe zu verwalten und zu überprüfen. Der Datenschutz ist schließlich eine Anforderung, die den gesamten Betrieb betrifft.
- Viele verschiedene Tools zur Durchsetzung der Governance-Regeln werden eingesetzt – Man könnte sagen, dass Sicherheit eine Frage der Schichten ist – jedenfalls wenn es um Tools geht, die unterschiedliche Aufgaben erfüllen. Wenn Organisationen jedoch jeden ihrer Cloud-Anbieter mit einem anderen Tool verwalten und wieder andere Tools für lokale Speicher, NAS und SharePoint einsetzen, ist Chaos vorprogrammiert. Eine derart inkonsequente Vorgehensweise schafft nicht nur Sicherheitslücken, sondern erschwert es auch, auf Änderungen und neue Betriebsanweisungen zu reagieren. Die übermäßige Diversifizierung der Tools kann zu Schwachstellen führen, die Angreifer anschließend ausnutzen können. Eine integrierte Identitätsstrategie erlaubt es Unternehmen im Gesundheitssektor, alle Benutzer, Dienstleister, Anwendungen sowie strukturierte und unstrukturierte Daten über eine einzige Plattform zu verwalten.
Laut Marktforschungsanbieter Gartner sind schätzungsweise 80 Prozent aller Daten weltweit unstrukturiert. [1] Und einer von vier Benutzern speichert sensible Daten in Cloud-Anwendungen oder gibt sie an andere weiter. [2] Solche Zahlen machen deutlich, wie groß die Herausforderungen in diesem Bereich sind. Die Integration von Identity Governance in die betriebsinterne Cybersicherheitsstrategie wird gewährleisten, dass Patientendaten geschützt sind, und die vollständige Konformität mit der EU-DSGVO wird Gesundheitseinrichtungen helfen, das enorme Risiko des Datenabflusses einzudämmen. Dies ist hier gerade aufgrund der besonderen Sensibilität der Informationen besonders wichtig. Wenn Identity Governance zur Absicherung der Patientendaten genutzt wird, können drei zentrale Fragen beantwortet werden: Wer Zugriff worauf hat, wie dieser Zugriff genutzt wird und ob der Zugriff gerechtfertigt ist. So machen Kliniken, Versicherer, Arztpraxen und andere Gesundheitsdienstleister Datenbestände zukunftssicher, unterstützen die betrieblichen Anforderungen und ebnen den Weg zu echter Sicherheit.
[1] Gartner, „Organizations Will Need to Tackle Three Challenges to Curb Unstructured Data Glut and Neglect Foundational“, Januar 2017
[2] SailPoint Market Pulse Survey 2017
Weitere Informationen zum Thema:
SailPoint
Identity and Access Management Software Solutions – On-Premises & Cloud IAM
datensicherheit.de, 03.11.2019
Patientendaten: Bundesregierung plant Weiterleitung
datensicherheit.de, 18.09.2019
Jahrelang einsehbar: Millionen von Patientendaten
datensicherheit.de, 21.08.2018
Patientendaten: Datenschützer kritisieren geplante elektronische Übertragung
datensicherheit.de, 17.01.2017
Sensible Patientendaten: Herkömmliche Antivirus-Software schützt nicht ausreichend
datensicherheit.de, 03.12.2012
Datenschutzexperte Christian Volkmer warnt vor Datensammelwut der Krankenkassen
Aktuelles, Experten, Veranstaltungen - Okt 14, 2024 20:41 - noch keine Kommentare
Politisches Herbstforum der BfDI: Daten im Dienst der Patienten
weitere Beiträge in Experten
- ELITE 2.0 Wanderzirkus: OT-Awareness für KMU am 16. Oktober 2024
- Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren